Экспресс настройка AnyConnect VPN на Cisco ASA

Рет қаралды 27,605

Алексей Николаев

Күн бұрын

Пікірлер: 21

@dnepr1305 5 жыл бұрын

Огромное спасибо, благодаря Вашему мануалу смог восстановить некогда настроенный (не мной) vpn туннель

@Alexei_Nikolaev 5 жыл бұрын

Очень рад, что смог помочь. В ближайших планах по Anyconnect c ASA будут еще видео по использованию сертификатов, 2-х факторной аутентификации и динамических политик доступа DAP. С лабораторными работами в EVE-NG.

@РодионСолошенко 7 жыл бұрын

Спасибо большое! Будем пробовать настраивать)

@РодионСолошенко 7 жыл бұрын

Алексей, подскажите пожалуйста в чем может быть причина. Сделал вроде как все по вашему видео, но не подключается по созданному пользователю ra-user, только под локальным админом. Проверил конфигурацию, пользователь создался, все нормально.

@Alexei_Nikolaev 7 жыл бұрын

Родион, не видя конфигов, сложно что то сказать. Хочу лишь обратить внимание, что ra-user это обычный пользователь, для входа в сеть но не для доступа к самой асе. У пользователя же админ, другой уровень доступа (priv 15). Вы всегда можете поэксперементировать с различными опциями в виртуальной лаборатории learncisco.ru/eve/online-lab.html

@hunternoa1 5 жыл бұрын

Спасибо за гайд. Ани коннект подключается всё ок, адрес присваивается, в инет ходит через шлюз предприятия - но проблемка следующая - не видно локальную сеть предприятия... соответсвенно днсы не обрабатываются, и даже пингов по ip нет... незнаю куда копать... (ACL на вн. сеть сделал если что)

@MrLearnCisco 5 жыл бұрын

Дмитрий, здравствуйте! Я бы начал с таблицы маршрутов на ASA. Убедился, что после подключения там появляется IP адрес удаленного клиента и присутствуют маршруты ко всем подсетям предприятия. Еще было бы полезно убедиться что устройства локальной сети предприятия могут пинговать AnyConnect клиента (при выключенном firewall на нем, или с исключениями для ICMP). Если я правильно понял, то на AnyConnect Вы заворачиваете абсолютно весь трафик в Интернет, не только к подсетям предприятия (без split-tunnel)?

@hunternoa1 5 жыл бұрын

@@MrLearnCisco клиент аниконекта на асе отображается что подключен... маршруты стоят вообще без ограничений source any - destination any... пробовал завроачивать весь, ставил как у вас split, фаерволы отключил... вобщем бяда =(

@ЕвгенийЧуприн-ф1к 2 жыл бұрын

Приветствую. невозможно запустить это приложение на вашем пк windows 10. Выскакует ошибка при запуске ASDM. Подскажите что делать?

@MrLearnCisco 2 жыл бұрын

Привет! Обычно большинство ошибок связано с Java. Если укажете, что именно за ошибка, ее текст, то есть вероятность подсказать что-нибудь конкретное :)

@andreysogrin6451 4 жыл бұрын

Спасибо огромное за видео урок! Единственное, что я иначе сделал - это 8 шаг - Nat Exempt с секции Local Network выбрал сеть предприятия, а не any4. Может, это ошибка? Всё остальное сделал, как на видео. Антивирусы и брандмауэры на всякий случай отключил. IP адрес удалённого роутера отображается в мониторинге ASDM, не не пингуется. В сессиях удалёное подключение есть. Так же, не могу пинговать с удалённого компьютера ни один компьютер в корпоративной сети. В чём может быть проблема? :( P.S. В AnyConnect IP - адрес присвоен, сервер есть, защищённые маршруты есть. Вроде, всё хорошо, но пинга нет ни в одну сторону, ни в другую :( Такое ощущение, что каких-то access-листов не хватает........

@Alexei_Nikolaev 4 жыл бұрын

Андрей, по признакам очень похоже на неправильную настройку NAT Exemption. Исключать из трансляции надо трафик, который должен пойти в шифрованные туннели. В частности, адреса IP пула, из которого выдаются IP-шники AnyConnect клиентам. Иначе обратный трафик просто улетит в публичный Интернет, а не к удаленным компьютерам и никакие пинги ходить не будут.

@АлександрЧернявский-р1р 6 жыл бұрын

День добрый! не понял , откуда взялся файл .pkg и где его брать?

@MrLearnCisco 6 жыл бұрын

Александр, здравствуйте! Это часть пакета AnyConnect, все доступно для скачивания с software.cisco.com при наличии аккаунта и оплаченного сервисного пакета.

@АлександрЧернявский-р1р 6 жыл бұрын

Спасибо!

@Timon330911 6 жыл бұрын

А есть ли возможность настроить так что бы определенному пользователю всегда выдавался один и тот же ip-адрес ?

@Alexei_Nikolaev 6 жыл бұрын

Дв, можно и постоянный IP и индивидуальные ACL и многое другое через внешний RADIUS сервер (Cisco ACS, ISE).

@Timon330911 6 жыл бұрын

А без поднятия внешнего RADIUS сервера ?

@Alexei_Nikolaev 6 жыл бұрын

В принципе, тоже можно, через атрибуты пользовалеля, например ASA(config)# username test attributes ASA(config-username)# vpn-framed-ip-address 10.1.1.1 255.255.255.0

@Timon330911 6 жыл бұрын

пробовал, не прокатывает (

@Alexei_Nikolaev 6 жыл бұрын

Если авторизация идет по локальной базе пользователей, то должно работать. Но все надо тестировать и отлаживать, например с помощью debug. Возможны нюансы.