Uzver© Posted August 16, 2017 Posted August 16, 2017 Слышал я где то краем уха, что можно даже на не столь новую 1812 затолкать Anyconnect, только возникли у меня так сказать вопросы. Во первых а хватит ли моего конфига? Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3) 128flash 384ram Нашел вот эту статью. https://www.cisco.com/c/en/us/support/docs/routers/3800-series-integrated-services-routers/110608-ssl-ios-00.html Второй вопрос, а какую версию CCP туда лить, ну и может кто подскажет где взять. Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор? Вобщем масса вопросов для начала по согласованию всех версий софта. Вставить ник Quote
v_r Posted August 16, 2017 Posted August 16, 2017 Во первых а хватит ли моего конфига? Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3) 128flash 384ram Насколько помню на 1841 Anyconnect работает, правда скорость закачки не ахти - шифрование работает на CPU. Объем DRAM/Flash зависит от требований IOS, ставьте минимально поддерживаемую клиентом или чуть более свежую, а то были случаи что клиент не может подключиться к маршрутизатору со слишком старой/новой для конкретной версии клиента IOS. Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор? Работал c 4.2, для него 15.1(4)M9 подходила. Чем новее клиент тем лучше, все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco. Вставить ник Quote
Uzver© Posted August 17, 2017 Author Posted August 17, 2017 все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco. Вот именно это пока и ищу. Вставить ник Quote
v_r Posted August 17, 2017 Posted August 17, 2017 https://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_sslvpn/configuration/15-mt/sec-conn-sslvpn-15-mt-book/sec-conn-sslvpn-ssl-vpn.html Вставить ник Quote
starik-i-more Posted August 17, 2017 Posted August 17, 2017 (edited) Пользовался ли кто-то вот такой штукой? http://ocserv.gitlab.io/www/index.html Вроде как сервер AnyConnect под Linux Edited August 17, 2017 by starik-i-more Вставить ник Quote
Uzver© Posted August 18, 2017 Author Posted August 18, 2017 А вот не глянет ли кто в такой конфиг, он уже работает... Но может кто видит косяки? service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname **** ! boot-start-marker boot-end-marker ! ! enable secret 5 $******************************. ! aaa new-model ! ! aaa authentication login default local aaa authentication login vpn_ls local aaa authorization exec default local ! ! ! ! ! aaa session-id common ! crypto pki token default removal timeout 0 ! crypto pki trustpoint SSLVPN_CERT enrollment selfsigned subject-name CN=**.***.**.** revocation-check crl rsakeypair SSLVPN_KEYPAIR ! ! crypto pki certificate chain SSLVPN_CERT certificate self-signed 02 3082033E <cut> D147 quit dot11 syslog ip source-route ! ! ! ! ! ip cef ip domain name ****.local ip name-server ***.***.*.* no ipv6 cef ! multilink bundle-name authenticated ! ! ! license udi pid CISCO1812/K9 sn *********** username **** privilege 15 secret 5 $********************************** ! ! ! ! ! ! ! ! ! interface Loopback1 no ip address ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 description external ip address *.***.**.** 255.255.255.240 duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address ! interface FastEthernet5 no ip address ! interface FastEthernet6 no ip address ! interface FastEthernet7 no ip address ! interface FastEthernet8 no ip address ! interface FastEthernet9 no ip address ! interface Virtual-Template1 ip unnumbered Loopback1 ! interface Vlan1 description internal inerface ip address 192.168.1.12 255.255.254.0 ! ip local pool ezvpn_pool 192.168.1.20 192.168.1.29 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip route 0.0.0.0 0.0.0.0 **.***.**.** ! ip access-list standard ssl_vpn_split_acl permit 192.168.0.0 0.0.1.255 ! ip access-list extended ssl_vpn_acl permit ip any any ! no cdp run ! ! ! ! ! ! ! ! control-plane ! ! ! line con 0 password 7 ************* line aux 0 line vty 0 4 exec-timeout 30 0 password 7 ******** logging synchronous transport input ssh line vty 5 193 exec-timeout 30 0 password 7 *********** logging synchronous transport input ssh ! ! webvpn gateway SSLVPN_GATEWAY ip address **.*****.** port 443 http-redirect port 80 ssl trustpoint SSLVPN_CERT inservice ! webvpn install svc flash:/webvpn/anyconnect-win-4.4.03034-webdeploy-k9.pkg sequence 1 ! webvpn context SSL_Context secondary-color white title-color #669999 text-color black ssl authenticate verify all ! acl "ssl_vpn_acl" ! ! policy group SSL_Policy functions svc-enabled svc address-pool "ezvpn_pool" netmask 255.255.254.0 svc default-domain "****.local" svc keep-client-installed svc split include acl ssl_vpn_split_acl svc dns-server primary 192.168.1.250 virtual-template 1 default-group-policy SSL_Policy aaa authentication list vpn_ls gateway SSLVPN_GATEWAY inservice ! end starik-i-moreДа решений то полно, но для каждого нужна платформа, сколько стоит допустим одноюнитовый нормальный комп на который можно будет взгромоздить ту же фряху? Вставить ник Quote
starik-i-more Posted August 19, 2017 Posted August 19, 2017 Это аргумент. Но у нас на узле уже трудится сервер с гипервизором. Получается, что на виртуальной машине линуксовый сервер AnyConnect можно запустить без доп расходов. Вставить ник Quote
Uzver© Posted August 19, 2017 Author Posted August 19, 2017 Кстати никогда не пускал на виртуалках роутеры, а сеть как разруливать через vlan? Вставить ник Quote
starik-i-more Posted August 19, 2017 Posted August 19, 2017 Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic. Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность. Вроде пишут что у CentOS 7 этот сервер есть в репо. yum install ocserv http://andrey.org/openconnect-vpn-server-centos-radius/ Вставить ник Quote
starik-i-more Posted May 28, 2018 Posted May 28, 2018 В 19.08.2017 в 14:13, starik-i-more сказал: Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic. Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность. Вроде пишут что у CentOS 7 этот сервер есть в репо. yum install ocserv http://andrey.org/openconnect-vpn-server-centos-radius/ Наконец дотянулись руки поставить ocserv Для запуска понадобился бубен Но в остальном впечатления позитивные Клиенты Cisco Anyconnect VPN для Win и Android работают хорошо. На стороне сервера для клиентов можно индивидуально прописывать какие маршруты им просаживать. Красота ) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.