Настройка WebVPN (AnyConnect) на маршрутизаторах Cisco IOS (Cisco 2911/K9)

Функция WebVPN обеспечивает поддержку удаленного доступа пользователей к корпоративным сетям из любого места в Интернете. WebVPN обеспечивает три режима доступа:

 

• Клиентский — Обеспечивает безопасный доступ к внутренним веб-ресурсам компании (прим. MS Outlook Web Access). Позволяет VPN-пользователям обозревать и получать доступ к файлам, расположенным на Windows серверах в корпоративной сети, посредством (CIFS).
• Тонкий клиент (Проброс портов) — Позволяет VPN-пользователям запускать клиентские приложения на их ПК через шифрованное соединение в корпоративной сети.
• Режим туннеля — Режим полного туннельного клиента обеспечивает легкий, централизованный и простой в использовании клиент SSL AnyConnect, который обеспечивает любой доступ к сетевому уровню компании.

 

Рассмотрим самый востребованный вариант настройки WebVPN в режиме туннеля. Настройка будет производится на оборудовании CISCO2911/K9 с версией прошивки 15.4(3)M9. Используемая версия  клиента AnyConnect 4.5.03040.

 

Загрузка AnyConnect Secure Mobility Client на маршрутизатор

Скачиваем пакеты AnyConnect Headend Deployment Package:

 

Загружаем пакеты на маршрутизатор, любым удобным способом (прим. TFTP):

 

Устанавливаем пакеты. При установке нескольких пакетов необходимо выставить у пакетов sequence (последовательность):

 

Генерация RSA ключей

Выполняем генерацию RSA 1024-битных пары ключей:

 

Выпуск само-подписного сертификата

Объявляем на маршрутизаторе trustpoint, с необходимым набором характеристик и выпускаем сертификат:

 

Включение и настройка AAA аутентификации

Включаем режим AAA (Authentication, Authorization and Accounting), создаем список аутентификации (прим. VPN_USERS), использующий локальную базу данных пользователей и создаем тестового пользователя (прим. test):

 

Активируем работу https сервера:

 

Создание пула IP-адресов для WebVPN

Пользователям WebVPN необходимо назначить IP-адрес LAN, чтобы они могли общаться с нашей сетью. Указываем пул IP-адресов, которые будут назначены VPN-пользователям. Пул IP-адресов может быть либо частью нашей локальной сети, либо совершенно другой сети:

 

Настройка Virtual-Template Interface (VTI)

При каждом VPN-подключении позволяет создаётся отдельный виртуальный интерфейс (Virtual-Access). Virtual-Access интерфейс клонируется с Virtual-Template-интерфейса, который настраивается следующим образом:

 

Если в настройке маршрутизатора используется VRF-lite + ENV RR, то необходимо так же это указать:

 

Настройка и включение WEBVPN шлюза

Виртуальный шлюз WebVPN позволяет использовать интерфейс или IP-адрес и номер порта, на котором служба WebVPN будет «прослушивать» входящие соединения:

 

Пояснения по командам:

• Создаем шлюз WebVPN.
• Указываем используемый интерфейс и порт (GigabitEthernet0/1 — порт провайдера).
• Указываем какой trustpoint использовать (используем ранее созданный).
• Включаем логирование.
• Активируем работу шлюза.

 

Настройка и включение WEBVPN контекста

Контекст WebVPN используется для настройки ряда параметров для нашего VPN-сервера.

 

Пример типовой настройки контекста WebVPN:

 

Пояснения по командам:

• Задаем текст, который будет отображаться в заголовке страницы веб-браузера.
• Задаем текст, который будет отображаться в разделе входа в веб-страницу webvpn.
• Указываем какой шаблон Virtual-Template интерфейса использовать.
• Указываем какой список аутентификации использовать.
• Указываем какой использовать шлюз WebVPN.
• Задаем максимальное кол-во пользователей, которые могут подключится к данному VPN-соединению.
• Указываем использовать проверку подлинности SSL.
• (Далее идет настройка политики пользователей)
• Включаем туннельный режим. Подключившийся VPN-пользователь, получит возможность загрузить на свой ПК клиентское программное обеспечение AnyConnect.
• Задаем время простоя, после которого пользователь будет отключен.
• Указываем какой пул IP-адресов использовать, для выдачи IP-адресов подключившимся пользователям.
• Указываем какой домен использовать по-умолчанию (Если таковой имеется в вашей инфраструктуре).
• Команды svc split (dns, include) позволяет разделить туннелирование, указав, какой сетевой трафик и dns запросы домена будут отправлены через туннель VPN. Если эта команда не включена, пользователям VPN не будет разрешен доступ к Интернету при подключении к VPN.
• Указываем какой DNS-сервер использовать при подключении к VPN.
• Назначаем групповую политику используемую по-умолчанию.
• Активируем работу контекста.

 

Использование нескольких политик в контексте

К примеру необходимо использовать различный уровень туннельного доступа, для VPN-пользователей, то можно использовать несколько policy group в текущем контексте.

 

К примеру к ранее настроенной policy group VPN_USERS, необходимо еще добавить VPN_ADMINS, в которой будет использоваться split include в другую подсеть компании.

 

Принадлежность пользователя к той или иной policy group, можно задать с помощью локальной базы пользователей и при помощи RADIUS. Рассмотрим оба варианта.

 

Локальная политика аутентификации

Ранее мы создали список аутентификации (VPN_USERS), его и будем использовать:

 

Определим списки атрибутов и зададим имя политики WebVPN, с которой мы хотим сопоставить этот список атрибутов:

 

Теперь создаем пользователей и назначаем их к определенным спискам атрибутов:

 

В контексте указываем какой список аутентификации использовать:

 

Теперь при аутентификации пользователей, будет учитываться принадлежность их к той или иной policy group.

 

RADIUS аутентификация

Как настроить Radius аутентификацию с Windows Server 2012 NPS (Network Policy Server) на Cisco IOS можно посмотреть в статье. Принцип настройки аналогичен, с небольшими изменениями.

 

Первым делом создадим в Active Directory две группы безопасности (VPN_Users и VPN_Admins):

 

В оснастке Сервер политики сети (Network Policy Server) добавляем сетевые политики, по аналогии с выше упомянутой статьей. За исключением нескольких параметров:

• в условиях аутентификации не забываем указать соответственные группы безопасности (VPN_Users и VPN_Admins)
• в параметрах зависящие от поставщика, используем параметр Cisco-AV-Pair со значением webvpn:user-vpn-group=VPN_ADMINS и webvpn:user-vpn-group=VPN_USERS (где — VPN_ADMINS и VPN_USERS это политики WebVPN)

 

В итоге должна получится такие сетевые политики:

 

Переходим к конфигурации маршрутизатора, добавляем RADIUS-сервер и создаем список аутентификации при помощи RADIUS-сервера:

 

В контексте WebVPN указываем какой список аутентификации использовать:

 

Проверка работы

Запускаем на клиенте браузер, вводим внешний адрес нашего роутера 212.212.0.1 и видим приглашение:

 

После авторизации, мы попадаем в своего рода внутренний портал, где так же можем скачать клиент VPN AnyConnect, посредством которого установить туннельное соединение с корпоративной сетью.

 

 

Так же приведу список полезных команд, для получения той или иной статистики по работе WebVPN:

1. Состояние пула IP-адресов.
2. Отобразить текущие VPN сессии.
3. Отобразить детальную статистику по VPN-пользователю.
4. Отобрать статистику по туннелю.
5. Отобразить общую статистику по WebVPN.
6. Включение debug режима.

 

Понравилась или оказалась полезной статья, поблагодари автора