Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:20



Ответить на тему  [ Сообщений: 35 ]  На страницу 1, 2  След.
VPN (IpSEC) + Cisco VPN client или ANyConnect ??? 
Автор Сообщение

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Вначале на моем роутере (1921) стоял IOS 151-3.T1 - Cisco VPN client работал, но были проблемы с неудалением статических маршрутов на Virtual-Access интерфесах.

Решил обновить IOS до 155-3.M3. Перестал работать Cisco VPN client. Напрягало следующее:

Код:
95     17:40:28.307  12/02/17  Sev=Warning/2  IKE/0xE30000A4
Unexpected payload type found: type = 11 (MsgHandler:360)
97     17:40:28.307  12/02/17  Sev=Warning/2  IKE/0xE300009B
Failed to validate the payloads (MsgHandler:105)

98     17:40:28.307  12/02/17  Sev=Warning/2  IKE/0xE300009B
Failed to process MM Msg 6 (NavigatorMM:570)

99     17:40:28.307  12/02/17  Sev=Warning/2  IKE/0xE30000A7
Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2263)

Гугление по поводу этой ошибки ни к чему не привело, в дебаге ISAKMP все ок, т.к. соединение рвет именно клиент. В одной из предыдущих тем мне рекомендовали использовать AnyConnect, дескать Cisco VPN client уже давно не поддерживается и разработчики просто забили на него.
Выяснилось что AnyConnect работает только с ikeV2, но нигде не нашел ни одной внятной документации по поводу того как устанавливать и настраивать этот AnyConnect.
Поэтому возникает ряд вопросов:
1) Можно ли заставить работать Cisco VPN client.
2) Где почитать как установить и настроить AnyConnect (в связке с IPSEC).


03 дек 2017, 14:17
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Забудьте про старый тупой глючной пвн клиент.

Вот тут подробно про установку и настройку эниконнект:

http://www.firewall.cx/cisco-technical- ... ebvpn.html

На 2911 хорошо работает, например, такая связка:

c2900-universalk9-mz.SPA.154-3.M7.bin + anyconnect-win-4.3.04027-k9.pkg


03 дек 2017, 14:43
Профиль ICQ

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
_2e_ писал(а):
Забудьте про старый тупой глючной пвн клиент.

Ок, забыл.

_2e_ писал(а):
Вот тут подробно про установку и настройку эниконнект:

http://www.firewall.cx/cisco-technical- ... ebvpn.html

На 2911 хорошо работает, например, такая связка:

c2900-universalk9-mz.SPA.154-3.M7.bin + anyconnect-win-4.3.04027-k9.pkg

Замечательно. Только там описывается webvpn. А хотелось бы IPSEC. Аутентифицировать пользователей по сертификатам + XAuth. Или это уже все, прошлый век?

p.s. Сервер сертификации работает. С другими роутерами IPSEC работает (с аутентификацией по сертификатам).


03 дек 2017, 14:54
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Да что вы уперлись IPSEC и всё, стандарт де-факто удобней использовать Anyconnect ( SSL VPN, WebVPN ) для удаленного доступа, по умолчанию работает на https порту ( для удаленных клиентов иногда нет возможности достучаться на IPSEC порты и т.д. ( блокируется доступ с публичных мест и т.д. ) - с секурностью всё в порядке с этим типом связи, вся документация лежит на сайте первоисточника cisco.com, вариантов настройки валом, блогов, ю-тубов с примерами завались...

https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.html
https://www.cisco.com/c/en/us/support/s ... -list.html


03 дек 2017, 17:42
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
root99 писал(а):
Да что вы уперлись IPSEC и всё, стандарт де-факто удобней использовать Anyconnect ( SSL VPN, WebVPN ) для удаленного доступа, по умолчанию работает на https порту ( для удаленных клиентов иногда нет возможности достучаться на IPSEC порты и т.д. ( блокируется доступ с публичных мест и т.д. ) - с секурностью всё в порядке с этим типом связи, вся документация лежит на сайте первоисточника cisco.com, вариантов настройки валом, блогов, ю-тубов с примерами завались...

https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.html
https://www.cisco.com/c/en/us/support/s ... -list.html


Причин тому несколько:
1) Сертификаты. Это дополнительная безопасность. И возможность фильтровать пользователей давая разным пользователям разные настройки по картам сертификатом. Возможность при необходимости отозвать сертификаты. На циске работа с юзерами очень ограничена одной командой username, а возможности прикрутить внешний радиус-сервер нету.
2) IPSEC разрешен практически везде. Только через прокси не пролезает, но нам это и не нужно.
3) Попробовал распаковать anyconnect-win-4.3.04027-k9.pkg, после ввода команды crypto vpn anyconnect flash0:/webvpn/anyconnect-win-4.3.04027-k9.pkg он бесследно исчезает с флеш-памяти. Судя по форумам - недостаточно свободного места на флеш. Свободного места на флешке: 175718400 bytes available (79818752 bytes used). Не знаю чего с этим делать.
4) Использую zone-based firewall, поэтому крайне желательно что бы каждому юзеру назначался свой Virtual-Access интерфейс с прописанной зоной из Virtual-template..

Инструкция из предыдущего сообщения (в Вашем сообщении еще не смотрел) - для эникейщиков: пункт 1 - сделай это, пункт 2 - сделай это... А что как работает не описано... Самому приходится догадываться. Например откуда AnyConnect берет настройки? Что за XML надо выкладывать? Что в ней прописывать?

Насколько я понял AnyConnect по SSL подключается к циске и скачивает user profile xml. В нем уже прописан сервер и протокол, и после этого AnyConnect начинает устанавливать соединение.
И опять же вопрос. Где логи? Т.к. pkg установить не удалось - ставлю AnyConnect самостоятельно. Но как его ставить - нигде не описано - все ссылки на то что надо устанавливать с циски... Но ведь это же не единственный способ???

Ну и вот таких маленьких ньюансов тьма тараканья. В итоге - еще два дня потеряно и я опять без впн. Хоть обратно на 151-3.Т1 откатывайся...


03 дек 2017, 18:04
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Yacudzer

За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь....

P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х


03 дек 2017, 18:58
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
root99 писал(а):
P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х

Может выложите дистрибутивчик StandAlone версии AnyConnect... И Profile editor к нему? А то сама циска бесплатно не дает качать :(


03 дек 2017, 20:12
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Тут весь набор:

Код:
magnet:?xt=urn:btih:130EAF950B3BBD1B41F13686D1A3F4F24848B78C&dn=anyconnect-all-packages-4.5.02036-k9.zip


03 дек 2017, 20:44
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
root99 писал(а):
За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь....
P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х

Большая часть выдаваемых ссылок гуглом - либо настройка на ASA (которой у меня и в помине нет), либо с развертыванием pkg (который исчезает после команды crypto vpn anyconnect <имя файла>).
Остановился на развертывании standalone версии. Нашел интересную статью о настройке http://www.ifm.net.nz/cookbooks/Cisco-I ... rypto.html.
С ikev2 сложностей нет, ибо он не особо отличается от isakmp. С помощью openssl и CA сервера на cisco сгенерил себе сертификат, импортировал его в виндовое хранилище вместе с приватным ключем (предварительно импортировав туда и корневой сертификат CA-сервера). Настроил профили по аналогии...
Все бы хорошо, но в конце автор рекомендует создать вручную xml файл с настройками и подсунуть его в папку AnyConnect.
Но там не оказалось папки Profile. Создал, скопировал туда XML и... ничего не произошло. AnyConnect упорно не хочет устанавливать соединение. Сдается мне, что он элементарно не видит конфиг.

Предполагаю, что конфиг можно подсунуть ему с циски. Но вот какие именно настройки для этого надо сделать - пока непонятно.
Пока сделал следующее (помимо ipsec):
Код:
crypto vpn anyconnect profile RemUserPr flash:/webvpn/RemoteUserProfile.xml
webvpn gateway webvpn-gw
 ip interface GigabitEthernet0/0 port 4443
 http-redirect port 80
 ssl encryption aes256-sha1
 ssl trustpoint VPN-esko
 logging enable
 inservice

Подскажите куда копать дальше, пожалуйста...


03 дек 2017, 22:33
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Yacudzer писал(а):
root99 писал(а):
За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь....
P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х

Большая часть выдаваемых ссылок гуглом - либо настройка на ASA (которой у меня и в помине нет), либо с развертыванием pkg (который исчезает после команды crypto vpn anyconnect <имя файла>).
Остановился на развертывании standalone версии. Нашел интересную статью о настройке http://www.ifm.net.nz/cookbooks/Cisco-I ... rypto.html.
С ikev2 сложностей нет, ибо он не особо отличается от isakmp. С помощью openssl и CA сервера на cisco сгенерил себе сертификат, импортировал его в виндовое хранилище вместе с приватным ключем (предварительно импортировав туда и корневой сертификат CA-сервера). Настроил профили по аналогии...
Все бы хорошо, но в конце автор рекомендует создать вручную xml файл с настройками и подсунуть его в папку AnyConnect.
Но там не оказалось папки Profile. Создал, скопировал туда XML и... ничего не произошло. AnyConnect упорно не хочет устанавливать соединение. Сдается мне, что он элементарно не видит конфиг.

Предполагаю, что конфиг можно подсунуть ему с циски. Но вот какие именно настройки для этого надо сделать - пока непонятно.
Пока сделал следующее (помимо ipsec):
Код:
crypto vpn anyconnect profile RemUserPr flash:/webvpn/RemoteUserProfile.xml
webvpn gateway webvpn-gw
 ip interface GigabitEthernet0/0 port 4443
 http-redirect port 80
 ssl encryption aes256-sha1
 ssl trustpoint VPN-esko
 logging enable
 inservice

Подскажите куда копать дальше, пожалуйста...


Как я Вас понимаю... (с) Реклама.
Но не все так печально как Вы пишите.
Поищите на этом форуме, я год назад страдал подобной чухней. Поднялось, взлетело.
Если, надо, то могу файлик примера .xml прислать
Код:
webvpn gateway WEBVPN
 ip address ХХХ.ХХХ.ХХХ.ХХХ port 443
 http-redirect port 80
 ssl encryption 3des-sha1 rsa-dhe-aes128-sha1 rsa-dhe-aes256-sha1
 ssl trustpoint StartSSL
 inservice
 !
webvpn gateway WEB20
 ssl trustpoint TP-self-signed-4191955130
 no inservice
 !
webvpn context WEBVPNC
 login-message "Welcome!"
 aaa authentication list sslvpn
 gateway WEBVPN
 !
 ssl authenticate verify all
 inservice
 !
 policy group ACCESS_VPN_1cBARDEL
   functions svc-enabled
   filter tunnel ACCESS-VPN-1cBARDEL
   svc address-pool "VPN-1C-IT-BARDEL" netmask 255.255.255.0
   svc default-domain "BlaBla.local"
   svc keep-client-installed
   svc profile 1cBARDEL
   svc split include 192.168.101.0 255.255.255.0
   svc dns-server primary 192.168.101.51
 default-group-policy ACCESS_VPN_1cBARDEL
!
end


Код:
ip access-list extended ACCESS-VPN-1cBARDEL
 permit tcp any host 192.168.101.49 eq 3389
 permit tcp any host 192.168.101.4 eq 443
 permit tcp any host 192.168.101.48 eq 3389
 permit tcp any host 192.168.101.47 eq 3389
 permit tcp any host 192.168.101.4 eq 3389
 permit tcp any host 192.168.101.11 eq 3389
 permit tcp any host 192.168.101.51 eq domain
 permit tcp any host 192.168.101.49 eq 443
 permit tcp any host 192.168.101.48 eq 443
 permit tcp any host 192.168.101.47 eq 443
 permit udp any host 192.168.101.51 eq domain


Код:
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/">
  <ServerList>
      <HostEntry>
         <HostName>VPN BLA-BLA</HostName>
         <HostAddress>webvpn.blabla.com.ua</HostAddress>
      </HostEntry>
      <HostEntry>
         <HostName>VPN STU Reserv</HostName>
         <HostAddress>vpn2.blabla.com.ua</HostAddress>
      </HostEntry>
   </ServerList>
</AnyConnectProfile>


04 дек 2017, 10:01
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
я пожалуй кидану камень в огород anyconnect на isr
в какой то момент процесс начал выгребать оперативку, в результате которого все действия с aaa становились невозможными - аутентификация самого anyconnect и ssh.
быстрого решения сего бага не нашел - перенес на asav.
но это так, минорный баг, нормальное решение которого мне было лень искать.


04 дек 2017, 18:54
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Рубен Папян писал(а):
я пожалуй кидану камень в огород anyconnect на isr
в какой то момент процесс начал выгребать оперативку, в результате которого все действия с aaa становились невозможными - аутентификация самого anyconnect и ssh.
быстрого решения сего бага не нашел - перенес на asav.
но это так, минорный баг, нормальное решение которого мне было лень искать.


А IOS какой был, не припомните? Ну что бы мне на эти же грабли не наступить... У меня АСЫ нету, переносить некуда :(


04 дек 2017, 18:58
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Yacudzer

Что виртуализацию не используйте, достаточно поднять виртуальную АСу


04 дек 2017, 19:21
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
root99 писал(а):
Yacudzer

Что виртуализацию не используйте, достаточно поднять виртуальную АСу


На чем поднять?


