[dr Tr0jan]

Необходимо подключаться к сервису контрагента, находящемуся у него в сети. Контрагент предлагает Cisco AnyConnect Client для организации VPN с клиентских компьютеров. По ряду причин поднимать VPN-подключение с клиентских машин нецелесообразно. Можно ли инициировать клиентское подключение не с машины под управлением Windows, а с Cisco ISR (например, есть 3845 на 12.4(24)T6)? Гугл ответа не дал (точнее не смог сформулировать правильный вопрос) - везде организация сервера для AnyConnect. Знакомые цискари пожимают плечами.

[furai]

Насчет циски сомневаюсь, а с линуксового роутера можно.

[zi_rus]

тоже самое искал только для ASA. Полагаю что если в гугле не всплывает, то его нет

[kapydan]

т.е. сделать vpn между 3845 и сервером с нужным сервисом с дрйгоу сторон? и потом внутри сделать трубу?

[zi_rus]

ну или просто поднимать site-to-site

[kapydan]

странная схема, никогда не сталкивался с такой. думаю, что маловероятна ее реализация.

[dr Tr0jan]

сделать vpn между 3845 и сервером с нужным сервисом с дрйгоу сторон?

Сервис принадлежит вообще третьей стороне, и договора с ними нет.

 

ну или просто поднимать site-to-site

Контрагент не хочет.

 

странная схема, никогда не сталкивался с такой. думаю, что маловероятна ее реализация.

Что в ней странного? Обычная схема. С PPTP/L2TP проблем вообще никаких нет. С OpenVPN (разумеется) и с AnyConnect - проблема.

Изменено 23 мая, 2016 пользователем dr Tr0jan

[zi_rus]

Что в ней странного? Обычная схема. С PPTP/L2TP проблем вообще никаких нет. С OpenVPN (разумеется) и с AnyConnect - проблема.

Согласен, ничего странного. Но с другой стороны это использование технологии не по назначению. Эниконнект разработан для быстрого и простого подключения пользователя к сети (заметьте, циска делает эниконнект клиента под windows/linux, но он не устанавливается в виде сервиса или демона в систему), когда вы соединяете одну сеть с другой все же по уму надо делать site-to-site. Я понимаю что в вашей ситуации вот так получилось и видимо из нормальных вариантов остается линукс роутер с установленным openconnect и quagga/bird/etc. Можно поднять виртуалку если есть где, или купить роутер за 2-3тр и поставить туда openwrt и тогда все проблемные варианты становятся безпроблемными

[kapydan]

это использование технологии не по назначению

это и имел ввиду под словом странная. плюс, получается что участника три - ваша сторона, вторая сторона, которой принадлежит удаленная сеть. третья сторона, с которой нет договора - нужный сервис. ну а третья сторона вообще в курсе то, что хотите подключиться?

[dr Tr0jan]

Контрагент согласился на site-to-site. Подняли IPSec tunnel mode.

 

kapydan, там очень хитрая схема: мы с помощью сервиса третьей стороны (по договору сервис нам должен предоставлять контрагент) предоставляем услуги контрагенту.