Anticisco
http://anticisco.ru/forum/

CISCO AnyConnect & ISR G2
http://anticisco.ru/forum/viewtopic.php?f=2&t=6004
Страница 1 из 1

Автор:  termsl [ 22 ноя 2013, 10:49 ]
Заголовок сообщения:  CISCO AnyConnect & ISR G2

Добрый день, такой вопрос по AnyConnect- если его настраивать на маршрутизаторе 2921- части настроек, описанных везде нет, нет возможности использовать профили пользователей, и как я понял, нет возможности использовать Before Login фичу.
Это я не нашел или для их использования необходима именно CISCO ASA?
Вопрос поднимаю для понимания что делать -
купить лицензии SSL VPN на 2921 или какие-то еще, какие потребуются, или покупать ASA и лицензии SSL VPN уже на нее?

Автор:  zoperz [ 22 ноя 2013, 11:50 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Берите ASA. Там поддержка AnyConnect значительно лучше

Автор:  termsl [ 22 ноя 2013, 11:58 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

zoperz писал(а):
Берите ASA. Там поддержка AnyConnect значительно лучше

Т.е. мне не показалось, что на ISR AnyConnect урезанный и как ни бейся, полного функционала не достичь?

Автор:  zoperz [ 22 ноя 2013, 12:04 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Цитата:
Т.е. мне не показалось, что на ISR AnyConnect урезанный и как ни бейся, полного функционала не достичь?

Вам не показалось ;-) - всё так и есть. Кроме того, развитие платформы AnyConnect на раутерах практически нет и баги из под палки устраняют. Для циски AnyConnect это прежде всего ASA, а на раутерах "для галочки".

Автор:  Nikolay_ [ 22 ноя 2013, 12:11 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

termsl писал(а):
Добрый день, такой вопрос по AnyConnect- если его настраивать на маршрутизаторе 2921- части настроек, описанных везде нет, нет возможности использовать профили пользователей, и как я понял, нет возможности использовать Before Login фичу.

Что Вы имеете в виду - профили пользователей? Аутентификация как происходит - с использованием Radius сервера внешнего или встроенного?
Можно выдавать Radius attribute соответствующие и таким образом профилировать. Но не все атрибуты работали... :(
Список атрибутов здесь:
http://www.cisco.com/en/US/prod/collate ... 12071.html
Before Login фичу - что это?
Опишите что Вы хотите получить на SSL VPN на роутере, может что и подскажу...
К сожалению, информации по IOS SSLVPN немного на сайте Cisco, статьи три, наверное, и она разбросана по кускам.

Автор:  termsl [ 22 ноя 2013, 12:54 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

zoperz писал(а):
Цитата:
Т.е. мне не показалось, что на ISR AnyConnect урезанный и как ни бейся, полного функционала не достичь?

Вам не показалось ;-) - всё так и есть. Кроме того, развитие платформы AnyConnect на раутерах практически нет и баги из под палки устраняют. Для циски AnyConnect это прежде всего ASA, а на раутерах "для галочки".


Спасибо, вот только как теперь обосновать траты на закупку ASA )))

Автор:  termsl [ 22 ноя 2013, 12:57 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Nikolay_ писал(а):
termsl писал(а):
Добрый день, такой вопрос по AnyConnect- если его настраивать на маршрутизаторе 2921- части настроек, описанных везде нет, нет возможности использовать профили пользователей, и как я понял, нет возможности использовать Before Login фичу.

Что Вы имеете в виду - профили пользователей? Аутентификация как происходит - с использованием Radius сервера внешнего или встроенного?
Можно выдавать Radius attribute соответствующие и таким образом профилировать. Но не все атрибуты работали... :(
Список атрибутов здесь:
http://www.cisco.com/en/US/prod/collate ... 12071.html
Before Login фичу - что это?
Опишите что Вы хотите получить на SSL VPN на роутере, может что и подскажу...
К сожалению, информации по IOS SSLVPN немного на сайте Cisco, статьи три, наверное, и она разбросана по кускам.


Аутентификация пока локальная.
Профили - это xml который готовится либо вручную, либо тулзой Cisco AnyConnect Profile Editor.
Before Login -Before Logon - http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00809f0d75.shtml
Когда юзер может подключиться к VPN ДО входа в систему, что особенно актуально для доменных ремоте воркеров.

Автор:  Nikolay_ [ 22 ноя 2013, 13:29 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Все. понял.
Здесь смотрели для IOS?
http://www.cisco.com/en/US/docs/ios-xml ... 6809666055

Автор:  termsl [ 22 ноя 2013, 15:53 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Nikolay_ писал(а):
Все. понял.
Здесь смотрели для IOS?
http://www.cisco.com/en/US/docs/ios-xml ... 6809666055

Огромное спасибо, именно то, что надо! Покупка ASA отменяется)
Профиль установился, before logon активировался, теперь бьюсь, чтобы можно было подключиться с самоподписанным сертификатом, первая проблема о не доверенности сертификата решается экспортом сертификата с маршрутизатора и импортом его в доверенные центры сертификации на компьютер ремотеворкера, вторая, с различным именем в сертификате и именем VPN сервера - ищу work around.

Автор:  ploskiy [ 27 авг 2019, 10:44 ]
Заголовок сообщения:  Re: CISCO AnyConnect & ISR G2

Подниму старую тему.
А доменную авторизацию AnyConnect, поднятый на ISR G2, умеет? На ASA на ура поднимается.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/