Доброго времени суток.
Прошу помощи у тех кто webvpn на роутерах (не ASA) успешно юзает.
Вот какую беду обнаружил.
Возникла необходимость вынести некоторых пользователей в отдельный контекст (другие маршруты, другой virtual-template) и вот что обнаружил.
Если в контексте поменять gateway webvpn-gw на что-то вроде gateway webvpn-gw domain qwerty, затем добавить match-certificate REMOTE-USER-cert-map для фильтра юзеров по сертам и при этом отключить в anyconnect автовыбор сертификатов, то он вообще перестает соединяться...
Если опцию AutomaticCertSelection включить (или выключить обратно галку Disable Automatic Certificate Selection в Profile editor), то соединяется, но выбирает сертификат по своим религиозным соображениям. Я добавил на свой бук второй сертификат для теста туннеля, а AnyConnect упорно выбирает старый. При ручном выборе вообще не соединяется (даже не дает выбрать серт).
Что характерно, чере веб-морду в автоматическом режиме из IExplorer коннектится успешно с любым сертом (explorer то дает выбрать успешно).
Вот такой конфиг контекста (один из них, точнее):
Код:
webvpn context webvpn-ctx
virtual-template 1
aaa authentication list REMOTEAUTHEN
gateway webvpn-gw domain qwerty
authentication certificate aaa
username-prefill
match-certificate REMOTE-USER-cert-map
ca trustpoint vpn.mydomain.RU-tp
!
ssl encryption aes256-sha1
ssl authenticate verify all
inservice
!
policy group OfficeUsers
functions svc-enabled
functions svc-required
timeout idle 3600
svc address-pool "REMOTE-USER-pool" netmask 255.255.255.255
svc keep-client-installed
svc dpd-interval client 60
svc dpd-interval gateway 60
svc mtu 1300
svc profile RemoteSSLIPSEC
svc split include acl REMOTE-USER-stdacl
svc dns-server primary 192.168.1.1
default-group-policy OfficeUsers
А вот профиль (тоже один из них):
Код:
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreMac>All</CertificateStoreMac>
<CertificateStoreOverride>true</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<DisableCaptivePortalDetection UserControllable="true">true</DisableCaptivePortalDetection>
<ClearSmartcardPin UserControllable="false">false</ClearSmartcardPin>
<IPProtocolSupport>IPv4</IPProtocolSupport>
<AutoReconnect UserControllable="true">true
<AutoReconnectBehavior UserControllable="true">ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Automatic
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
<AllowManualHostInput>true</AllowManualHostInput>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>RSKRES SSL</HostName>
<HostAddress>vpn.mydomain.ru</HostAddress>
</HostEntry>
<HostEntry>
<HostName>RSKRES IpSec</HostName>
<HostAddress>vpn.mydomain.ru</HostAddress>
<PrimaryProtocol>IPsec
<StandardAuthenticationOnly>true
<AuthMethodDuringIKENegotiation>IKE-RSA</AuthMethodDuringIKENegotiation>
</StandardAuthenticationOnly>
</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Как бороться с этим безобразием.
P.S. я уже смирился с тем что при коннекте по IpSec вообще никогда не дает серт выбирать