Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 17:56



Ответить на тему  [ Сообщений: 4 ] 
Логирование подключений AnyConnect на ASA5520 
Автор Сообщение

Зарегистрирован: 30 авг 2022, 15:53
Сообщения: 2
Исходные данные:

Сеть 1: ASA5520, удаленные пользователи подключаются с помощью AnyConnect, авторизация по сертификату. В syslog отлавливаю сообщения с тегом ASA-7-734003 и оттуда забираю Session Attribute подключения endpoint.anyconnect.deviceuniqueid для идентификации устройств, с которых подключаются пользователи.

Сеть 2: ASA5520, удаленные пользователи подключаются с помощью AnyConnect, авторизация по сертификату и логину/паролю с AAA-сервера. В syslog отлавливаю сообщения с тегом ASA-7-734003, но в них нет данных от AnyConnect, только атрибуты типа aaa.radius[xx][x]

Настройки логирования идентичны на обоих ASA:

ASA# show logging setting
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Hide Username logging: enabled
Standby logging: disabled
Debug-trace logging: enabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: level informational, 57452057 messages logged
Trap logging: level debugging, facility 20, 62281323 messages logged
Logging to TO_LAN 192.168.10.13 udp/1514
Logging to TO_LAN 192.168.10.52 udp/1517 errors: 11 dropped: 3694
Permit-hostdown logging: enabled
History logging: level informational, 57452057 messages logged
Device ID: hostname "ASA"
Mail logging: disabled
ASDM logging: level informational, 57452057 messages logged

В чем может быть проблема отсутствия данных от AnyConnect в сети 2? Если из-за двухфакторной авторизации - можно ли как-то заставить AnyConnect отправлять сообщения напрямую на ASA?


31 авг 2022, 10:27
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
gramrus писал(а):
Настройки логирования идентичны на обоих ASA
В чем может быть проблема отсутствия данных от AnyConnect в сети 2?
можно ли как-то заставить AnyConnect отправлять сообщения напрямую на ASA?

Проблема отсутствия данных - в самом отсутствии.

Вообще, при обсуждении косяков в Cisco первым делом приводятся точные данные о железках
и версиях софта, т.к. телепаты обычно в отпуске. (Если вы Cisco не вчера первый раз увидели.)
И предварительно софт апгрейдят на самую свежую версию из стабильных.
Чтобы не искать прошлогодний снег.

Эти данные для DAP собирает не сам AnyConnect, а его модули, их там несколько,
помимо собственно anyconnect-win-4.10.05111-core-vpn-predeploy-k9.msi
В частности Cisco Secure Desktop (CSD) with HostScan module.
Есть там такой hostscan_4.10.05111-k9.zip.

Наверное во второй сети деплоили AnyConnect без HostScan.
Или же это глюк софта на ASA, если там разные версии.
Ищите 10 отличий между Сетями.

И вот почитайте, как это все работает.

Configure ASA VPN Posture with CSD, DAP and AnyConnect 4.0
https://www.cisco.com/c/en/us/support/d ... nyCon.html

_________________
Knowledge is Power


31 авг 2022, 23:20
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
anyconnect-win-4.10.05111-amp-predeploy-k9.msi
anyconnect-win-4.10.05111-core-vpn-predeploy-k9.msi
anyconnect-win-4.10.05111-dart-predeploy-k9.msi
anyconnect-win-4.10.05111-gina-predeploy-k9.msi
anyconnect-win-4.10.05111-iseposture-predeploy-k9.msi
anyconnect-win-4.10.05111-nam-predeploy-k9.msi
anyconnect-win-4.10.05111-nvm-predeploy-k9.msi
anyconnect-win-4.10.05111-posture-predeploy-k9.msi
anyconnect-win-4.10.05111-umbrella-predeploy-k9.msi

Нужные модули (помимо core-vpn) можно выбрать в Setup-е, если ставить через него.

_________________
Knowledge is Power


01 сен 2022, 00:20
Профиль

Зарегистрирован: 30 авг 2022, 15:53
Сообщения: 2
Отвечу сам: проблема была просто-напросто в том, что radius вел логи в устаревшем формате IAS. Переключили формат логов на DTS - radius принимает всю аутентификационную информацию от AnyConnect: MAC-адрес устройства, UDID, хостнейм, версии ОС и клиента.
Спасибо, может кому будет полезно.


02 сен 2022, 10:18
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 87


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB