Cisco anyconnect secure mobility client настройка

Cisco anyconnect secure mobility client настройка

    Надежда Зварыкина 2 лет назад Просмотров:

1 Инструкция для пользователей по установке и настройке Cisco Anyconnect Автор: Алексеев ЕА Отредактировано: 12 января 2015 Последний редактор: Алексеев Е. А. Внимание. Для подключения к офисной сети через удаленный доступ вам потребуется: 1. ваш мобильный телефон для приема sms с одноразовым паролем (сообщать в отдел ТП ГО ваш актуальный сотовый номер телефона следует ЛИШЬ В ТОМ СЛУЧАЕ, ЕСЛИ ВАМ НЕ УДАЕТСЯ ПОДКЛЮЧИТЬСЯ). 2. доступ в интернет через проводную или беспроводную сеть (wi-fi, EDGE/3G/4G). 1. Установка на мобильные устройства 1.1 Apple ios 1.2 Android 2. Установка на другие устройства 2.1 Windows 2.2 Linux 2.3 MacOS 3. Подключение сетевых дисков 1. Установка на мобильные устройства 1.1 Apple ios: Находим программу в AppStore и начинаем установку:

2 После установки программы запускаем ее, разрешаем работу программы и переходим к ее настройкам: Переходим в меню Connection, в поле ‘Description’ в произвольном виде заполняем имя соединения, в поле ‘Server Address’ указываем vpn.tensor.ru:501, сохраняем настройки:

3 Активируем подключение, выбираем из выпадающего списка группу подключения ‘Corp’ или ‘Region’ и вводим свои учетные данные: Если введены корректные данные, на ваш мобильный телефон придет sms с одноразовым паролем, который необходимо ввести в следующее окно:

4 После проверки введенного вами одноразового пароля вы получите удаленный доступ: 1.2 Android: Находим программу в GooglePlay и начинаем установку:

5 После установки открываем программу, принимаем условия лицензии и начинаем настраивать подключение: Переходим в меню ‘Connection’, добавляем новое соединение и его параметры: в поле ‘Description’ в произвольном виде указываем имя соединения, в поле ‘Server Address’ указываем vpn.tensor.ru:501:

6 Активируем подключение, выбираем из выпадающего списка группу подключения ‘Corp’ или ‘Region’ и вводим свои учетные данные:

7 Если введены корректные данные, на ваш мобильный телефон придет sms с одноразовым паролем, который необходимо ввести в следующее окно: После проверки введенного вами одноразового пароля вы получите удаленный доступ.

8 2. Установка на другие устройства 2.1 Windows: Скачать архив по адресу Если у вас Windows 7 и вы собираетесь использовать в работе 3G-модем, вам следует сначала установить DNE компонент от Citrix. Для этого извлеките из архива следующий файл: для 32-битных ОС: dneupdate.msi для 64-битных ОС: dneupdate64.msi После загрузки следует запустить это файл, поставить галочку как на картинке ниже и нажать Install. После окончания установки следует перезагрузить компьютер. Перейдите к установке Cisco Anyconnect, для этого извлеките из архива и запустите установщик anyconnect-win pre-deploy-k9.msi.

10 После установки программы необходимо найти в меню ‘Пуск’ и запустить приложение ‘ Cisco AnyConnect Secure Mobility Client’, в качестве адреса подключения ввести vpn.tensor.ru:501 и нажать на кнопку ‘Connect’

11 выбираем из выпадающего списка группу подключения ‘Corp’ или ‘Region’ и вводим свои учетные данные: В случае корректности введенных данных вам на сотовый телефон придет sms с одноразовым паролем, которое необходимо ввести в следующее окно: После нажатия на ‘Continue’ вы должны получить удаленный доступ: 2.2 Linux: Скачать по адресу и сертификаты thawte, скопировать в директорию /opt/.cisco/certificates/ca Скачать архив по адресу

12 Извлечь из архива дистрибутив для версии своей операционной системы: для 32-битных ОС: anyconnect-predeploy-linux k9.gz для 64-битных ОС: anyconnect-predeploy-linux k9.gz скопировать в локальную папку и распаковать следующей командой: tar xvfz anyconnect-predeploy-linux k9.gz далее перейти в папку./anyconnect /vpn/ и запустить скрипт:./vpn_install.sh В процессе установки принять соглашение нажав на y: данный скрипт установит программу в папку /opt/cisco/anyconnect для подключения необходимо перейти в консоль управления подключением, для этого выполнить команду /opt/cisco/anyconnect/bin/vpn для подключения набрать следующую команду: VPN>connect vpn.tensor.ru:501 далее необходимо выбрать группу подключения ‘Corp’ или ‘Region’ и ввести свои персональные учетные данные: если они корректны, то далее на сотовый телефон придет sms с одноразовым паролем, который необходимо будет ввести: после проверки системой одноразового пароля вы получите удаленный доступ. чтобы узнать текущее состояние соединения необходимо набрать команду VPN>state

Читайте также:  Как проверить никель кадмиевые аккумуляторы

13 (возможны варианты: Connected, Disconnected) чтобы закончить подключение необходимо набрать команду VPN>disconnect чтобы выйти из консоли управления необходимо дать команду: VPN>quit 2.3 MacOS: Скачать архив по адресу Извлечь из архива файл anyconnect-macosx-i k9.dmg и начать установку программы:

16 После завершения установки находим программу среди всех остальных и запускаем: В качестве адреса указать vpn.tensor.ru:501 и нажать Connect

17 Далее появится окно для выбора группы подключения ‘Corp’ или ‘Region’ и ввода персональных учетных данных: В случае корректности введенных данных вам на сотовый телефон придет sms с одноразовым паролем, которое необходимо ввести в следующее окно: После нажатия на ‘Continue’ вы должны получить удаленный доступ. 3. Подключение сетевых дисков (только для операционных систем Windows): Для использования сетевых дисков можно использовать программу mount_network_drives.exe, которую можно найти в скачанном вами архиве. Перед запуском убедитесь, что VPN-туннель установлен. Воспользуйтесь скриншотами ниже для подключения сетевых дисков. Запустите программу mount_network_drives.exe. Введите свой логин БЕЗ УКАЗАНИЯ ДОМЕНА, пароль и нажмите МЫШЬЮ (именно МЫШЬЮ, нажатие клавиатурного Enter не сработает) кнопку Login.

18 Если все сделано правильно, в поле Выбор дисков появится список доступных дисков. Выберите необходимые диски путем установки и снятия флажков напротив соответствующих дисков и нажмите МЫШЬЮ кнопку Connect. Подключение дисков может занять некоторое время. В списке дисков в вашем файловом менеджере (проводник, far, total commander и т.п.) должны появиться сетевые диски, с которыми вы можете работать, как будто вы физически находитесь в офисе г. Ярославль.

c:Users\%USERNAME%AppDataLocalCiscoCisco AnyConnect Secure Mobility Clientpreferences.xml

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Сразу хочу отметить, — не собираюсь устраивать холивар на счет того, что лучше — ASDM or console: на вкус и цвет все фломастеры разные…Я предпочитаю ASDM и настройки такого плана произвожу именно через нее. Поэтому статья будет насыщенна картинками (скринами)

Итак, приступим. Начнем с настройки LDAP сервера (в нашем случае это DC ActiveDirectory), для этого переходим в Configuration > DeviceManagement > Users/AAA > AAA Server Groups и создаем группу, назовем ее OFFICE, Protocol указываем LDAP


Configuration Cisco ASA AAA Server Groups

Для того, чтобы добавить сервер в созданную группу, нам необходимо предварительно создать LDAP Atribute Map. Для этого переходим в соответствующий раздел: Configuration > DeviceManagement > Users/AAA >LDAP Attribute Map и создаем новую карту: в нашем случае это Map Name: AD, Mapping of Attribute Name > LDAP Attribute Name: memberOf, Cisco Attribute Name: IETF-Radius-Class


LDAP Attribute Map

Теперь можно добавить сервер (настроить подключение к контроллеру домена), указываем интерфейс, через который будем подключаться, IP адрес DC, Server Type: Microsoft, Base DN, Naming Attribute: sAMAccountName, Login DN, Login Password, только что созданную карту LDAP Attribute Map: AD, Group Base DN:

Читайте также:  Температурный режим работы кондиционера


AAA Server — Microsoft DC
Add AAA Server

После добавления сервера делаем проверку, проходим аутентификацию учетной записью AD:

Test AAA Server — Authentication

Теперь можно добавить сертификат удостоверяющего центра (используется Microsoft CA, в рамках статьи о его настройке рассказывать не буду, единственное о чем следует обязательно помнить: Cisco ASA не воспринимает сертификаты с Signature algorithm RSASSA-PSS, который Microsoft предлагает использовать по умолчанию. мы меняли на sha512RSA):

Identity Certificates Signature algorithm RSASSA-PSS — sha512

Переходим Configuration > DeviceManagement >Certificate Management > Identity Certificates и импортируем в формате PKCS12 (*.pfx сертификат + private key):


Identity Certificates Signature algorithm sha512RSA (ECDSA 521 bits)

С подготовительными действиями закончили, можно переходить к настройке профилей для AnyConnect VPN. Для примера, будем использовать 2 профиля, у которых будут разные IP Address Pools и соотв. ACL, Dynamic Access Policies, Group Policies и соответственно 2 группы ActiveDirectory. При подключении пользователей по ВПН используем политику «Туннелирование только указанных сетей», так называемый Split Tunneling, чтобы не гнать весь пользовательский траффик через впн. Но это «на любителя», может кому-то, наоборот, такое потребуется — последнее время это очень актуально 😉

Начнем с IP Address Pools, для этого переходим в Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools

Создадим пул адресов (сегмент) для администраторов (назовем, например VPN_Admins):


Address Assignment — Address Pools

Далее создадим политику (это основная часть настроеек профиля, в которой можно задат: протоколы, которые будут использоваться для туннелей, время доступа, количество одновременных логинов, закрыть доступы к определенным VLAN, выставить таймауты, задать DNS серверы, настроить Split Tunneling, клиентский файерволл и тд и тп) — в общем этой настройке следует уделить особое внимание! Итак, начнем: Configuration > Remote Access VPN > Network (Client) Access > Group Policies, Add Internal Group Policy

Все выставленные параметры сугубо индивидуальны — в нашем случае немного параноидальны Указаны протоколы, которые допускаются для создания туннеля (Tunneling Protocols), временной период для доступа по ВПН (Access Hours), количество одновременных подключений с одной учетной записью (Simultaneous Logins), максимальное время для сеанса и пр.:


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add Internal Group Policy

Следующая полезная настройка — вкладка Servers, в которой мы можем указать внутр. ДНС серверы, для пользователей ВПН AnyConnect, чтобы они могли обращаться к внутренним ресурсам по имени:


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy — Servers

Теперь перейдем к еще одной интересной опции — настройке Split Tunneling. Как я уже писал ранее — будем использовать политику «туннелирование только указанных сетей» (мы не заворачиваем в туннель весь траффик пользователей и разрешаем доступ к локальным ресурсам — опция «Local Lan Access» далее будет отдельно рассмотрена):


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > Split Tunneling >

Ранее мы указали к каким сетямхостам мы разрешили доступ, теперь ограничим доступ к ним по протоколампортам (еще один ACL):


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > AnyConnect Client > Client Firewall > Private Network Rule

Читайте также:  Как быстро узнать свой инн

В итоге, после подключения к впн AnyConnect клиентом, можно увидеть маршруты в сторону туннеля и правила файерволла:


AnyConnect Client > Route Details


AnyConnect Client > Firewall

Теперь можно перейти непосредственно к созданию профиля AnyConnect, переходим Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles >, Add AnyConnect Connection Profile

и указываем: Name, Aliases, далее Authentication Method (AAA and certificate), AAA Server Group, Client Address Pools, Group Policy — все созданное ранее!


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Basic

И теперь небольшой «лайфхак» — мы из пользовательского сертификата вытащим значение E-mail и с помощью регулярки (.*)@ отрежем от него @domain.ru
(значение E-mail должно быть %AD username%@somedomain.ru ) и подставим его в поле Username при подключении.


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Advanced > Authentication > Username Mapping from Certificate

Когда профили настроили — мы уже можем подключаться, потому как будет отрабатывать политика по умолчанию DfltAccessPolicy для всех пользователей, прошедших аутентификацию (у нее самый высокий приоритет). Мы же хотим, чтобы для разных групп ActiveDirectory использовался свой профиль и отрабатывала своя групповая политика политика доступа. Поэтому, переходим: Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies и запрещаем DfltAccessPolicy (на самом деле не запрещаем, а делаем Terminate с уведомлением пользователя — хорошая диагностика того, что пользователь не включен в требую группу ActiveDirectory):


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies
Terminate connection from users who are not in the access group

После того, как политику по умолчанию запретили, — создадим новую:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes

где g_vpn_level_01 — созданная в ActiveDirectory группа безопасности, куда мы включаем необходимые админские учетки, для подключения по ВПН AnyConnect с профилем VPN-ADMINS:


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes > Get AD Groups

ну и заключительный «штрих» — рекомендую сохранить созданный профиль в файл (полезно, например, для синхронизации профилей для StandBy unit при Failover конфигурации):


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

После того, как профиль сохранен — его можно немного «потюнинговать»: помните я говорил про опцию"Local Lan Access"? Она как раз здесь настраивается. А еще здесь же можно настроить выбор хранилища сертификатов; автообновление клиента AnyConnect; разрешитьзапретить возможность подключения к компьютеру через рдп, при подключенном впн; указать версию протокола (IPv4 or IPv6 or both); параметры сертификатов и серверов; мобильные политики. В общем — есть, что «подкрутить» под ваши нужды!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile > Edit

Для второй группы — «VPN-USERS» проделываем тоже самое…

Ссылка на основную публикацию
Adblock detector