Перейти к содержимому
Калькуляторы

Anyconnect на cisco 1812

Слышал я где то краем уха, что можно даже на не столь новую 1812 затолкать Anyconnect, только возникли у меня так сказать вопросы.

 

Во первых а хватит ли моего конфига?

Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3)

128flash 384ram

 

Нашел вот эту статью.

https://www.cisco.com/c/en/us/support/docs/routers/3800-series-integrated-services-routers/110608-ssl-ios-00.html

Второй вопрос, а какую версию CCP туда лить, ну и может кто подскажет где взять.

 

Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор?

 

Вобщем масса вопросов для начала по согласованию всех версий софта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во первых а хватит ли моего конфига?

Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M9, RELEASE SOFTWARE (fc3)

128flash 384ram

Насколько помню на 1841 Anyconnect работает, правда скорость закачки не ахти - шифрование работает на CPU.

Объем DRAM/Flash зависит от требований IOS, ставьте минимально поддерживаемую клиентом или чуть более свежую, а то были случаи что клиент не может подключиться к маршрутизатору со слишком старой/новой для конкретной версии клиента IOS.

Третий вопрос, пакеты самого клиента, всё таки какой версии добывать? anyconnect-all-packages-4.4.03034-k9 это правильный выбор?

Работал c 4.2, для него 15.1(4)M9 подходила.

Чем новее клиент тем лучше, все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
все вопросы совместимости IOS и версий клиента расписаны в документации к Anyconnect на сайте Cisco.

Вот именно это пока и ищу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользовался ли кто-то вот такой штукой?

http://ocserv.gitlab.io/www/index.html

 

Вроде как сервер AnyConnect под Linux

Изменено пользователем starik-i-more

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот не глянет ли кто в такой конфиг, он уже работает...

Но может кто видит косяки?

 

 

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname ****

!

boot-start-marker

boot-end-marker

!

!

enable secret 5 $******************************.

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login vpn_ls local

aaa authorization exec default local

!

!

!

!

!

aaa session-id common

!

crypto pki token default removal timeout 0

!

crypto pki trustpoint SSLVPN_CERT

enrollment selfsigned

subject-name CN=**.***.**.**

revocation-check crl

rsakeypair SSLVPN_KEYPAIR

!

!

crypto pki certificate chain SSLVPN_CERT

certificate self-signed 02

3082033E

<cut>

D147

quit

dot11 syslog

ip source-route

!

!

!

!

!

ip cef

ip domain name ****.local

ip name-server ***.***.*.*

no ipv6 cef

!

multilink bundle-name authenticated

!

!

!

license udi pid CISCO1812/K9 sn ***********

username **** privilege 15 secret 5 $**********************************

!

!

!

!

!

!

!

!

!

interface Loopback1

no ip address

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface FastEthernet0

description external

ip address *.***.**.** 255.255.255.240

duplex auto

speed auto

!

interface FastEthernet1

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

no ip address

!

interface FastEthernet5

no ip address

!

interface FastEthernet6

no ip address

!

interface FastEthernet7

no ip address

!

interface FastEthernet8

no ip address

!

interface FastEthernet9

no ip address

!

interface Virtual-Template1

ip unnumbered Loopback1

!

interface Vlan1

description internal inerface

ip address 192.168.1.12 255.255.254.0

!

ip local pool ezvpn_pool 192.168.1.20 192.168.1.29

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip route 0.0.0.0 0.0.0.0 **.***.**.**

!

ip access-list standard ssl_vpn_split_acl

permit 192.168.0.0 0.0.1.255

!

ip access-list extended ssl_vpn_acl

permit ip any any

!

no cdp run

!

!

!

!

!

!

!

!

control-plane

!

!

!

line con 0

password 7 *************

line aux 0

line vty 0 4

exec-timeout 30 0

password 7 ********

logging synchronous

transport input ssh

line vty 5 193

exec-timeout 30 0

password 7 ***********

logging synchronous

transport input ssh

!

!

webvpn gateway SSLVPN_GATEWAY

ip address **.*****.** port 443

http-redirect port 80

ssl trustpoint SSLVPN_CERT

inservice

!

webvpn install svc flash:/webvpn/anyconnect-win-4.4.03034-webdeploy-k9.pkg sequence 1

!

webvpn context SSL_Context

secondary-color white

title-color #669999

text-color black

ssl authenticate verify all

!

acl "ssl_vpn_acl"

!

!

policy group SSL_Policy

functions svc-enabled

svc address-pool "ezvpn_pool" netmask 255.255.254.0

svc default-domain "****.local"

svc keep-client-installed

svc split include acl ssl_vpn_split_acl

svc dns-server primary 192.168.1.250

virtual-template 1

default-group-policy SSL_Policy

aaa authentication list vpn_ls

gateway SSLVPN_GATEWAY

inservice

!

end

 

starik-i-moreДа решений то полно, но для каждого нужна платформа, сколько стоит допустим одноюнитовый нормальный комп на который можно будет взгромоздить ту же фряху?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это аргумент.

Но у нас на узле уже трудится сервер с гипервизором. Получается, что на виртуальной машине линуксовый сервер AnyConnect можно запустить без доп расходов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати никогда не пускал на виртуалках роутеры, а сеть как разруливать через vlan?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic.

 

Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность.

 

Вроде пишут что у CentOS 7 этот сервер есть в репо.

yum install ocserv

 

http://andrey.org/openconnect-vpn-server-centos-radius/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 19.08.2017 в 14:13, starik-i-more сказал:

Да. В nic гипервизора приходит несколько вланов. Гипервизор снимает тэг и отдает виртуальным машинам в разные виртуальные nic.

 

Кстати с учетом "мощности" x86 процессоров, у VPN сервера должна получиться очень внушительная производительность.

 

Вроде пишут что у CentOS 7 этот сервер есть в репо.

yum install ocserv

 

http://andrey.org/openconnect-vpn-server-centos-radius/

Наконец дотянулись руки поставить ocserv

Для запуска понадобился бубен

Но в остальном впечатления позитивные

Клиенты Cisco Anyconnect VPN для Win и Android работают хорошо.

На стороне сервера для клиентов можно индивидуально прописывать какие маршруты им просаживать. Красота )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас