|
VPN (IpSEC) + Cisco VPN client или ANyConnect ???
Автор |
Сообщение |
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
Вначале на моем роутере (1921) стоял IOS 151-3.T1 - Cisco VPN client работал, но были проблемы с неудалением статических маршрутов на Virtual-Access интерфесах. Решил обновить IOS до 155-3.M3. Перестал работать Cisco VPN client. Напрягало следующее: Код: 95 17:40:28.307 12/02/17 Sev=Warning/2 IKE/0xE30000A4 Unexpected payload type found: type = 11 (MsgHandler:360) 97 17:40:28.307 12/02/17 Sev=Warning/2 IKE/0xE300009B Failed to validate the payloads (MsgHandler:105)
98 17:40:28.307 12/02/17 Sev=Warning/2 IKE/0xE300009B Failed to process MM Msg 6 (NavigatorMM:570)
99 17:40:28.307 12/02/17 Sev=Warning/2 IKE/0xE30000A7 Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2263)
Гугление по поводу этой ошибки ни к чему не привело, в дебаге ISAKMP все ок, т.к. соединение рвет именно клиент. В одной из предыдущих тем мне рекомендовали использовать AnyConnect, дескать Cisco VPN client уже давно не поддерживается и разработчики просто забили на него. Выяснилось что AnyConnect работает только с ikeV2, но нигде не нашел ни одной внятной документации по поводу того как устанавливать и настраивать этот AnyConnect. Поэтому возникает ряд вопросов: 1) Можно ли заставить работать Cisco VPN client. 2) Где почитать как установить и настроить AnyConnect (в связке с IPSEC).
|
03 дек 2017, 14:17 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Забудьте про старый тупой глючной пвн клиент. Вот тут подробно про установку и настройку эниконнект: http://www.firewall.cx/cisco-technical- ... ebvpn.htmlНа 2911 хорошо работает, например, такая связка: c2900-universalk9-mz.SPA.154-3.M7.bin + anyconnect-win-4.3.04027-k9.pkg
|
03 дек 2017, 14:43 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
_2e_ писал(а): Забудьте про старый тупой глючной пвн клиент.
Ок, забыл. Замечательно. Только там описывается webvpn. А хотелось бы IPSEC. Аутентифицировать пользователей по сертификатам + XAuth. Или это уже все, прошлый век? p.s. Сервер сертификации работает. С другими роутерами IPSEC работает (с аутентификацией по сертификатам).
|
03 дек 2017, 14:54 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Да что вы уперлись IPSEC и всё, стандарт де-факто удобней использовать Anyconnect ( SSL VPN, WebVPN ) для удаленного доступа, по умолчанию работает на https порту ( для удаленных клиентов иногда нет возможности достучаться на IPSEC порты и т.д. ( блокируется доступ с публичных мест и т.д. ) - с секурностью всё в порядке с этим типом связи, вся документация лежит на сайте первоисточника cisco.com, вариантов настройки валом, блогов, ю-тубов с примерами завались... https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.htmlhttps://www.cisco.com/c/en/us/support/s ... -list.html
|
03 дек 2017, 17:42 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
root99 писал(а): Да что вы уперлись IPSEC и всё, стандарт де-факто удобней использовать Anyconnect ( SSL VPN, WebVPN ) для удаленного доступа, по умолчанию работает на https порту ( для удаленных клиентов иногда нет возможности достучаться на IPSEC порты и т.д. ( блокируется доступ с публичных мест и т.д. ) - с секурностью всё в порядке с этим типом связи, вся документация лежит на сайте первоисточника cisco.com, вариантов настройки валом, блогов, ю-тубов с примерами завались... https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.htmlhttps://www.cisco.com/c/en/us/support/s ... -list.htmlПричин тому несколько: 1) Сертификаты. Это дополнительная безопасность. И возможность фильтровать пользователей давая разным пользователям разные настройки по картам сертификатом. Возможность при необходимости отозвать сертификаты. На циске работа с юзерами очень ограничена одной командой username, а возможности прикрутить внешний радиус-сервер нету. 2) IPSEC разрешен практически везде. Только через прокси не пролезает, но нам это и не нужно. 3) Попробовал распаковать anyconnect-win-4.3.04027-k9.pkg, после ввода команды crypto vpn anyconnect flash0:/webvpn/anyconnect-win-4.3.04027-k9.pkg он бесследно исчезает с флеш-памяти. Судя по форумам - недостаточно свободного места на флеш. Свободного места на флешке: 175718400 bytes available (79818752 bytes used). Не знаю чего с этим делать. 4) Использую zone-based firewall, поэтому крайне желательно что бы каждому юзеру назначался свой Virtual-Access интерфейс с прописанной зоной из Virtual-template.. Инструкция из предыдущего сообщения (в Вашем сообщении еще не смотрел) - для эникейщиков: пункт 1 - сделай это, пункт 2 - сделай это... А что как работает не описано... Самому приходится догадываться. Например откуда AnyConnect берет настройки? Что за XML надо выкладывать? Что в ней прописывать? Насколько я понял AnyConnect по SSL подключается к циске и скачивает user profile xml. В нем уже прописан сервер и протокол, и после этого AnyConnect начинает устанавливать соединение. И опять же вопрос. Где логи? Т.к. pkg установить не удалось - ставлю AnyConnect самостоятельно. Но как его ставить - нигде не описано - все ссылки на то что надо устанавливать с циски... Но ведь это же не единственный способ??? Ну и вот таких маленьких ньюансов тьма тараканья. В итоге - еще два дня потеряно и я опять без впн. Хоть обратно на 151-3.Т1 откатывайся...
|
03 дек 2017, 18:04 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Yacudzer
За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь....
P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х
|
03 дек 2017, 18:58 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
root99 писал(а): P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х Может выложите дистрибутивчик StandAlone версии AnyConnect... И Profile editor к нему? А то сама циска бесплатно не дает качать
|
03 дек 2017, 20:12 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Тут весь набор: Код: magnet:?xt=urn:btih:130EAF950B3BBD1B41F13686D1A3F4F24848B78C&dn=anyconnect-all-packages-4.5.02036-k9.zip
|
03 дек 2017, 20:44 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
root99 писал(а): За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь.... P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х Большая часть выдаваемых ссылок гуглом - либо настройка на ASA (которой у меня и в помине нет), либо с развертыванием pkg (который исчезает после команды crypto vpn anyconnect <имя файла>). Остановился на развертывании standalone версии. Нашел интересную статью о настройке http://www.ifm.net.nz/cookbooks/Cisco-I ... rypto.html. С ikev2 сложностей нет, ибо он не особо отличается от isakmp. С помощью openssl и CA сервера на cisco сгенерил себе сертификат, импортировал его в виндовое хранилище вместе с приватным ключем (предварительно импортировав туда и корневой сертификат CA-сервера). Настроил профили по аналогии... Все бы хорошо, но в конце автор рекомендует создать вручную xml файл с настройками и подсунуть его в папку AnyConnect. Но там не оказалось папки Profile. Создал, скопировал туда XML и... ничего не произошло. AnyConnect упорно не хочет устанавливать соединение. Сдается мне, что он элементарно не видит конфиг. Предполагаю, что конфиг можно подсунуть ему с циски. Но вот какие именно настройки для этого надо сделать - пока непонятно. Пока сделал следующее (помимо ipsec): Код: crypto vpn anyconnect profile RemUserPr flash:/webvpn/RemoteUserProfile.xml webvpn gateway webvpn-gw ip interface GigabitEthernet0/0 port 4443 http-redirect port 80 ssl encryption aes256-sha1 ssl trustpoint VPN-esko logging enable inservice
Подскажите куда копать дальше, пожалуйста...
|
03 дек 2017, 22:33 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Yacudzer писал(а): root99 писал(а): За Вас никто не сделает работу по внедрению того или иного впн, направление Вам указали, материалов даже по обычному гугл запросу пруд пруди, на Эниконнект можно собрать любую конфигурацию, как вашей душе угодно и т.д., ваше решение потеряло актуальность еще 2010 году сегодня уже почти 2018, навёрстывайте, что тут уже поделаешь.... P.S. Актуальный на сегодня Эниконнект - это ветка 4.5.х Большая часть выдаваемых ссылок гуглом - либо настройка на ASA (которой у меня и в помине нет), либо с развертыванием pkg (который исчезает после команды crypto vpn anyconnect <имя файла>). Остановился на развертывании standalone версии. Нашел интересную статью о настройке http://www.ifm.net.nz/cookbooks/Cisco-I ... rypto.html. С ikev2 сложностей нет, ибо он не особо отличается от isakmp. С помощью openssl и CA сервера на cisco сгенерил себе сертификат, импортировал его в виндовое хранилище вместе с приватным ключем (предварительно импортировав туда и корневой сертификат CA-сервера). Настроил профили по аналогии... Все бы хорошо, но в конце автор рекомендует создать вручную xml файл с настройками и подсунуть его в папку AnyConnect. Но там не оказалось папки Profile. Создал, скопировал туда XML и... ничего не произошло. AnyConnect упорно не хочет устанавливать соединение. Сдается мне, что он элементарно не видит конфиг. Предполагаю, что конфиг можно подсунуть ему с циски. Но вот какие именно настройки для этого надо сделать - пока непонятно. Пока сделал следующее (помимо ipsec): Код: crypto vpn anyconnect profile RemUserPr flash:/webvpn/RemoteUserProfile.xml webvpn gateway webvpn-gw ip interface GigabitEthernet0/0 port 4443 http-redirect port 80 ssl encryption aes256-sha1 ssl trustpoint VPN-esko logging enable inservice
Подскажите куда копать дальше, пожалуйста... Как я Вас понимаю... (с) Реклама. Но не все так печально как Вы пишите. Поищите на этом форуме, я год назад страдал подобной чухней. Поднялось, взлетело. Если, надо, то могу файлик примера .xml прислать Код: webvpn gateway WEBVPN ip address ХХХ.ХХХ.ХХХ.ХХХ port 443 http-redirect port 80 ssl encryption 3des-sha1 rsa-dhe-aes128-sha1 rsa-dhe-aes256-sha1 ssl trustpoint StartSSL inservice ! webvpn gateway WEB20 ssl trustpoint TP-self-signed-4191955130 no inservice ! webvpn context WEBVPNC login-message "Welcome!" aaa authentication list sslvpn gateway WEBVPN ! ssl authenticate verify all inservice ! policy group ACCESS_VPN_1cBARDEL functions svc-enabled filter tunnel ACCESS-VPN-1cBARDEL svc address-pool "VPN-1C-IT-BARDEL" netmask 255.255.255.0 svc default-domain "BlaBla.local" svc keep-client-installed svc profile 1cBARDEL svc split include 192.168.101.0 255.255.255.0 svc dns-server primary 192.168.101.51 default-group-policy ACCESS_VPN_1cBARDEL ! end
Код: ip access-list extended ACCESS-VPN-1cBARDEL permit tcp any host 192.168.101.49 eq 3389 permit tcp any host 192.168.101.4 eq 443 permit tcp any host 192.168.101.48 eq 3389 permit tcp any host 192.168.101.47 eq 3389 permit tcp any host 192.168.101.4 eq 3389 permit tcp any host 192.168.101.11 eq 3389 permit tcp any host 192.168.101.51 eq domain permit tcp any host 192.168.101.49 eq 443 permit tcp any host 192.168.101.48 eq 443 permit tcp any host 192.168.101.47 eq 443 permit udp any host 192.168.101.51 eq domain
Код: <?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"> <ServerList> <HostEntry> <HostName>VPN BLA-BLA</HostName> <HostAddress>webvpn.blabla.com.ua</HostAddress> </HostEntry> <HostEntry> <HostName>VPN STU Reserv</HostName> <HostAddress>vpn2.blabla.com.ua</HostAddress> </HostEntry> </ServerList> </AnyConnectProfile>
|
04 дек 2017, 10:01 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
я пожалуй кидану камень в огород anyconnect на isr в какой то момент процесс начал выгребать оперативку, в результате которого все действия с aaa становились невозможными - аутентификация самого anyconnect и ssh. быстрого решения сего бага не нашел - перенес на asav. но это так, минорный баг, нормальное решение которого мне было лень искать.
|
04 дек 2017, 18:54 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
Рубен Папян писал(а): я пожалуй кидану камень в огород anyconnect на isr в какой то момент процесс начал выгребать оперативку, в результате которого все действия с aaa становились невозможными - аутентификация самого anyconnect и ssh. быстрого решения сего бага не нашел - перенес на asav. но это так, минорный баг, нормальное решение которого мне было лень искать. А IOS какой был, не припомните? Ну что бы мне на эти же грабли не наступить... У меня АСЫ нету, переносить некуда
|
04 дек 2017, 18:58 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Yacudzer
Что виртуализацию не используйте, достаточно поднять виртуальную АСу
|
04 дек 2017, 19:21 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
root99 писал(а): Yacudzer
Что виртуализацию не используйте, достаточно поднять виртуальную АСу На чем поднять?
|
04 дек 2017, 19:24 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
AlexSashkaff писал(а): Как я Вас понимаю... (с) Реклама. Но не все так печально как Вы пишите. Поищите на этом форуме, я год назад страдал подобной чухней. Поднялось, взлетело. Если, надо, то могу файлик примера .xml прислать
Я так понимаю у Вас тоже pkg успешно развернулся на флеш-памяти? У меня такую вот ерунду выдает: А настройки сейчас такие: Код: ... crypto vpn anyconnect profile RemoteUserProfile flash:/webvpn/RemoteUserProfile.xml ... webvpn gateway webvpn-gw ip interface GigabitEthernet0/0 port 4443 http-redirect port 80 ssl encryption aes256-sha1 ssl trustpoint VPN-esko logging enable inservice ! webvpn context webvpn-ctx ! acl "ssl_vpn_acl" virtual-template 1 aaa authentication list REMOTEAUTHEN gateway webvpn-gw ! ssl encryption rc4-md5 aes256-sha1 ssl authenticate verify all inservice ! policy group pol_1 functions svc-enabled svc address-pool "REMOTE-USER-pool" netmask 255.255.255.255 svc keep-client-installed svc profile RemoteUserProfile svc split dns ".local" svc split include acl REMOTE-USER-stdacl svc dns-server primary 192.168.1.1 default-group-policy pol_1
Вложения:
ошибка anyconnect.jpg [ 53.89 КБ | Просмотров: 18177 ]
|
06 дек 2017, 21:04 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect.
|
07 дек 2017, 09:07 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
aliotru писал(а): мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect. Мне тоже. Как это ни странно. Если бы Вы внимательно читали предыдущие сообщения, то наверняка заметили бы что не удается установить образ anyconnect на флеш, поэтому я устанавливают его на удаленный комп вручную.
|
07 дек 2017, 09:13 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть. Что за иос у вас сейчас?
|
07 дек 2017, 09:33 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
aliotru писал(а): без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть. Что за иос у вас сейчас? Он у него на флеше и есть, только в папке. =)
|
07 дек 2017, 09:34 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
и еще покажите флеш.
что то мне кажется, что вы пытаетесь установить клиента в ту же папку из которой устанавливаете. Попробуйте положить файл в корень и установить в папку webvpn.
ps - проверил у себя, вполне устанавливается командой webvpn install svc
|
07 дек 2017, 09:50 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
aliotru писал(а): без разницы как вы поставите его на комп. Есть два пути - либо руками из exe, в случае винды, либо он сам поставится со шлюза. Но на флеше должен быть. Что за иос у вас сейчас? 15.5(3)M3 _2e_ писал(а): Он у него на флеше и есть, только в папке. =) Нету там ничего. ИОС один... и сертификаты CA сервера в папке... еще база dhcp...
|
07 дек 2017, 10:02 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Yacudzer
Пока не будет на роутере активирован svc pkg - Эниконнект не будет работать....
|
07 дек 2017, 12:20 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
aliotru писал(а): мне кажется эта ошибка говорит о том, что на флеше нет образа anyconnect. Доброго времени суток. Самое главное условие, наличие pkg anyconnect на флехе роутера. Если память не изменяет, то на АСАшке можно поднять без наличия pkg. Код: kv-office-gw#dir /all Directory of flash0:/anyconnect/
4 -rw- 19473166 May 18 2016 14:41:18 +03:00 anyconnect-win-4.2.04018-k9.pkg 5 -rw- 17815709 May 18 2016 14:46:14 +03:00 anyconnect-macosx-i386-4.2.04018-k9.pkg 6 -rw- 38602872 May 19 2016 13:47:10 +03:00 anyconnect-win-3.1.13015-k9.pkg
256507904 bytes total (31625216 bytes free)
|
07 дек 2017, 15:38 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
AlexSashkaff писал(а): Если память не изменяет, то на АСАшке можно поднять без наличия pkg. у мну не поднималось
|
07 дек 2017, 15:53 |
|
|
Yacudzer
Зарегистрирован: 02 янв 2014, 13:32 Сообщения: 91
|
root99 писал(а): Yacudzer
Пока не будет на роутере активирован svc pkg - Эниконнект не будет работать.... Взлетело... Спасибо. Вопреки многим гайдам надо было pkg в корень класть... Теперь сертификаты прикручиваю. пока вижу такое Код: main-gw(config-webvpn-context)#match-certificate REMOTE-USER-certmap Certificate match not required in default context
Но, думаю, скоро и это заработает.
|
07 дек 2017, 23:33 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 72 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|