|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Cisco asa и профили подключения cisco anyconnect
Автор |
Сообщение |
Radcriminal
Зарегистрирован: 16 авг 2019, 20:28 Сообщения: 5
|
Коллеги, добрый день! Я недавно получил в распоряжение завалявшуюся асу 5505.
Суть вопроса: Есть несколько вендоров, которым нужно ходить в нашу сеть. Часть из них не сетевики и они не могут настроить полноценный vpn тунель до нашей сети, так что я им предлагаю anyconnect клиент. У меня настроено несколько групп подключений по SSL, пока без CA и корневых сертификатов, а просто самоподписанный сертификат асы и все, чуть позже прикручу все нормально. Так же есть учетки пользователей для их аутентификации. Вопрос: как мне разрешить логиниться определенной учетке к определенной политике anyconnect vpn'a.
У меня аксесс листами и сервис-полисями разграничен доступ до различных ресурсов и листы эти стоят на те подсети, которые выдаются в рамках политики. И получается глупая ситуация, что при подключении, клиент может выбрать политику из выпадающего списка и получить доступ совсем не тот, который я бы хотел.
Я читал про разграничении в соответсвии с аутентификацией пользователя по его сертификату, но нужно решение проще пока, так как сделать надо было все еще вчера. Я уверен, что как-то можно привязать учетку к политике, но не могу нагуглить как, помогите, пож-та.
|
21 авг 2019, 09:24 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Код: username user3 password xxx encrypted username user3 attributes vpn-group-policy SSL-GPI3
group-policy SSL-GPI3 internal group-policy SSL-GPI3 attributes wins-server none dns-server value 10.0.0.53 10.0.0.58 vpn-simultaneous-logins 100 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SSL-SPLIT3 default-domain value russia.imptobnet.com address-pools value SSL-POOL3 webvpn anyconnect ssl rekey time 30 anyconnect ssl rekey method ssl
access-list SSL-SPLIT3 standard permit host 10.0.0.31 access-list SSL-SPLIT3 standard permit host 10.0.0.33 access-list SSL-SPLIT3 standard permit host 10.0.0.34 access-list SSL-SPLIT3 standard permit host 10.0.0.35 access-list SSL-SPLIT3 standard permit host 10.0.0.36
|
21 авг 2019, 09:31 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Radcriminal писал(а): И получается глупая ситуация, что при подключении, клиент может выбрать политику из выпадающего списка и получить доступ совсем не тот, который я бы хотел. Как она у вас получается то? У вас под каждого человека свой профиль? не удобнее ли сделать один профиль, а далее, как указал 2е на каждую учетку навешать нужных политик и ACL, если учетки у вас локальные
|
21 авг 2019, 09:36 |
|
|
Radcriminal
Зарегистрирован: 16 авг 2019, 20:28 Сообщения: 5
|
Да легко получается. Есть, грубо, 2 профиля с 2мя разными пулами адресов. Есть 10 + 10 учеток на эти профили. Учетки из первой десятки могут выбрать либо второй профиль, либо первый при подключении через anyconnect клиент. Политики доступа (access листы) привязаны к пулам адресов. Выбирая профили мы выбираем себе, условно, аксес листы. _2e_ писал(а): Код: username user3 password xxx encrypted username user3 attributes vpn-group-policy SSL-GPI3
group-policy SSL-GPI3 internal group-policy SSL-GPI3 attributes wins-server none dns-server value 10.0.0.53 10.0.0.58 vpn-simultaneous-logins 100 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value SSL-SPLIT3 default-domain value russia.imptobnet.com address-pools value SSL-POOL3 webvpn anyconnect ssl rekey time 30 anyconnect ssl rekey method ssl
access-list SSL-SPLIT3 standard permit host 10.0.0.31 access-list SSL-SPLIT3 standard permit host 10.0.0.33 access-list SSL-SPLIT3 standard permit host 10.0.0.34 access-list SSL-SPLIT3 standard permit host 10.0.0.35 access-list SSL-SPLIT3 standard permit host 10.0.0.36
То есть предложение делать под каждую учетки списки доступа? А если учеток сотни? Может быть есть более скалириуемое решение?
|
21 авг 2019, 10:24 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
сотни Local учеток для впн на АСА - ну это же не удобно. AD + attribute map, radius + DACL
|
21 авг 2019, 10:46 |
|
|
Radcriminal
Зарегистрирован: 16 авг 2019, 20:28 Сообщения: 5
|
Согласен, что неудобно. Сотен учеток нет, это вопрос из серии "а если".
В общем, казалось бы простого решения, просто разрешить определенной учетки использовать определенный профиль и соответсвенно получать только нужные маршруты через сплит тунелинг и определнный адрес нет? А если юзер с компьютерем на Вы и даже профиль подключение из выпадающего списка выбрать не может или вечно забывает, как в данном случае решается проблема? Не увязывается у меня в голове, что так сделать нельзя, это же очевидная вещь.
|
21 авг 2019, 11:00 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Radcriminal писал(а): просто разрешить определенной учетки использовать определенный профиль и соответсвенно получать только нужные маршруты через сплит тунелинг и определнный адрес нет? выше есть решение - как раз под ваше описание. Radcriminal писал(а): А если юзер с компьютерем на Вы и даже профиль подключение из выпадающего списка выбрать не может или вечно забывает, как в данном случае решается проблема? сделайте всего один профиль, зачем вам два используйте радиус - это не сложно и бесплатно.))
|
21 авг 2019, 11:36 |
|
|
Radcriminal
Зарегистрирован: 16 авг 2019, 20:28 Сообщения: 5
|
aliotru писал(а): сделайте всего один профиль, зачем вам два В разных профилях разные сплит тунеленги. Некоторым вендорам надо ходить через нашу сеть до удаленных сетей площадок и иметь определенный маршрут до определенной сети, а не до сотен.
|
21 авг 2019, 12:41 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Radcriminal писал(а): В разных профилях разные сплит тунеленги. split привязывается к политикам, а не к профилям.
|
21 авг 2019, 14:55 |
|
|
Radcriminal
Зарегистрирован: 16 авг 2019, 20:28 Сообщения: 5
|
aliotru писал(а): Radcriminal писал(а): В разных профилях разные сплит тунеленги. split привязывается к политикам, а не к профилям. Ну политика только одна к профилю привязывается, разве нет? Тогда какая разница как это назвать?
|
21 авг 2019, 15:36 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
да, одна, например noaccess. А весь остальной доступ определяется политиками пользователей/групп. Иначе выходит по вашим же рассуждениям - если сотня пользователей и у каждого разные политики.
ну вот если брать ваши исходные данные и нежелание использовать что то еще, то приделайте каждому пользователю статический адрес, и тогда, даже если пользователь из первой группы выберет второй профиль, он никуда не попадет.
|
21 авг 2019, 16:54 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 95 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|