04 дек 2017, 19:24
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
AlexSashkaff писал(а):
Как я Вас понимаю... (с) Реклама.
Но не все так печально как Вы пишите.
Поищите на этом форуме, я год назад страдал подобной чухней. Поднялось, взлетело.
Если, надо, то могу файлик примера .xml прислать


Я так понимаю у Вас тоже pkg успешно развернулся на флеш-памяти?
У меня такую вот ерунду выдает:
Изображение
А настройки сейчас такие:
Код:
...
crypto vpn anyconnect profile RemoteUserProfile flash:/webvpn/RemoteUserProfile.xml
...
webvpn gateway webvpn-gw
 ip interface GigabitEthernet0/0 port 4443
 http-redirect port 80
 ssl encryption aes256-sha1
 ssl trustpoint VPN-esko
 logging enable
 inservice
 !
webvpn context webvpn-ctx
 !
 acl "ssl_vpn_acl"
 virtual-template 1
 aaa authentication list REMOTEAUTHEN
 gateway webvpn-gw
 !
 ssl encryption rc4-md5 aes256-sha1
 ssl authenticate verify all
 inservice
 !
 policy group pol_1
   functions svc-enabled
   svc address-pool "REMOTE-USER-pool" netmask 255.255.255.255
   svc keep-client-installed
   svc profile RemoteUserProfile
   svc split dns ".local"
   svc split include acl REMOTE-USER-stdacl
   svc dns-server primary 192.168.1.1
 default-group-policy pol_1


Вложения:
ошибка anyconnect.jpg
ошибка anyconnect.jpg [ 53.89 КБ | Просмотров: 18177 ]
06 дек 2017, 21:04
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect.


07 дек 2017, 09:07
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
aliotru писал(а):
мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect.

Мне тоже. Как это ни странно.
Если бы Вы внимательно читали предыдущие сообщения, то наверняка заметили бы что не удается установить образ anyconnect на флеш, поэтому я устанавливают его на удаленный комп вручную.


07 дек 2017, 09:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть.
Что за иос у вас сейчас?


07 дек 2017, 09:33
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
aliotru писал(а):
без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть.
Что за иос у вас сейчас?


Он у него на флеше и есть, только в папке. =)


07 дек 2017, 09:34
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
и еще покажите флеш.

что то мне кажется, что вы пытаетесь установить клиента в ту же папку из которой устанавливаете.
Попробуйте положить файл в корень и установить в папку webvpn.

ps - проверил у себя, вполне устанавливается командой webvpn install svc


07 дек 2017, 09:50
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
aliotru писал(а):
без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть.
Что за иос у вас сейчас?

15.5(3)M3

_2e_ писал(а):
Он у него на флеше и есть, только в папке. =)


Нету там ничего. ИОС один... и сертификаты CA сервера в папке... еще база dhcp...


07 дек 2017, 10:02
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Yacudzer

Пока не будет на роутере активирован svc pkg - Эниконнект не будет работать....


07 дек 2017, 12:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
aliotru писал(а):
мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect.

Доброго времени суток.
Самое главное условие, наличие pkg anyconnect на флехе роутера.
Если память не изменяет, то на АСАшке можно поднять без наличия pkg.

Код:
kv-office-gw#dir /all
Directory of flash0:/anyconnect/

    4  -rw-    19473166  May 18 2016 14:41:18 +03:00  anyconnect-win-4.2.04018-k9.pkg
    5  -rw-    17815709  May 18 2016 14:46:14 +03:00  anyconnect-macosx-i386-4.2.04018-k9.pkg
    6  -rw-    38602872  May 19 2016 13:47:10 +03:00  anyconnect-win-3.1.13015-k9.pkg

256507904 bytes total (31625216 bytes free)


07 дек 2017, 15:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
AlexSashkaff писал(а):
Если память не изменяет, то на АСАшке можно поднять без наличия pkg.

у мну не поднималось


07 дек 2017, 15:53
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
root99 писал(а):
Yacudzer

Пока не будет на роутере активирован svc pkg - Эниконнект не будет работать....


Взлетело... Спасибо. Вопреки многим гайдам надо было pkg в корень класть... Теперь сертификаты прикручиваю.

пока вижу такое
Код:
main-gw(config-webvpn-context)#match-certificate REMOTE-USER-certmap
 Certificate match not required in default context


Но, думаю, скоро и это заработает.


07 дек 2017, 23:33
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 35 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 72


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB