Сообщения без ответов | Активные темы Текущее время: 18 авг 2022, 17:52



Ответить на тему  [ Сообщений: 5 ] 
Cisco ISR 1100-4P не доступны команды для настройки WEBVPN 
Автор Сообщение

Зарегистрирован: 28 янв 2022, 13:46
Сообщения: 3
Здравствуйте!

На роутере Cisco ISR 1100-4P прошивка c1100-universalk9_ias.16.09.05.SPA.bin
Имеются лицензии:
Technology Package License Information:

-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
appxk9 None None None
securityk9 securityk9 Permanent securityk9
ipbase ipbasek9 Permanent ipbasek9

Подскажите на какой прошивке можно будет настроить WEBVPN, а то команды не доступны.
Если у кого есть такая, можно ссылку на скачивание.
Благодарю!


19 июн 2022, 21:44
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1381
на IOS XE SSL VPN не работал никогда, для этого есть Cisco ASA, здесь максимум IPSEC/IKEv2


20 июн 2022, 00:45
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 515
Откуда: Msk
root99 писал(а):
на IOS XE SSL VPN не работал никогда, для этого есть Cisco ASA, здесь максимум IPSEC/IKEv2

Ну на IOS XE то да. А так раньше в IOS вполне себе работал.
Пока его не выпилили в ISR 4K, собаки алчные, ибо нефиг, а то ASA/Firepower типа плохо продается.
Можно еще FW выпилить, "для этого есть Cisco ASA". ASA будет еще более лучше продаваться. :-)

subbotin_rv писал(а):
Подскажите на какой прошивке можно будет настроить WEBVPN, а то команды не доступны.

SSL VPN есть только в ISR (2800), ISR G2 (2900), CSR 1000v. Ну и в мелких еще (870, 880, and 890).
IKEv2/IPSec VPN - поддерживается на Cisco ISR 1000, ISR 4000, ASR 1000, CSR 1000v.

Cisco IOS SSL VPN: Router-Based Remote Access for Employees and Partners Data Sheet (End-of-Sale and End-of-Life Products)
https://www.cisco.com/c/en/us/products/ ... 05e25.html

Так что остается IKEv2/IPSec. В качестве клиента тот же AnyConnect или встроенный Windows IKEv2 VPN клиент.

FlexVPN: AnyConnect IKEv2 Remote Access with Local User Database
https://www.cisco.com/c/en/us/support/d ... ccess.html

subbotin_rv писал(а):
На роутере Cisco ISR 1100-4P прошивка c1100-universalk9_ias.16.09.05.SPA.bin

И, кстати, в ias имидже (ipbase/appx/security) еще и Voice (uck9) выпилен.

Reply from TAC:
===
Kindly note that the difference between the above images is that The 2nd image (non-ias) supports CUBE.
The 1st one (with ias) does not support cube.

Voice support was introduced in the ISR1100 platform from 16.12.1 release. The changes include licensing changes too.
Previously 1100 package included only universalk9_ias (ipbase/appx/security).
Post this, it will have universalk9 which includes all (ipbase/appx/security/uck9).

So both will work but the difference will be "c1100-universalk9_ias.16.12.03.SPA.bin" won't support cube "uck9"
and the other will support all features "(ipbase/appx/security/uck9)".
===

https://community.cisco.com/t5/cisco-so ... -p/4106139

_________________
Knowledge is Power


21 июн 2022, 01:50
Профиль

Зарегистрирован: 28 янв 2022, 13:46
Сообщения: 3
Silent_D, благодарю за развернутый ответ.

А можно, вот эту инструкцию как-то заполучить, а то я не могу под своим аккаунтом на cisco.com зайти.
Цитата:
FlexVPN:FlexVPN: AnyConnect IKEv2 Remote Access with Local User Database
https://www.cisco.com/c/en/us/support/d ... ccess.html


У меня настроен IKEv2/IPSec с локально выпущенными сертификатами, radius сервер нет возможности поднять и подключение идет без локальной аутентификации. Ну в общем работает, но почему-то, есть несколько юзеров, в разных офисах, которые никак не подключаются, это аутсорс и по одному клиенту из этих офисов успешно подключено, есть ощущение, что с оного публичного адреса не может проходить несколько сессий, но когда я их прошу через телефон выйти в инет, тоже не подключается, а тот который первый был настроен, без проблем подключается.


21 июн 2022, 13:18
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 515
Откуда: Msk
subbotin_rv писал(а):
А можно, вот эту инструкцию как-то заполучить, а то я не могу под своим аккаунтом на cisco.com зайти.

Вся Cisco документация, в общем случае, выложена в public.
Никакой аккаунт для этого не нужен. А сейчас даже наверное совсем не нужен.
Просто жмете на ссылку и читаете. Можете там Download PDF нажать.
Есть, конечно, теоретич. вероятность что вас по GeoIP блочат.
Но вы откуда заходите, если не секрет? Крым? Сев.Корея?
Заблочен только Cisco форум (Community), да и то там формально Amazon CloudFront CDN дурит.
В любом случае гуглите "proxy online free".
В Google вас не забанили?
Топовые в РФ в большинстве забанены, но некоторые работают. CroxyProxy, например. Их там десятки.

https://www.softwaretestinghelp.com/onl ... -websites/

Если никак, то попробуйте броузер свежий поставить.
Если уж совсем никак, то обратитесь к вашему системному администратору. :-)

subbotin_rv писал(а):
есть ощущение, что с одного публичного адреса не может проходить несколько сессий,
но когда я их прошу через телефон выйти в инет, тоже не подключается,

IKE/IKEv2 истользует порт 500/UDP, IPSec NAT-T 4500/UDP.
Через обычный NAT это должно нормально проходить в любом количестве. Если специально не задушено.
И если не подключается из разных мест, то транспорт там, скорее всего, ни при чем.
Включайте debug на роутере и ищите 10 отличий между норм. подключением и проблемным.
Я с сертификатами плотно не занимался, да и погружаться в ваши портянки логов нет большого желания. Sorry.
Сертификаты вообще более мутная тема, там масса нюансов.
Настройте доступ по Login/Passw, это проще, если нет таких уж замороченных требований по безопасности.

subbotin_rv писал(а):
У меня настроен IKEv2/IPSec с локально выпущенными сертификатами,
radius сервер нет возможности поднять и подключение идет без локальной аутентификации по сертификатам.

Т.е. никакого сервака завалящего под это дело вы найти не можете? Даже на виртуалке?
И все юзерские сертификаты у вас живут в роутере?
Да, месье знает толк в извращениях.
Кмк, это не масштабируемое решение, ну 5-10 сертификатов так можно, наверное, завести. Но больше?
Логины юзерские в роутере проще заводить, это однозначно.
Но массово, для этого существует RADIUS сервер.

_________________
Knowledge is Power


28 июн 2022, 01:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB