Как настроить сеть vpn

Configuring Cisco IOS Firewall Authentication Proxy

Using the Cisco IOS firewall authentication proxy feature, network administrators can apply specific security policies on a per-user basis. Users can be identified and authorized on the basis of their per-user policy, and access privileges tailored on an individual basis are possible, in contrast with general policy applied across multiple users.

With the authentication proxy feature, users can log into the network or access the Internet via HTTP, and their specific access profiles are automatically retrieved and applied from an authentication server. The user profiles are active only when there is active traffic from the authenticated users.

The authentication proxy is compatible with Network Address Translation (NAT), Context-based Access Control (CBAC), IP Security (IPSec) encryption, and VPN client software.

This section contains basic steps to configure the Cisco IOS Firewall Authentication Proxy and includes the following tasks:

Configuring Authentication, Authorization, and Accounting

You must configure the authentication proxy for Authentication, Authorization, and Accounting (AAA) services. Use the following commands in global configuration mode to enable authorization and to define the authorization methods:

In addition to configuring AAA on the firewall router, the authentication proxy requires a per-user access profile configuration on the AAA server. To support the authentication proxy, configure the AAA authorization service «auth-proxy» on the AAA server as outlined here:

•Define a separate section of authorization for auth-proxy to specify the downloadable user profiles. This does not interfere with other types of service, such as EXEC. The following example shows a user profile on a TACACS server:

•The only supported attribute in the AAA server user configuration is proxyacl#n. Use the proxyacl#n attribute when configuring the access lists in the profile. The attribute proxyacl#n is for both RADIUS and TACACS+ attribute-value (AV) pairs.

•The privilege level must be set to 15 for all users.

•The access lists in the user profile on the AAA server must have permit only access commands.

•Set the source address to any in each of the user profile access list entries. The source address in the access lists is replaced with the source address of the host making the authentication proxy request when the user profile is downloaded to the firewall.

•The supported AAA servers are CiscoSecure ACS 2.1.x for Window NT (where x is a number 0 to 12) and CiscoSecure ACS 2.3 for Windows NT, CiscoSecure ACS 2.2.4 for UNIX and CiscoSecure ACS 2.3 for UNIX, TACACS+ server (vF4.02.alpha), Ascend RADIUS server — radius-980618 (required avpair patch), and Livingston RADIUS server (v1.16).

Configuring the HTTP Server

To use the authentication proxy, you must also enable the HTTP server on the firewall and set the HTTP server authentication method to use AAA. Enter the following commands in global configuration mode:

Verifying the Authentication Proxy

To check the current authentication proxy configuration, use the show ip auth-proxy configuration command in privileged EXEC mode. In the following example, the global authentication proxy idle timeout value is set to 60 minutes, the named authentication proxy rule is «pxy,» and the idle timeout value for this named rule is 1 minute. The display shows that no host list is specified, meaning that all connections initiating HTTP traffic at the interface are subject to the authentication proxy rule:

To verify that the authentication proxy is successfully configured on the router, ask a user to initiate an HTTP connection through the router. The user must have authentication and authorization configured at the AAA server. If the user authentication is successful, the firewall completes the HTTP connection for the user. If the authentication is unsuccessful, check the access list and the AAA server configurations.

Display the user authentication entries using the show ip auth-proxy cache command in privileged EXEC mode. The authentication proxy cache lists the host IP address, the source port number, the timeout value for the authentication proxy, and the state of the connection. If the authentication proxy state is HTTP_ESTAB, the user authentication was successful.

Wait for one minute, which is the timeout value for this named rule, and ask the user to try the connection again. After one minute, the user connection is denied because the authentication proxy has removed the user authentication entry and any associated dynamic ACLs. The user is presented with a new authentication login page and must log in again to gain access through the firewall.

