×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

ASA 5512 VPN and cert.

Answered Question
фев 24th, 2014
User Badges:

            Здравствуйте, подскажите пожалуйста. Самостоятельно получить понимание не удалось.


Есть ASA 5512, 8.4 cli. Требуется настроить VPN с использованием сертификата и возможностью ходить Клиентом во внутренние сети через Интернет. Столкнулся со следующими вопросами:

- ASA умеет разные VPN (Easy VPN, Remote acceess VPN, SSL VPN) Но принципиальной разницы между ними я так и не понял. Для моей задачи какой тип VPN-а требуется?


- Как выдавать маршруты клиенту который подключается по VPN? Возможно я нашёл ответ самостоятельно, но он не сработал. Поэтому хочется узнать, проблема в нюансах или в отсутствии понимания как это работает в принципе?


- Как сгенерировать сертификат для Клиента? http access по некоторым причинам настроить не получилось, поэтому есть только cli. Я умею генерировать пары RSA. Делать самоподписной CA. А дальше я не понимаю, как мне сгенерировать и забрать из ASA (подписать?) сертификат для Клиента?


Самоподписной сертификат делал так:

secretasa(config)#crypto key generate rsa label sslvpnkey

secretasa(config)#crypto ca trustpoint localtrust

secretasa(config-ca-trustpoint)#enrollment self

secretasa(config-ca-trustpoint)#fqdn sslvpn. secretcompany.com

secretasa(config-ca-trustpoint)#subject-name CN=sslvpn.secretcompany.com

secretasa(config-ca-trustpoint)#keypair sslvpnkey

secretasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

secretasa(config)# ssl trust-point localtrust outside

I have this problem too.
0 голоса
Correct Answer by Andrew Phirsov about 3 года 5 месяцев назад

1.  EasyVPN и RemoteAccess VPN в терминологии cisco - синонимы. Это когда пользователи подключаются к VPN-шлюзу за которым находится сеть назначения (LAN предприятия, etc.) и для защиты таких подключений используется IPSec (c IKEv1 - тогда у клиента устанавливается Cisco VPN Client или IKEv2 - у клиента устанавливается Anyconnect клиент). В случае SSL VPN (тот же RA VPN по сути) все то же самое, только используетвя SSL вместо IPSec.

Использовать можно любой из них, везде возможна аутентификация по сертификатам. Начать можно с EasyVPN с обычным IPSec (IKEv1) и  клиентом Cisco VPN Client (но это не будет работать на Win8).


2. В принципе это работает так, что по умолчанию, после подключения клиента к шлюзу весь трафик ПК клиента проходит через туннель и попадает на ASA (Split-tunneling выключен). Т.е. клиент просто шлет все на ASA и, соответственно, сети, маршруты к которым знает ASA доступны для клиента.

Можно на групповую политику, привязанную к тунелю повесить split-tunneling policy, тогда для клиента можно будет указать, какой трафик/трафик до каких подсетей будет ходит через туннель, а какой напрямую в адрес назначения, в обход туннеля.


3. Про самоподписанный сертификат смотреть лень. Почему не получилось настроить Web-интерфейс? Не хватает команды ssl encryption 3des-sha1 aes128-sha1? Вообще использование Local CA неудобно/плохо масштабируется, лучше использовать Microsoft CA, EJBCA, openvpn, etc. По вопросу могу только привести две ссылки:

http://blog.ipexpert.com/2010/07/28/asa-local-ca-server/

https://supportforums.cisco.com/docs/DOC-26587

Loading.
Correct Answer
Andrew Phirsov ср, 02/26/2014 - 00:36
User Badges:
  • Silver, 250 points or more

1.  EasyVPN и RemoteAccess VPN в терминологии cisco - синонимы. Это когда пользователи подключаются к VPN-шлюзу за которым находится сеть назначения (LAN предприятия, etc.) и для защиты таких подключений используется IPSec (c IKEv1 - тогда у клиента устанавливается Cisco VPN Client или IKEv2 - у клиента устанавливается Anyconnect клиент). В случае SSL VPN (тот же RA VPN по сути) все то же самое, только используетвя SSL вместо IPSec.

Использовать можно любой из них, везде возможна аутентификация по сертификатам. Начать можно с EasyVPN с обычным IPSec (IKEv1) и  клиентом Cisco VPN Client (но это не будет работать на Win8).


2. В принципе это работает так, что по умолчанию, после подключения клиента к шлюзу весь трафик ПК клиента проходит через туннель и попадает на ASA (Split-tunneling выключен). Т.е. клиент просто шлет все на ASA и, соответственно, сети, маршруты к которым знает ASA доступны для клиента.

Можно на групповую политику, привязанную к тунелю повесить split-tunneling policy, тогда для клиента можно будет указать, какой трафик/трафик до каких подсетей будет ходит через туннель, а какой напрямую в адрес назначения, в обход туннеля.


3. Про самоподписанный сертификат смотреть лень. Почему не получилось настроить Web-интерфейс? Не хватает команды ssl encryption 3des-sha1 aes128-sha1? Вообще использование Local CA неудобно/плохо масштабируется, лучше использовать Microsoft CA, EJBCA, openvpn, etc. По вопросу могу только привести две ссылки:

http://blog.ipexpert.com/2010/07/28/asa-local-ca-server/

https://supportforums.cisco.com/docs/DOC-26587

hongleeping вс, 03/02/2014 - 23:33
User Badges:

Андрей, спасибо за разъяснения. Первый и второй вопрос теперь стали более ясны.


А http настроить не удалось так как в инструкции я прочитал что сначало ASDM работает только на порту управления и только с сетью 192.168.0.0/24. Сейчас у меня нет физ. возможности это сделать. Возможно я неправильно что то понял, но даже при попытке настроить asdm на внешнем интерфейсе у меня ничего не получилось.


Local CA использовать в данном решении удобно. Вопрос в том, как мне забрать сертификат с ASA?

Я сгенерил пару RSA, сертификат CA. Как мне дальше действовать? Я так понял с помощью RSA и CA надо подписать сертификат пользователя...но никак не соображу как это сделать.

Действия

Информация о дискуссии

Related Content