Автор |
Сообщение |
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
Хотелось бы получить совет от экспертов в вопросе шифрования при WebVPN подключениях.
Имеется Cisco 2911, на котором настроен WebVPN (AnyConnect) и на который же подключаются удаленные пользователи. Иногда наблюдается высокая загрузка CPU в процессе encrypt proc, что логично отвечает за шифрование WebVPN соединений, такое происходит если кто то на удаленном ПК (по RDP соединению), начинает смотреть Youtube и т.д.. либо что то скачивать..
Хотелось бы узнать как адекватно бороться с этим можно ? Может как то можно шифрования выставить вообще простенькое, чтоб меньше нагружало CPU !? Поделитесь опытом.
|
17 сен 2019, 12:37 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты.
|
25 сен 2019, 07:14 |
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21 Сообщения: 103
|
а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб.
|
25 сен 2019, 12:06 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
_2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: Код: policy group VPN_USERS functions svc-enabled timeout idle 1800 svc address-pool "VPN_POOL" netmask 255.255.255.0 svc default-domain "xxx.local" svc split dns "xxx.local" svc split include 10.10.10.0 255.255.255.0 svc split include 10.10.16.26 255.255.255.255 svc dns-server primary 10.10.16.2 Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается
|
02 окт 2019, 14:38 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
Praporwik писал(а): а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб. Пользователей не много, 15 где то, шифрование хз, по дефолту что стоит, вот тут я и плаваю и прошу совета, какое выбрать и как его выставить самое главное...
|
02 окт 2019, 14:39 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
it911sm писал(а): _2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: ... Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается Тут ССЗБ и изменение параметров шифрования не помогут.
|
02 окт 2019, 14:49 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
_2e_ писал(а): it911sm писал(а): _2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: ... Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается Тут ССЗБ и изменение параметров шифрования не помогут. жаль что выхода нет
|
02 окт 2019, 14:55 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например....
|
02 окт 2019, 15:01 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
root99 писал(а): на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например.... Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть По поводу замены, к сожалению на новый не выделят..
|
02 окт 2019, 15:16 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
it911sm писал(а): root99 писал(а): на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например.... Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть По поводу замены, к сожалению на новый не выделят.. Ставишь под варю ASAv 9.3.1 (например) на vCPUx3 RAM 4G без HA и старым добрым кейгеном делаешь 250 ssl юзеров. Цитата: username admin password admin privilege 15 hostname asa931 domain-name asa931 aaa authentication ssh console LOCAL interface GigabitEthernet0/0 nameif inside security-level 100 ip address dhcp ssh 0.0.0.0 0.0.0.0 inside crypto key generate rsa
Вложение:
Screenshot_1.jpg [ 206.54 КБ | Просмотров: 7617 ]
Вложение:
Screenshot_20.jpg [ 85.93 КБ | Просмотров: 7617 ]
|
03 окт 2019, 07:40 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
А как это все дело заворачивать с физического роутера на этот виртуальный?
К примеру на R1 приходит интернет - 88.88.88.2 255.255.255.252 88.88.88.1
Как дальше сделать правильно чтоб именно для VPN трафик шел на виртуальную ASAv ?
|
09 окт 2019, 21:36 |
|
|
it911sm
Зарегистрирован: 10 май 2018, 16:38 Сообщения: 83
|
Понял как, туплю..
|
09 окт 2019, 22:19 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
Ключик на более чем 250 сессий так и не появился?
|
15 окт 2019, 13:57 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
xeonz
всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён
_2e_
9.2.4-33 это последний для кейгена старого, 9.3.1 - не имеет смысла дырявый имидж 2014 года выпуска во всём, там присутствуют все уязвимости которые появились за промежуток 2014-2018 год...
|
16 окт 2019, 01:33 |
|
|
xeonz
Зарегистрирован: 11 окт 2013, 16:25 Сообщения: 148
|
root99 писал(а): всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён Как решен? Где решен? Дайте ссылку?
|
17 окт 2019, 11:07 |
|
|