Как исправить проблемы Cisco VPN в Windows 10

  1. Восстановить установку
  2. Разрешить VPN свободно общаться через брандмауэр
  3. Настроить реестр
  4. Выполните чистую переустановку

1: Ремонт установки

Начнем с ремонта установки. Многие сторонние приложения, как правило, ломаются после выполнения крупного обновления. Вот почему всегда рекомендуется переустанавливать их после установки обновления.

Еще лучше, если вы хотите избежать одной из многочисленных ошибок обновления / обновления, удаление является жизнеспособным выбором. Однако, если вы не удалили Cisco VPN до обновления, вместо переустановки, вы должны сначала попробовать восстановить текущую установку.

Если вы не знаете, как восстановить Cisco VPN, выполните действия, описанные ниже:

  1. В панели поиска Windows введите Control и откройте панель управления .

  2. Нажмите « Удалить программу » в левом нижнем углу.

  3. Нажмите на клиента Cisco System VPN и выберите Восстановить .
  4. Следуйте инструкциям, пока установка не будет восстановлена.

2. Разрешить VPN свободно общаться через брандмауэр.

Обновления системы могут довольно часто изменять системные настройки и предпочтения на значения по умолчанию. Этот проступок, конечно, может повлиять и на настройки Защитника Windows. В таком случае есть вероятность, что многие сторонние приложения, которым требуется бесплатный трафик через брандмауэр, не будут работать. Включая клиент Cisco VPN.

Вот почему мы рекомендуем вам проверить настройки и убедиться, что приложение действительно разрешено в настройках брандмауэра Windows. Вот что вам нужно сделать:

  1. На панели поиска Windows введите Разрешить приложение и откройте « Разрешить приложение через брандмауэр Windows ».
  2. Нажмите Изменить настройки.
  3. Убедитесь, что Cisco VPN находится в списке, и ему разрешено обмениваться данными через брандмауэр Windows. Если это не так, нажмите « Разрешить другое приложение » и добавьте его.

  4. Установите флажки как для частной, так и для публичной сети.
  5. Подтвердите изменения и откройте Cisco VPN.

3: настроить реестр

Как и многие другие решения для интеграции VPN, Cisco VPN поставляется со специальным связанным виртуальным сетевым адаптером. Сбой этого устройства является еще одним распространенным явлением, и он сопровождается кодом ошибки 442. Первое, что вы можете сделать, если эта ошибка возникает, это проверить драйвер виртуального адаптера в диспетчере устройств.

Вот где это можно найти:

  1. Щелкните правой кнопкой мыши кнопку «Пуск» и откройте диспетчер устройств .
  2. Разверните Сетевые адаптеры .

  3. Щелкните правой кнопкой мыши на виртуальном адаптере и обновите его.
  4. Перезагрузите компьютер.

Теперь, если это не решит проблему, вы можете попробовать настройку реестра, которая, кажется, полностью ее устраняет. Это требует административного разрешения для внесения изменений в Реестр

Кроме того, мы настоятельно рекомендуем действовать осторожно, поскольку неуместное вмешательство в реестр может привести к системному отказу

Выполните следующие действия, чтобы настроить реестр и восстановить Cisco VPN:

  1. Введите regedit в строке поиска Windows и откройте редактор реестра .
  2. Скопируйте и вставьте следующий путь в адресную строку: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCVirtA

  3. Щелкните правой кнопкой мыши запись реестра DisplayName и выберите «Изменить».
  4. В разделе «Значения данных» убедитесь, что единственным текстом, который стоит, является Cisco Systems VPN Adapter . Для 64-битной версии текст представляет собой Cisco Systems VPN Adapter для 64-битной Windows.
  5. Сохраните изменения и попробуйте снова запустить Cisco VPN.

4: выполнить чистую переустановку

Наконец, если ни одно из предыдущих решений не позволило Cisco VPN работать, единственное оставшееся решение, которое мы можем предложить, — это выполнить чистую переустановку. В идеале это потребует установки с чистого листа, при которой вы удалите все оставшиеся связанные файлы с вашего ПК до повторной установки Cisco VPN.

Выполните следующие действия, чтобы выполнить чистую переустановку и исправить Cisco VPN в Windows 10:

  1. Перейдите в Панель управления и откройте Удаление программы.

  2. Удалите клиент Cisco Systems VPN.
  3. Запустите Ashampoo Uninstaller (или любой другой сторонний очиститель).
  4. Перейдите в системный раздел и удалите все, что связано с Cisco, из папки «Программы».
  5. Загрузите клиент Cisco VPN здесь.
  6. Установите клиент и попробуйте запустить его.

Если это не помогло, попробуйте связаться со службой поддержки, поскольку они, скорее всего, помогут вам наилучшим образом.

Вот и все. Если у вас есть какие-либо альтернативные решения, которыми вы хотите поделиться с нами, не стесняйтесь сделать это в разделе комментариев ниже.

Background Information

Remote Access VPNs address the requirement of the mobile workforce to securely connect to the organization’s network. Mobile users are able to set up a secure connection using the VPN Client software installed on their PCs. The VPN Client initiates a connection to a central site device configured to accept these requests. In this example, the central site device is a PIX Firewall configured as an Easy VPN server which uses dynamic crypto maps.

Cisco Easy VPN simplifies VPN deployment by making configuration and management of VPNs easy. It consists of the Cisco Easy VPN Server and the Cisco Easy VPN Remote. Minimal configuration is required on the Easy VPN Remote. The Easy VPN Remote initiates a connection. If authentication is successful, the Easy VPN Server pushes the VPN configuration down to it. More information on how to configure a PIX Firewall as an Easy VPN server is available at Managing VPN Remote Access.

Dynamic crypto maps are used for IPsec configuration when some parameters required to set up the VPN cannot be predetermined, as is the case with mobile users who obtain dynamically assigned IP addresses. The dynamic crypto map acts as a template and the missing parameters are determined during IPsec negotiation. More information on dynamic crypto maps is available at .

Prerequisites

Requirements

This sample configuration assumes that the PIX is fully operational and configured with the necessary commands in order to handle traffic as per the security policy of the organization.

Components Used

The information in this document is based on these software and hardware versions:

  • PIX Software Release 6.3(1)

    Note: This setup was tested on PIX Software Release 6.3(1) and is expected to work on all later releases.

  • Cisco VPN Client version 4.0.3(A)

    Note: This setup was tested on VPN Client version 4.0.3(A) but works on earlier releases back to 3.6.1 and up to the current release.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Настройка Cisco VPN Client

Настройка Cisco VPN Client для Windows 10 и Windows 7 достаточно проста, так как интерфейс VPN-клиента интуитивно понятен, но требует знания английского языка и некоторых терминов.

Новое подключение создаётся путём нажатия на кнопку «New». Открывается собственно окно с полями для указания информации о создаваемом подключении. Информация обычно предоставляется администратором частной сети или провайдером.

Имя подключения вписывается в поле «Connection Entry».

В поле «Host» указывается домен (IP-адрес VPN-шлюза).

На вкладке «Authentication»: в поле «Name» — имя группы, в поле «Password» — пароль для группы, «Confirm Password» — подтверждение пароля. Эти данные нужны для первичной групповой аутентификации.

После того, как данные введены, нажимаем «Save». Готово! Теперь в окне VPN-клиента появляется строка с новым подключением.

При подключении появится окошко вторичной авторизации, запрашивающее ваши личные логин и пароль.

Если всё было сделано правильно, то соединение установится, а в трее появится соответствующая пиктограмма. Правый клик по ней откроет меню, в котором можно выбрать пункт «Statistics» — статистика. Там будет указано количество отправленных и полученных пакетов.

Configuration

1. Preresiquites

In order to go through Remote Access wizard in Firepower Management Center, first you will need to follow these steps:

  • create a certificate used for server authentication,
  • configure RADIUS or LDAP server for user authentication,
  • create pool of addresses for VPN users,
  • upload AnyConnect images for different platforms.

a) importing SSL certificate

Certificates are essential when you configure AnyConnect. Only RSA based certificates are supported in SSL and IPSec. Elliptic Curve Digital Signature Algorithm certificates (ECDSA) are supported in IPSec, but it’s not possible to deploy new AnyConnect package or XML profile when ECDSA based certificate is used. It means that you can use it for IPSec, but you will have to predeploy AnyConnect package and XML profile to every user and any change in XML profile will have to be manually reflected on each client (bug: CSCtx42595 ). Additionally the certificate should have Subject Alternative Name extension with DNS name and/or IP address to avoid errors in web browsers.

There are several methods to obtain a certificate on FTD appliance, but the safe and easy one is to create a Certificate Signing Request (CSR), sign it and then import certificate issued for public key, which was in CSR. Here is how to do that:

Go to Objects > Object Management > PKI > Cert Enrollment, click on Add Cert Enrollment:

  • Select Enrollment Type and paste Certificate Authority (CA) certificate,
  • Then go to second tab and select Custom FQDN and fill all necessary fields, eg.:

  • On the third tab, select key type, choose name and size. For RSA, 2048 bytes is minimum.
  • Click save and go to Devices > Certificates > Add > New Certificate. Then select Device, and under Cert Enrollment select the trustpoint which you just created, click Add:

  • Later, next to the trustpoint name, click on  icon, then Yes and after that copy CSR to CA and sign it. Certificate should have attributes as normal HTTPS server.
  • After receiving certificate from CA in base64 format, select it from the disk and click Import. When this succeeds, you should see:

b) configure RADIUS server

On FTD platftorm, local user database cannot be used, so you need RADIUS or LDAP server for user authentication. To configure RADIUS:

  • Go to Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
  • Fill the name and add IP address along with shared secret, click Save:

After that you should see server on the list:

c) creating pool of addresses for VPN users

  • Go to Objects > Object Management > Address Pools > Add IPv4 Pools:
  • Put the name and range, mask is not needed:

d) creating XML profile

  • Download Profile Editor from Cisco site and open it.
  • Go to Server List > Add…
  • Put Display Name and FQDN. You should see entries in Server List:

Click OK and File > Save as… 

e) uploading AnyConnect images

  • Download pkg images from Cisco site.
  • Go to Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
  • Type the name and select PKG file from disk, click Save:

Add more packages depending on your requirements.

2. Remote access wizard

  • Go to Devices > VPN > Remote Access > Add a new configuration.
  • Name the profile according to your needs, select FTD device:

In step Connection Profile, type Connection Profile Name, select Authentication Server and Address Pools which you have created earlier:

Click on Edit Group Policy and on the tab AnyConnect, select Client Profile, then click Save:

On the next page, select AnyConnect images and click Next:

On the next screen, select Network Interface and DeviceCertificates:

When everything is configured correctly, you can click Finish and then Deploy:

This will copy whole configuration along with certificates and AnyConnect packages to FTD appliance.

Objective

The objective of this document is to show you the details about the supported operating systems (Windows, Linux,
Mac) of the Cisco
AnyConnect Secure Mobility Client and their requirements.

The Cisco AnyConnect Secure Mobility Client, also known as the Cisco AnyConnect VPN Client, is a software
application for connecting to a Virtual Private Network (VPN) that works on various operating systems and
hardware configurations. This software application makes it possible for remote resources of another network
become accessible as if the user is directly connected to the network, but in a secure way. Cisco AnyConnect
Secure Mobility Client provides an innovative way to protect mobile users on computer-based or smart-phone
platforms, providing a more seamless, always-protected experience for end users, and comprehensive policy
enforcement for an IT administrator.

For additional information on AnyConnect licensing on the RV340 series routers,
see this
article

Remote Access VPN Business Scenarios

This chapter explains the basic tasks for configuring an IP-based, remote access Virtual Private Network (VPN) on a Cisco 7200 series router. In the remote access VPN business scenario, a remote user running VPN client software on a PC establishes a connection to the headquarters Cisco 7200 series router.

The configurations in this chapter utilize a Cisco 7200 series router. If you have a Cisco 2600 series router or a Cisco 3600 series router, your configurations will differ slightly, most notably in the port slot numbering. Please refer to your model configuration guide for detailed configuration information. Please refer to the for instructions about locating product documentation.

Note In this Guide, the term `Cisco 7200 series router’ implies that an Integrated Service Adaptor (ISA) or a VAM (VAM, VAM2, or VAM2+) is installed in the Cisco 7200 series router.

This chapter describes basic features and configurations used in a remote access VPN scenario. Some Cisco IOS security software features not described in this document can be used to increase performance and scalability of your VPN. For up-to-date Cisco IOS security software features documentation, refer to the Cisco IOS Security Configuration Guide and the Cisco IOS Security Command Reference for your Cisco IOS Release. To access these documents, see .

This chapter includes the following sections:

Note Throughout this chapter, there are numerous configuration examples and sample configuration outputs that include unusable IP addresses. Be sure to use your own IP addresses when configuring your Cisco 7200 series router.

Установка Cisco VPN Client для Windows 10

Обязательно сначала убедитесь, что версия, которую вы собираетесь установить, свежая и совместима с установленной операционной системой. Windows 10 не особо лояльна к устаревшему программному обеспечению, поэтому при попытке поставить и использовать старую версию Cisco VPN Client могут возникать различные ошибки, связанные с несовместимостью. В большинстве случаев они решаются отключением безопасной загрузки в BIOS перед установкой ПО. Но если вы не являетесь любителем «танцев с бубном», лучше всего просто скачать последнюю версию, совместимую именно с Windows 10.

Предварительно устанавливаем DNE Citrix (Deterministic Network Enhancer), наличие которого потребуется для корректной инсталляции Cisco VPN Client

Проверьте, чтобы версия DNE подходит для вашей системы Windows 10 по разрядности! Обратите внимание, что антируткит может начать жаловаться во время запуска инсталлятора DNE, но повода для беспокойства нет (разумеется, если вы скачали установочный файл из надёжного источника, — например, с официального сайта). А вообще имейте в виду, что перед установкой рекомендуется выключать антивирусы и брэндмауэры

После успешной инсталляции DNE и обязательной перезагрузки Windows 10 можно приступать к установке самого Cisco VPN Client. Самораспаковывающийся архив спросит, в какой каталог вы планируете распаковать его. После окончания распаковки должен сразу же автоматически запуститься инсталлятор (при проблемах с установкой следует использовать установочный пакет с расширением .msi). Особых вопросов при установке возникнуть не должно, все шаги вполне привычны и предсказуемы. Не забудьте перезагрузиться после завершения процесса инсталляции. На этом стандартная установка Cisco VPN Client для Windows 10 будет считаться завершённой.

Предварительные условия

Требования

В этом документе предполагается, что маршрутизатор Cisco полностью исправен и в нем разрешено изменение конфигурации с помощью Cisco SDM.

Примечание. Чтобы разрешить настройку маршрутизатора с помощью SDM, см. раздел .

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизатор Cisco 3640 с ПО Cisco IOS версии 12.3 (14T)

  • Security Device Manager версия 2.31

  • VPN-клиент Cisco версии 4.8

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Introduction

This document provides a straightforward configuration for the Cisco Adaptive Security Appliance (ASA) 5500 Series in order to allow Clientless Secure Sockets Layer (SSL) VPN access to internal network resources. Clientless SSL Virtual Private Network (WebVPN) allows for limited, but valuable, secure access to the corporate network from any location. Users can achieve secure browser-based access to corporate resources at any time. No additional client is needed in order to gain access to internal resources. The access is provided using a Hypertext Transfer Protocol over SSL connection.

Clientless SSL VPN provides secure and easy access to a broad range of web resources and both web-enabled and legacy applications from almost any computer that can reach Hypertext Transfer Protocol Internet (HTTP) sites. This includes:

  • Internal websites
  • Microsoft SharePoint 2003, 2007, and 2010
  • Microsoft Outlook Web Access 2003, 2007, and 2013
  • Microsoft Outlook Web App 2010
  • Domino Web Access (DWA) 8.5 and 8.5.1
  • Citrix Metaframe Presentation Server 4.x
  • Citrix XenApp Version 5 to 6.5
  • Citrix XenDesktop Version 5 to 5.6, and 7.5
  • VMware View 4

Introduction

AnyConnect Secure Mobility Client is a modular endpoint software product. It not only provides Virtual Private
Network (VPN) access through Secure Sockets Layer (SSL) and Internet Protocol Security (IPsec) Internet Key
Exchange
version2 (IKEv2) but also offers enhanced security through various built-in modules. Why use a VPN? A VPN connection allows users to access, send, and receive data to and from a private network by means of going through a public or shared network such as the Internet but still ensuring a secure connection to an underlying network infrastructure to protect the private network and its resources.

If you are using a Windows
computer,
click here to view an article on how to install AnyConnect on Windows.

Applicable Devices | Software Version

  • RV340 — 1.0.03.17 (Download latest)
  • RV340W — 1.0.03.17 (Download latest)
  • RV345 — 1.0.03.17 (Download latest)
  • RV345P — 1.0.03.17 (Download latest)

AnyConnect and Mac Software Version

  • AnyConnect (This document uses AnyConnect version 4.8 | Link to
    download)
  • Mac OS Catalina (10.15) is compatible with AnyConnect 4.8 and later

Note: You will encounter issues if you attempt to use Mac OS Catalina with earlier
versions
of AnyConnect (AnyConnect
4.8 Release Notes | Details from
Apple )

Mac OS Mojave (10.14) is compatible with AnyConnect 4.7.04056 and below

Функциональность Cisco VPN Client

Основная функция программы — удалённое использование ресурсов частной сети, созданной на базе оборудования Cisco. При запуске правильно настроенного подключения пользователь, находясь в любом месте, получает доступ к сетевым ресурсам так же, как если бы он был подключен напрямую.

Поддерживаемые протоколы:

  • IPSec ESP;
  • PPTP;
  • L2TP;
  • L2TP/IPSec;
  • NAT Traversal IPSec;
  • IPSec/TCP;
  • IPSec/UDP.

Кроме того, этот VPN-клиент поддерживает и протокол SCEP (Simple Certificate Enrollment Protocol), разработанный самой компанией Cisco.

Cisco VPN Client обеспечивает беспрецедентную надёжность благодаря технологии Cisco Secure Connectivity System, использующей шифрование и двухфакторную аутентификацию при помощи смарткарт Aladdin eToken или USB-токенов.

Используемые методы шифрования:

  • DES;
  • 3DES;
  • AES;
  • MD5;
  • SHA.

Наличие встроенного файерволла — ещё одна из особенностей VPN-клиента от Cisco.

Программа может быть установлена на разные операционные системы, в том числе для Windows 7 и Windows 10.

Правда, компания Cisco, видимо, является фанатами x86, поэтому программное обеспечение в основном заточено под работу именно с такой разрядностью операционной системы (что отражается в стабильности работы). Но это, разумеется, совсем не значит, что обладатели Windows 10 x64 или Windows 7 x64 никогда не смогут корректно запустить Cisco VPN-клиент. Есть и для них версия, но её установка и настройка имеет свои нюансы.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий