Jump to content
Калькуляторы

Anyconnect на cisco 1812

Слышал я где то краем уха, что можно даже на не столь новую 1812 затолкать Anyconnect, только возникли у меня так сказать вопросы.

 

Во первых а хватит ли моего конфига?

Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3)

128flash 384ram

 

Нашел вот эту статью.

https://www.cisco.com/c/en/us/support/docs/routers/3800-series-integrated-services-routers/110608-ssl-ios-00.html

Второй вопрос, а какую версию CCP туда лить, ну и может кто подскажет где взять.

 

Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор?

 

Вобщем масса вопросов для начала по согласованию всех версий софта.

Share this post


Link to post
Share on other sites

Во первых а хватит ли моего конфига?

Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3)

128flash 384ram

Насколько помню на 1841 Anyconnect работает, правда скорость закачки не ахти - шифрование работает на CPU.

Объем DRAM/Flash зависит от требований IOS, ставьте минимально поддерживаемую клиентом или чуть более свежую, а то были случаи что клиент не может подключиться к маршрутизатору со слишком старой/новой для конкретной версии клиента IOS.

Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор?

Работал c 4.2, для него 15.1(4)M9 подходила.

Чем новее клиент тем лучше, все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco.

Share this post


Link to post
Share on other sites
все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco.

Вот именно это пока и ищу.

Share this post


Link to post
Share on other sites

А вот не глянет ли кто в такой конфиг, он уже работает...

Но может кто видит косяки?

 

 

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname ****

!

boot-start-marker

boot-end-marker

!

!

enable secret 5 $******************************.

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login vpn_ls local

aaa authorization exec default local

!

!

!

!

!

aaa session-id common

!

crypto pki token default removal timeout 0

!

crypto pki trustpoint SSLVPN_CERT

enrollment selfsigned

subject-name CN=**.***.**.**

revocation-check crl

rsakeypair SSLVPN_KEYPAIR

!

!

crypto pki certificate chain SSLVPN_CERT

certificate self-signed 02

3082033E

<cut>

D147

quit

dot11 syslog

ip source-route

!

!

!

!

!

ip cef

ip domain name ****.local

ip name-server ***.***.*.*

no ipv6 cef

!

multilink bundle-name authenticated

!

!

!

license udi pid CISCO1812/K9 sn ***********

username **** privilege 15 secret 5 $**********************************

!

!

!

!

!

!

!

!

!

interface Loopback1

no ip address

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface FastEthernet0

description external

ip address *.***.**.** 255.255.255.240

duplex auto

speed auto

!

interface FastEthernet1

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

no ip address

!

interface FastEthernet5

no ip address

!

interface FastEthernet6

no ip address

!

interface FastEthernet7

no ip address

!

interface FastEthernet8

no ip address

!

interface FastEthernet9

no ip address

!

interface Virtual-Template1

ip unnumbered Loopback1

!

interface Vlan1

description internal inerface

ip address 192.168.1.12 255.255.254.0

!

ip local pool ezvpn_pool 192.168.1.20 192.168.1.29

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip route 0.0.0.0 0.0.0.0 **.***.**.**

!

ip access-list standard ssl_vpn_split_acl

permit 192.168.0.0 0.0.1.255

!

ip access-list extended ssl_vpn_acl

permit ip any any

!

no cdp run

!

!

!

!

!

!

!

!

control-plane

!

!

!

line con 0

password 7 *************

line aux 0

line vty 0 4

exec-timeout 30 0

password 7 ********

logging synchronous

transport input ssh

line vty 5 193

exec-timeout 30 0

password 7 ***********

logging synchronous

transport input ssh

!

!

webvpn gateway SSLVPN_GATEWAY

ip address **.*****.** port 443

http-redirect port 80

ssl trustpoint SSLVPN_CERT

inservice

!

webvpn install svc flash:/webvpn/anyconnect-win-4.4.03034-webdeploy-k9.pkg sequence 1

!

webvpn context SSL_Context

secondary-color white

title-color #669999

text-color black

ssl authenticate verify all

!

acl "ssl_vpn_acl"

!

!

policy group SSL_Policy

functions svc-enabled

svc address-pool "ezvpn_pool" netmask 255.255.254.0

svc default-domain "****.local"

svc keep-client-installed

svc split include acl ssl_vpn_split_acl

svc dns-server primary 192.168.1.250

virtual-template 1

default-group-policy SSL_Policy

aaa authentication list vpn_ls

gateway SSLVPN_GATEWAY

inservice

!

end

 

starik-i-moreДа решений то полно, но для каждого нужна платформа, сколько стоит допустим одноюнитовый нормальный комп на который можно будет взгромоздить ту же фряху?

Share this post


Link to post
Share on other sites

Это аргумент.

Но у нас на узле уже трудится сервер с гипервизором. Получается, что на виртуальной машине линуксовый сервер AnyConnect можно запустить без доп расходов.

Share this post


Link to post
Share on other sites

Кстати никогда не пускал на виртуалках роутеры, а сеть как разруливать через vlan?

Share this post


Link to post
Share on other sites

Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic.

 

Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность.

 

Вроде пишут что у CentOS 7 этот сервер есть в репо.

yum install ocserv

 

http://andrey.org/openconnect-vpn-server-centos-radius/

Share this post


Link to post
Share on other sites
В 19.08.2017 в 14:13, starik-i-more сказал:

Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic.

 

Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность.

 

Вроде пишут что у CentOS 7 этот сервер есть в репо.

yum install ocserv

 

http://andrey.org/openconnect-vpn-server-centos-radius/

Наконец дотянулись руки поставить ocserv

Для запуска понадобился бубен

Но в остальном впечатления позитивные

Клиенты Cisco Anyconnect VPN для Win и Android работают хорошо.

На стороне сервера для клиентов можно индивидуально прописывать какие маршруты им просаживать. Красота )

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this