Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 16:29



Ответить на тему  [ Сообщений: 7 ] 
AnyConnect на ISR и сертификаты 
Автор Сообщение

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Доброго времени суток.
Прошу помощи у тех кто webvpn на роутерах (не ASA) успешно юзает.
Вот какую беду обнаружил.
Возникла необходимость вынести некоторых пользователей в отдельный контекст (другие маршруты, другой virtual-template) и вот что обнаружил.
Если в контексте поменять gateway webvpn-gw на что-то вроде gateway webvpn-gw domain qwerty, затем добавить match-certificate REMOTE-USER-cert-map для фильтра юзеров по сертам и при этом отключить в anyconnect автовыбор сертификатов, то он вообще перестает соединяться...
Если опцию AutomaticCertSelection включить (или выключить обратно галку Disable Automatic Certificate Selection в Profile editor), то соединяется, но выбирает сертификат по своим религиозным соображениям. Я добавил на свой бук второй сертификат для теста туннеля, а AnyConnect упорно выбирает старый. При ручном выборе вообще не соединяется (даже не дает выбрать серт).
Что характерно, чере веб-морду в автоматическом режиме из IExplorer коннектится успешно с любым сертом (explorer то дает выбрать успешно).
Вот такой конфиг контекста (один из них, точнее):
Код:
webvpn context webvpn-ctx
 virtual-template 1
 aaa authentication list REMOTEAUTHEN
 gateway webvpn-gw domain qwerty
 authentication certificate aaa
 username-prefill
 match-certificate REMOTE-USER-cert-map
 ca trustpoint vpn.mydomain.RU-tp
 !
 ssl encryption aes256-sha1
 ssl authenticate verify all
 inservice
 !
 policy group OfficeUsers
   functions svc-enabled
   functions svc-required
   timeout idle 3600
   svc address-pool "REMOTE-USER-pool" netmask 255.255.255.255
   svc keep-client-installed
   svc dpd-interval client 60
   svc dpd-interval gateway 60
   svc mtu 1300
   svc profile RemoteSSLIPSEC
   svc split include acl REMOTE-USER-stdacl
   svc dns-server primary 192.168.1.1
 default-group-policy OfficeUsers


А вот профиль (тоже один из них):
Код:
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization>
      <UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>
      <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
      <ShowPreConnectMessage>false</ShowPreConnectMessage>
      <CertificateStore>All</CertificateStore>
      <CertificateStoreMac>All</CertificateStoreMac>
      <CertificateStoreOverride>true</CertificateStoreOverride>
      <ProxySettings>Native</ProxySettings>
      <AllowLocalProxyConnections>false</AllowLocalProxyConnections>
      <AuthenticationTimeout>12</AuthenticationTimeout>
      <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
      <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
      <LocalLanAccess UserControllable="true">true</LocalLanAccess>
      <DisableCaptivePortalDetection UserControllable="true">true</DisableCaptivePortalDetection>
      <ClearSmartcardPin UserControllable="false">false</ClearSmartcardPin>
      <IPProtocolSupport>IPv4</IPProtocolSupport>
      <AutoReconnect UserControllable="true">true
         <AutoReconnectBehavior UserControllable="true">ReconnectAfterResume</AutoReconnectBehavior>
      </AutoReconnect>
      <AutoUpdate UserControllable="false">true</AutoUpdate>
      <RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
      <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
      <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
      <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
      <PPPExclusion UserControllable="false">Automatic
         <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
      </PPPExclusion>
      <EnableScripting UserControllable="false">false</EnableScripting>
      <EnableAutomaticServerSelection UserControllable="false">false
         <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
         <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
      </EnableAutomaticServerSelection>
      <RetainVpnOnLogoff>false
      </RetainVpnOnLogoff>
      <AllowManualHostInput>true</AllowManualHostInput>
   </ClientInitialization>
   <ServerList>
      <HostEntry>
         <HostName>RSKRES SSL</HostName>
         <HostAddress>vpn.mydomain.ru</HostAddress>
      </HostEntry>
      <HostEntry>
         <HostName>RSKRES IpSec</HostName>
         <HostAddress>vpn.mydomain.ru</HostAddress>
         <PrimaryProtocol>IPsec
            <StandardAuthenticationOnly>true
               <AuthMethodDuringIKENegotiation>IKE-RSA</AuthMethodDuringIKENegotiation>
            </StandardAuthenticationOnly>
         </PrimaryProtocol>
      </HostEntry>
   </ServerList>
</AnyConnectProfile>


Как бороться с этим безобразием.

P.S. я уже смирился с тем что при коннекте по IpSec вообще никогда не дает серт выбирать :(


17 июн 2018, 22:11
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
А позвольте вопрос, дабы не полодить темы... может вы знаете и подскажите.

Настраиваю WEBVPN (не на ASA)

как прописать тунель в локальную сеть. Если шлюз локальной сети находится в vrf-lite ?

Ну т.е. соединение есть, получаю адрес, но нихера не пингую локальную сеть если прописываю:

svc split include 172.16.1.0 255.255.255.0


18 июн 2018, 15:52
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
it911sm писал(а):
А позвольте вопрос, дабы не полодить темы... может вы знаете и подскажите.

Настраиваю WEBVPN (не на ASA)

как прописать тунель в локальную сеть. Если шлюз локальной сети находится в vrf-lite ?

Ну т.е. соединение есть, получаю адрес, но нихера не пингую локальную сеть если прописываю:

svc split include 172.16.1.0 255.255.255.0


Может в virtual-template прописать нужный vrf?


18 июн 2018, 19:12
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Yacudzer писал(а):
it911sm писал(а):
А позвольте вопрос, дабы не полодить темы... может вы знаете и подскажите.

Настраиваю WEBVPN (не на ASA)

как прописать тунель в локальную сеть. Если шлюз локальной сети находится в vrf-lite ?

Ну т.е. соединение есть, получаю адрес, но нихера не пингую локальную сеть если прописываю:

svc split include 172.16.1.0 255.255.255.0


Может в virtual-template прописать нужный vrf?


Я правильно понимаю, если у меня локалка VRF LAN, то я пишу
int Virt-int 1
vrf forward LAN

webvpn contex VPN_CON
virtual-template 1

и будет работать ? Т.е. пинги будет в лкалку ?


18 июн 2018, 21:02
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
it911sm писал(а):
Yacudzer писал(а):
it911sm писал(а):
А позвольте вопрос, дабы не полодить темы... может вы знаете и подскажите.

Настраиваю WEBVPN (не на ASA)

как прописать тунель в локальную сеть. Если шлюз локальной сети находится в vrf-lite ?

Ну т.е. соединение есть, получаю адрес, но нихера не пингую локальную сеть если прописываю:

svc split include 172.16.1.0 255.255.255.0


Может в virtual-template прописать нужный vrf?


Я правильно понимаю, если у меня локалка VRF LAN, то я пишу
int Virt-int 1
vrf forward LAN

webvpn contex VPN_CON
virtual-template 1

и будет работать ? Т.е. пинги будет в лкалку ?


Да. Я даже не поленился и проверил на рабочем железе...

p.s. после изменений надо перезапустить контекст

Код:
webvpn context webvpn-ctx
no inservice
inservice


19 июн 2018, 09:00
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Благодарю ! Сейчас доберусь до работы, тоже проверю !


19 июн 2018, 09:34
Профиль

Зарегистрирован: 02 янв 2014, 13:32
Сообщения: 91
Up

Так по моему вопросу кто-нибудь подскажет?


20 июн 2018, 18:36
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 82


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB