Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:20



Ответить на тему  [ Сообщений: 35 ]  На страницу Пред.  1, 2
VPN (IpSEC) + Cisco VPN client или ANyConnect ??? 
Автор Сообщение

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Yacudzer писал(а):
root99 писал(а):
Yacudzer

Пока не будет на роутере активирован svc pkg - Эниконнект не будет работать....


Взлетело... Спасибо. Вопреки многим гайдам надо было pkg в корень класть... Теперь сертификаты прикручиваю.

пока вижу такое
Код:
main-gw(config-webvpn-context)#match-certificate REMOTE-USER-certmap
 Certificate match not required in default context


Но, думаю, скоро и это заработает.

UPD. Да, заработало. Причем, для аутентификации по сертификатам сам сертификат не обязательно с приватным ключем импортировать...

Ну и вопрос: а кто-нибудь использовал username-prefill? Как работает? Как выбирается имя пользователя из сертификата?


08 дек 2017, 00:47
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Ну что я могу сказать, господа. Взлетело и с сертификатами.
Прописал следующее
Код:
crypto pki trustpoint VPN-esko
...
 crl cache delete-after 15
 revocation-check crl
 rsakeypair VPN-esko
 authorization username subjectname commonname
...
webvpn gateway webvpn-gw
 ip interface GigabitEthernet0/0 port 4443
 ssl encryption aes256-sha1
 ssl trustpoint VPN-esko
 logging enable
 inservice
 !
webvpn context webvpn-ctx
 virtual-template 1
 aaa authentication list REMOTEAUTHEN
 gateway webvpn-gw
 authentication certificate aaa
 username-prefill
 ca trustpoint VPN-esko
 logging enable
 !
 ssl encryption aes256-sha1
 ssl authenticate verify all
 inservice
 !
 policy group pol_1
   functions svc-enabled
   functions svc-required
   timeout idle 3600
   svc address-pool "REMOTE-USER-pool" netmask 255.255.255.255
   svc keep-client-installed
   svc dpd-interval client 60
   svc dpd-interval gateway 60
   svc mtu 1400
   svc split dns "local"
   svc split include acl REMOTE-USER-stdacl
   svc dns-server primary 192.168.1.1
 default-group-policy pol_1


ну и username добавил в соответствии с commonname выданного сертификата

Юзверь заходит по адресу роутера на порт 4443 интернет эксплорером с предварительно установленным сертификатом (с закрытым ключем). Циска не спрашивая юзернейм требует пароль. После ввода пароля устанавливается AnyConnect и поднимается VPN.
Все бы хорошо... Но скорость... Это жесть. Если при коннекте тем же ShrewVpn удается развить 2-3 Мб/сек при передаче файлов (практически без нагрузки на проц), то SSL VPN ограничевается 200-300 кб/сек, нагружая при этом около 20% процессора циски (у меня ISR 1921).

Теперь вопрос к гуру - куда копать что бы повысить скорость? Играть с MTU бесполезно? Или все же есть смысл?


13 дек 2017, 22:13
Профиль

Зарегистрирован: 26 авг 2016, 06:56
Сообщения: 29
на АСА намного удобнее и больше фич с анниконектом.
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)


16 дек 2017, 14:33
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Millenium писал(а):
на АСА намного удобнее и больше фич с анниконектом.

И??? К чему это? Ну нет у меня АСЫ, нет! И взять негде. Да и что там есть такого крайне мне необходимого?

Millenium писал(а):
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)

Как скорость?


17 дек 2017, 13:34
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Yacudzer писал(а):
Millenium писал(а):
на АСА намного удобнее и больше фич с анниконектом.

И??? К чему это? Ну нет у меня АСЫ, нет! И взять негде. Да и что там есть такого крайне мне необходимого?

Millenium писал(а):
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)

Как скорость?


1841 днище и уг на pc-100/133. Из этого уг самые шустрые 1811/1812 - там другая архитектура на ddr2-2700.
А асу железную не надо - надо ASAv 9.3.1 на 250 ssl юзеров.


18 дек 2017, 10:51
Профиль ICQ

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
_2e_ писал(а):
Yacudzer писал(а):
Millenium писал(а):
на АСА намного удобнее и больше фич с анниконектом.

И??? К чему это? Ну нет у меня АСЫ, нет! И взять негде. Да и что там есть такого крайне мне необходимого?

Millenium писал(а):
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)

Как скорость?


1841 днище и уг на pc-100/133. Из этого уг самые шустрые 1811/1812 - там другая архитектура на ddr2-2700.
А асу железную не надо - надо ASAv 9.3.1 на 250 ssl юзеров.

Все же непонятно почему такая разница в скорости (аж в 10 раз между IPSEC и SSL VPN)...


18 дек 2017, 10:54
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Цитата:
...
Все же непонятно почему такая разница в скорости (аж в 10 раз между IPSEC и SSL VPN)...


Вы попробуйте asav - достаточно отказоустойчивый кластер из esxi c vc можно собрать из говна и палок.


18 дек 2017, 11:22
Профиль ICQ

Зарегистрирован: 26 авг 2016, 06:56
Сообщения: 29
Millenium писал(а):
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)

Как скорость?[/quote]

C:\Users\v.miller>C:\iperf\iperf.exe -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 8.00 KByte (default)
------------------------------------------------------------
OpenSCManager failed - ╬Єърчрэю т фюёЄєях. (0x5)
[276] local 10.100.0.81 port 5001 connected with 10.28.0.92 port 58010
[ ID] Interval Transfer Bandwidth
[276] 0.0-10.5 sec 6.62 MBytes 5.27 Mbits/sec


18 дек 2017, 12:49
Профиль

Зарегистрирован: 26 авг 2016, 06:56
Сообщения: 29
_2e_ писал(а):
Yacudzer писал(а):
Millenium писал(а):
на АСА намного удобнее и больше фич с анниконектом.

И??? К чему это? Ну нет у меня АСЫ, нет! И взять негде. Да и что там есть такого крайне мне необходимого?

Millenium писал(а):
Т.к у наши сотрудники постоянно в разъездах, от VPN отказался ( замучился общаться с админам разных контор чтоб открыли порты)
Использую на 1841, авторизация по сертификатам( Microsoft CA)

Как скорость?


1841 днище и уг на pc-100/133. Из этого уг самые шустрые 1811/1812 - там другая архитектура на ddr2-2700.
А асу железную не надо - надо ASAv 9.3.1 на 250 ssl юзеров.

Слепил из того, что было.

ASAv лицензтонку юзаешь ?
У меня лицух нет на мобилки


18 дек 2017, 12:51
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Тест скорости.
Подружил AnyConnect с роутером по IPSEC.
Установил впн из дома (пров выдает порядка 100 мбит/с), попробовал прокачать файлик на NAS по самбе. Результаты следующие:
SSL VPN: 200-300 кбайт/сек
IPSEC: 4 Мб/сек

Называется, почувствуйте разницу.

Одно плохо, IPSEC не удается сделать аутентификацию по сертификатам и aaa username :(


28 янв 2018, 22:41
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 35 ]  На страницу Пред.  1, 2

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB