The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"ASA5506 + anyconnect VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2email (ok), 29-Янв-19, 09:34 
ЗДравствуйте, есть файерволл ASA5506


Cisco Adaptive Security Appliance Software Version 9.6(4)6
Device Manager Version 7.9(1)151

Лицензии такие
Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 5              perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Disabled       perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Carrier                           : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 10             perpetual
Total VPN Peers                   : 12             perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
Shared License                    : Disabled       perpetual
Total TLS Proxy Sessions          : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Cluster                           : Disabled       perpetual

Пробовал через asdm настроить anyconnect vpn, все сделал по методичке, назначил порт 443, но он не поднимается, подключиться не получается. Все перепроверил. В свзи с этим вопрос, может
AnyConnect Premium Peers          : 2              perpetual
не достаточно лицензий?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ASA5506 + anyconnect VPN"  +/
Сообщение от Andrey (??), 29-Янв-19, 10:07 
> AnyConnect Premium Peers          
> : 2          
>     perpetual
> не достаточно лицензий?

Для личного пользования должно хватать.
Покажите конфиг и sh webvpn anyconnect

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2email (ok), 29-Янв-19, 10:24 
>> AnyConnect Premium Peers
>> : 2
>>     perpetual
>> не достаточно лицензий?
> Для личного пользования должно хватать.
> Покажите конфиг и sh webvpn anyconnect

ВОт кусок конфига

ip local pool anyconnect_pool 192.168.133.10-192.168.133.60 mask 255.255.255.0

interface GigabitEthernet1/8
nameif outside
security-level 90
ip address X.X.X.X 255.255.255.192


access-list outside_access_in extended permit icmp any4 any4 unreachable
access-list outside_access_in extended permit icmp any4 any4 time-exceeded
access-list outside_access_in extended permit icmp any4 any4 echo
access-list outside_access_in extended permit icmp any4 any4 echo-reply
access-list outside_access_in extended permit icmp any4 any4 traceroute
access-list outside_access_in extended permit tcp any4 any4 eq https
access-list SPLIT_Tunnel remark To the local network
access-list SPLIT_Tunnel standard permit 192.168.0.0 255.255.0.0
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-ns

nat (inside,outside) source dynamic internet_access_via_asa interface
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.133.0_26 NETWORK_OBJ_192.168.133.0_26 no-proxy-arp route-lookup

access-group outside_access_in in interface outside

Настройки ааа опущу, т.к. авторизация через ssh работает нормально, далее

http server enable 8443

crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map infolada_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ASA5506
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 292c585b
    <...>
    20d92d3d 279f9610 05a84344 beb322ba 0a41
  quit

crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outsiede client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0

ssl cipher default custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1.1 low
ssl cipher tlsv1.2 low
ssl cipher dtlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl trust-point ASDM_TrustPoint0 outside
ssl certificate-authentication interface outside port 443

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05187-k9.pkg 1
anyconnect profiles Anyconnect_VPN_client_profile disk0:/Anyconnect_VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
cache
  disable
error-recovery disable
group-policy GroupPolicy_Anyconnect_VPN internal
group-policy GroupPolicy_Anyconnect_VPN attributes
wins-server none
dns-server value 192.168.1.2 192.168.1.3
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_Tunnel
default-domain value corp.test.com
webvpn
  anyconnect keep-installer installed
  anyconnect dpd-interval client 20
  anyconnect profiles value Anyconnect_VPN_client_profile type user
  anyconnect ask none default anyconnect
dynamic-access-policy-record DfltAccessPolicy

tunnel-group Anyconnect_VPN type remote-access
tunnel-group Anyconnect_VPN general-attributes
address-pool anyconnect_pool
authentication-server-group actdir-srv1
default-group-policy GroupPolicy_Anyconnect_VPN
tunnel-group Anyconnect_VPN webvpn-attributes
group-alias Anyconnect_VPN enable

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 30-Янв-19, 08:55 
На всякий случай сделал еще и

sysopt connection permit-vpn

Но порт  443 на внешнем интерфейсе не поднимается.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 30-Янв-19, 12:48 
> На всякий случай сделал еще и
> sysopt connection permit-vpn
> Но порт  443 на внешнем интерфейсе не поднимается.

И еще, добавил внутренний интерфейс в webvpn

webvpn
enable inside

И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл, в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но почему-то никак не коннектится.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ASA5506 + anyconnect VPN"  +/
Сообщение от Andrey (??), 30-Янв-19, 13:01 
>> На всякий случай сделал еще и
>> sysopt connection permit-vpn
>> Но порт  443 на внешнем интерфейсе не поднимается.
> И еще, добавил внутренний интерфейс в webvpn
> webvpn
>  enable inside
> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
> почему-то никак не коннектится.

Конфиг копи-пастили или вручную набивали сюда?
Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443 ?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 30-Янв-19, 13:50 
>[оверквотинг удален]
>>> Но порт  443 на внешнем интерфейсе не поднимается.
>> И еще, добавил внутренний интерфейс в webvpn
>> webvpn
>>  enable inside
>> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
>> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
>> почему-то никак не коннектится.
> Конфиг копи-пастили или вручную набивали сюда?
> Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443
> ?

копипастил, изменил только псевдоним внешнего интерфейса вручную для простоты понимания на outside, поэтому ошибся. Я честно говоря уже оставил только ssl.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 30-Янв-19, 15:25 
ВОобще конечно странно, добавил

http server enable 8443

http 0.0.0.0 0.0.0.0 outside

и В правило на внеший интерфейс


access-list outside_access_in extended permit udp any4 any4 eq 8443

где

access-group outside_access_in in interface outside

Изнутри пускает на asdm, с внешки также нет. Но никак не пойму чем в конфиге режется.
Ну security-level 90 на внешнем интерфейсе, на внутренних 100, но думаю это роли не играет.
Так и vpn ssl похоже аналогично режет.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 31-Янв-19, 09:17 
Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять через outside.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ASA5506 + anyconnect VPN"  +/
Сообщение от cr1m2 (ok), 31-Янв-19, 10:53 
> Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на
> котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять
> через outside.

Есть ли на ASA что-то вроде ip local policy как на роутерах? как бы задать это в дефолтной политике?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor