Добрый день, метки нужны для контекста и роли. Роли это более общее понятие чем права на каждого юзера в группе в отдельности. Для решения Вашей задачи есть всеми любимый Dynamic access policies (DAP). Естественно можно комбинировать до кучи с меткой SGT, а можно и без, если не используете.
Шлюз работает и для Firefox и Chrome и Safari. Возможно у Вас самоподписанный сертификат.
Настройки вручную между клиентами переносить категорически не нужно — они скачиваются с профилем со шлюза. Либо можете свой инсталляционный бандл уже с с профилями подготовить — очень просто.
Второй пароль может быть One-Time Password. И тут важно разделять что он генерируется на отдельном устройстве.
Особенности лицензирования продукта не говорят о том что продукт плохой.
Никто и не заявлял AnyConnect как Freeware или тем более OpenSource.
Только вот он мультиплатформенный, поведение на разных платформах предсказуемое и есть поддержка вендора, чего не скажешь про встроенные агенты в ОС. И да, ИБ выберет решение производителя с регулярной поддержкой и богатыми сервисами, установка на компьютеры пользователей, как и другого софта в Enterprise не является сколь либо проблемой. На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза. Компании же развертывающей VPN требуется его приобрести.
Кстати никто не мешает использовать L2TP с ASA или классический IPSEC, но конечно такого мощного функционала получить не получится.
К кучу параметров привязываться нет смысла, нам нужен только сертификат — это не Rocket Science. Я не большой специалист по винде поэтому детали реализации на ней не расписываю — только концепцию, к Линуксу больше тяготею.
Ваше предложение относится к уровню Самого приложения, мы же предоставляем безопасный транспорт до него.
Добрый день.
L2 сегмент должен быть единый для внутренних интерфейсов и отдельный L2 сегмент для внешних интерфейсов. Таким образом, если растянуть L2 на разные ЦОД нет возможности, то надо организовывать несколько кластеров. Завтра в рамках CiscoClub буду рассказывать.
По поводу NAT, есть соответствующая настройка в рамках блока конфигурации vpn load-balancing, называется она собственно nat, и дает возможность задать адрес как IPv4, так и IPv6 при использовании NAT на вышестоящем устройстве для идентификации конкретного члена кластера.
Ну и это легко решить, авторизуйте клиентов на радиусе с назначением выдаваемого адреса атрибутом IETF-Radius-Framed-IP-Address.
Подробнее можно почитать здесь в разделе Enforcing Static IP Address Assignment for AnyConnect Tunnels, а ISE в свою очередь может читать этот параметр из LDAP как динамический атрибут о чем рекомендую посмотреть здесь.
Про Engineering Debug Details, нашел его на двух машинах Win10 и Win7, после перезагрузки обе сгенерировали от 3-х до 4-х сообщений. Лог небольшой совсем. Полагаю надо обратиться в ТАС, вероятно они разберут с чем связаны непонятные ошибки. Возможно на этот баг наткнулись — CSCud51993.
configure mode commands/options:
default Specify the set of ciphers for outbound connections
dtlsv1 Specify the ciphers for DTLSv1 inbound connections
dtlsv1.2 Specify the ciphers for DTLSv1.2 inbound connections
tlsv1 Specify the ciphers for TLSv1 inbound connections
tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections
tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections
vpn-demo-1(config)# sh ver
Cisco Adaptive Security Appliance Software Version 9.12(3)7
Какая у Вас версия клиента? Все кейсы которые я нашел на сей счет связаны с версие AnyConnect 3.x, актуальная 4.х (текущая версия 4.8) не должна иметь таких проблем.
В текущей ситуации когда у заказчиков оказались дико перегружены VPN шлюзы я постарался в режиме «пожарного» реагирования написать инструкцию, которая бы ложилась в рамки нашей текущей возможности быстро выписать триалы на ASAv и AnyConnect для оперативного решения проблемы с Remote-Access VPN.
Конечно можно и на FTD развернуть VPN, но проблема именно в конкретной ситуации, никто (большинство) не планировал емкость своих концентраторов на вот такой сценарий «удаленки» COVID-19. Так как можем быстро выписать ASAv, вот и инструкция под него…
Добрый день, метки нужны для контекста и роли. Роли это более общее понятие чем права на каждого юзера в группе в отдельности. Для решения Вашей задачи есть всеми любимый Dynamic access policies (DAP). Естественно можно комбинировать до кучи с меткой SGT, а можно и без, если не используете.
Кстати я и настраиваю и пользуюсь AnyConnect более 10 лет, ничего более удобного и рядом не видел.
Шлюз работает и для Firefox и Chrome и Safari. Возможно у Вас самоподписанный сертификат.
Настройки вручную между клиентами переносить категорически не нужно — они скачиваются с профилем со шлюза. Либо можете свой инсталляционный бандл уже с с профилями подготовить — очень просто.
Второй пароль может быть One-Time Password. И тут важно разделять что он генерируется на отдельном устройстве.
Особенности лицензирования продукта не говорят о том что продукт плохой.
Никто и не заявлял AnyConnect как Freeware или тем более OpenSource.
Только вот он мультиплатформенный, поведение на разных платформах предсказуемое и есть поддержка вендора, чего не скажешь про встроенные агенты в ОС. И да, ИБ выберет решение производителя с регулярной поддержкой и богатыми сервисами, установка на компьютеры пользователей, как и другого софта в Enterprise не является сколь либо проблемой. На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза. Компании же развертывающей VPN требуется его приобрести.
Кстати никто не мешает использовать L2TP с ASA или классический IPSEC, но конечно такого мощного функционала получить не получится.
К кучу параметров привязываться нет смысла, нам нужен только сертификат — это не Rocket Science. Я не большой специалист по винде поэтому детали реализации на ней не расписываю — только концепцию, к Линуксу больше тяготею.
Ваше предложение относится к уровню Самого приложения, мы же предоставляем безопасный транспорт до него.
L2 сегмент должен быть единый для внутренних интерфейсов и отдельный L2 сегмент для внешних интерфейсов. Таким образом, если растянуть L2 на разные ЦОД нет возможности, то надо организовывать несколько кластеров. Завтра в рамках CiscoClub буду рассказывать.
По поводу NAT, есть соответствующая настройка в рамках блока конфигурации vpn load-balancing, называется она собственно nat, и дает возможность задать адрес как IPv4, так и IPv6 при использовании NAT на вышестоящем устройстве для идентификации конкретного члена кластера.
Подробнее можно почитать здесь в разделе Enforcing Static IP Address Assignment for AnyConnect Tunnels, а ISE в свою очередь может читать этот параметр из LDAP как динамический атрибут о чем рекомендую посмотреть здесь.
Достаточно домен верхнего уровня указать чтобы все поддомены подпадали.
На текущий момент да, в обозначенной серии этот баг не решен, вывод я предоставил с ASAv.
configure mode commands/options:
default Specify the set of ciphers for outbound connections
dtlsv1 Specify the ciphers for DTLSv1 inbound connections
dtlsv1.2 Specify the ciphers for DTLSv1.2 inbound connections
tlsv1 Specify the ciphers for TLSv1 inbound connections
tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections
tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections
vpn-demo-1(config)# sh ver
Cisco Adaptive Security Appliance Software Version 9.12(3)7
Конечно можно и на FTD развернуть VPN, но проблема именно в конкретной ситуации, никто (большинство) не планировал емкость своих концентраторов на вот такой сценарий «удаленки» COVID-19. Так как можем быстро выписать ASAv, вот и инструкция под него…