Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 11:41



Ответить на тему  [ Сообщений: 11 ] 
Cisco asa и профили подключения cisco anyconnect 
Автор Сообщение

Зарегистрирован: 16 авг 2019, 20:28
Сообщения: 5
Коллеги, добрый день!
Я недавно получил в распоряжение завалявшуюся асу 5505.

Суть вопроса:
Есть несколько вендоров, которым нужно ходить в нашу сеть. Часть из них не сетевики и они не могут настроить полноценный vpn тунель до нашей сети, так что я им предлагаю anyconnect клиент.
У меня настроено несколько групп подключений по SSL, пока без CA и корневых сертификатов, а просто самоподписанный сертификат асы и все, чуть позже прикручу все нормально.
Так же есть учетки пользователей для их аутентификации.
Вопрос: как мне разрешить логиниться определенной учетке к определенной политике anyconnect vpn'a.

У меня аксесс листами и сервис-полисями разграничен доступ до различных ресурсов и листы эти стоят на те подсети, которые выдаются в рамках политики. И получается глупая ситуация, что при подключении, клиент может выбрать политику из выпадающего списка и получить доступ совсем не тот, который я бы хотел.

Я читал про разграничении в соответсвии с аутентификацией пользователя по его сертификату, но нужно решение проще пока, так как сделать надо было все еще вчера. Я уверен, что как-то можно привязать учетку к политике, но не могу нагуглить как, помогите, пож-та.


21 авг 2019, 09:24
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Код:
username user3 password xxx encrypted
username user3 attributes
 vpn-group-policy SSL-GPI3

group-policy SSL-GPI3 internal
group-policy SSL-GPI3 attributes
 wins-server none
 dns-server value 10.0.0.53 10.0.0.58
 vpn-simultaneous-logins 100
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SSL-SPLIT3
 default-domain value russia.imptobnet.com
 address-pools value SSL-POOL3
 webvpn
  anyconnect ssl rekey time 30
  anyconnect ssl rekey method ssl

access-list SSL-SPLIT3 standard permit host 10.0.0.31
access-list SSL-SPLIT3 standard permit host 10.0.0.33
access-list SSL-SPLIT3 standard permit host 10.0.0.34
access-list SSL-SPLIT3 standard permit host 10.0.0.35
access-list SSL-SPLIT3 standard permit host 10.0.0.36



21 авг 2019, 09:31
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Radcriminal писал(а):
И получается глупая ситуация, что при подключении, клиент может выбрать политику из выпадающего списка и получить доступ совсем не тот, который я бы хотел.

Как она у вас получается то? У вас под каждого человека свой профиль? не удобнее ли сделать один профиль, а далее, как указал 2е на каждую учетку навешать нужных политик и ACL, если учетки у вас локальные


21 авг 2019, 09:36
Профиль

Зарегистрирован: 16 авг 2019, 20:28
Сообщения: 5
Да легко получается.
Есть, грубо, 2 профиля с 2мя разными пулами адресов.
Есть 10 + 10 учеток на эти профили.
Учетки из первой десятки могут выбрать либо второй профиль, либо первый при подключении через anyconnect клиент.
Политики доступа (access листы) привязаны к пулам адресов. Выбирая профили мы выбираем себе, условно, аксес листы.

_2e_ писал(а):
Код:
username user3 password xxx encrypted
username user3 attributes
 vpn-group-policy SSL-GPI3

group-policy SSL-GPI3 internal
group-policy SSL-GPI3 attributes
 wins-server none
 dns-server value 10.0.0.53 10.0.0.58
 vpn-simultaneous-logins 100
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SSL-SPLIT3
 default-domain value russia.imptobnet.com
 address-pools value SSL-POOL3
 webvpn
  anyconnect ssl rekey time 30
  anyconnect ssl rekey method ssl

access-list SSL-SPLIT3 standard permit host 10.0.0.31
access-list SSL-SPLIT3 standard permit host 10.0.0.33
access-list SSL-SPLIT3 standard permit host 10.0.0.34
access-list SSL-SPLIT3 standard permit host 10.0.0.35
access-list SSL-SPLIT3 standard permit host 10.0.0.36



То есть предложение делать под каждую учетки списки доступа? А если учеток сотни? Может быть есть более скалириуемое решение?


21 авг 2019, 10:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
сотни Local учеток для впн на АСА - ну это же не удобно.
AD + attribute map, radius + DACL


21 авг 2019, 10:46
Профиль

Зарегистрирован: 16 авг 2019, 20:28
Сообщения: 5
Согласен, что неудобно. Сотен учеток нет, это вопрос из серии "а если".

В общем, казалось бы простого решения, просто разрешить определенной учетки использовать определенный профиль и соответсвенно получать только нужные маршруты через сплит тунелинг и определнный адрес нет? А если юзер с компьютерем на Вы и даже профиль подключение из выпадающего списка выбрать не может или вечно забывает, как в данном случае решается проблема? Не увязывается у меня в голове, что так сделать нельзя, это же очевидная вещь.


21 авг 2019, 11:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Radcriminal писал(а):
просто разрешить определенной учетки использовать определенный профиль и соответсвенно получать только нужные маршруты через сплит тунелинг и определнный адрес нет?
выше есть решение - как раз под ваше описание.
Radcriminal писал(а):
А если юзер с компьютерем на Вы и даже профиль подключение из выпадающего списка выбрать не может или вечно забывает, как в данном случае решается проблема?

сделайте всего один профиль, зачем вам два
используйте радиус - это не сложно и бесплатно.))


21 авг 2019, 11:36
Профиль

Зарегистрирован: 16 авг 2019, 20:28
Сообщения: 5
aliotru писал(а):
сделайте всего один профиль, зачем вам два


В разных профилях разные сплит тунеленги.
Некоторым вендорам надо ходить через нашу сеть до удаленных сетей площадок и иметь определенный маршрут до определенной сети, а не до сотен.


21 авг 2019, 12:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Radcriminal писал(а):
В разных профилях разные сплит тунеленги.

split привязывается к политикам, а не к профилям.


21 авг 2019, 14:55
Профиль

Зарегистрирован: 16 авг 2019, 20:28
Сообщения: 5
aliotru писал(а):
Radcriminal писал(а):
В разных профилях разные сплит тунеленги.

split привязывается к политикам, а не к профилям.

Ну политика только одна к профилю привязывается, разве нет? Тогда какая разница как это назвать?


21 авг 2019, 15:36
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
да, одна, например noaccess. А весь остальной доступ определяется политиками пользователей/групп. Иначе выходит по вашим же рассуждениям - если сотня пользователей и у каждого разные политики.

ну вот если брать ваши исходные данные и нежелание использовать что то еще, то приделайте каждому пользователю статический адрес, и тогда, даже если пользователь из первой группы выберет второй профиль, он никуда не попадет.


21 авг 2019, 16:54
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 95


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB