Как стать автором
Обновить

Комментарии 15

Благодарю. Кратко и понятно.
Как у вас с загрузкой CPU при использовании AnyConnect на 881?

Запускал AnyConnect на 861. Скорость у клиента 200-300 кбайт\с и CPU Utilation 100%.Тот же EasyVPN летает на 3-5 клиентах и загрузка не поднимается выше 50-60%.
На складе валяется 881, вот и думаю менять или оно того не стоит.
Насчет скорости на клиенте не скажу, но CPU Utilitation и близко не 100%
Еще один нюанс, если на 881 обновите ios выше чем 15.3, то лицензия на SSL VPN будет уже включена в advsec, вот что говорит cisco:
IOS 15.3 and beyond — earlier versions offer Right to Use* licenses. Starting in 15.3(3)M, the SSLVPN feature is available after you boot into a securityk9 technology-package
ЕМНИП, сам AnyConnect с версии 4.0 стоит немалых денег.
1921 тоже ложится от SSLVPN. Можно настроить IKEv2 через AnyConnect с ручной установкой профайлов или встроенный в Windows клиент — там всё намного лучше, так как шифрование аппаратное.
Можно подробнее? В целом, всем устраивает EasyVPN, но он не поддерживается Win10.
Инструкция есть на cisco.com. Профайл можно раздавать в архиве вместе с установщиком и он сам его подключит, но у меня так и не заработало разрешение подключаться из RDP, а виндовый клиент не подсасывает маршруты для split-tunnel.
На 8.1 EasyVPN работает из коробки (пользователи не жаловались). С бубном можно поставить и на 10ку, но… после каждого апдейта MS чет допиливает и нужно искать новый бубен. Проще объяснить сотрудникам, что Win10 не поддерживается, чем писать многостраничные инструкции и телепатить «а почемуж у них там не включилось...»
Чуть не забыл, IKEv2 с FlexVPN прекрасно сосуществуют, так что второй можно настроить только для страдальцев с десяткой и макосью.
2 NAI — попробуйте Shrew, в отличие от родного можно запускать больше одного. На 10 тоже работает.
Спасибо, попробую. Правда проект не развивается с 2013 и нет гарантий, что MS его не выпилит из своей системы, как это происходит с EasyVPN («Данное приложение устарело и было удалено»)
У меня почему-то 4.x брыкался, пока не поставил «честные» сертификаты от того же Let's Encrypt. Брыкался даже со снятой галкой Block Connections to Untrusted Servers.
У меня стоит сертификат от WoSign (полученный еще в 15 году). Есть мнение, что так как в 800-серии нет аппаратной поддержки шифрования, длинна ключа в 256 бит и кладет CPU.

Как я понял, в 800-серия вообще все лежит на CPU, в отличии от ASA. Тыц Плюс с cisco (более актуальных данных не нашел)
Вроде наоборот, в ASA (и ISR 4000) стоит мощный x86, а в ISR дохлый MIPS, который спасает лишь выделенный криптомодуль.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории