San artaigil seo, bu mhath leam stiùireadh ceum air cheum a thoirt seachad air mar as urrainn dhut an sgeama as sgalachaile an-dràsta a chuir an gnìomh gu sgiobalta. VPN ruigsinneachd iomallach stèidhichte air ruigsinneachd AnyConnect agus Cisco ASA - Cruinneachadh Cothromachaidh Luchdan VPN.
Ro-ràdh: Air sgàth an t-suidheachaidh COVID-19 a th’ ann an-dràsta, tha mòran chompanaidhean air feadh an t-saoghail a’ dèanamh oidhirpean gus an luchd-obrach aca a ghluasad gu obair iomallach. Air sgàth cho farsaing ‘s a tha obair iomallach ga ghabhail os làimh, tha an luchd air geataichean VPN a th’ ann mar-thà a’ sìor fhàs gu mòr, agus tha feum air sùbailteachd luath. Aig an aon àm, tha mòran chompanaidhean air an èigneachadh gus bun-bheachd obair iomallach a mhaighstir bhon fhìor thoiseach.
Gus cuideachadh le gnìomhachasan ruigsinneachd VPN goireasach, tèarainte agus sgalachail a chuir an gnìomh gu sgiobalta airson luchd-obrach, tha Cisco a’ tabhann cheadan airson neach-dèiligidh VPN SSL AnyConnect làn fheartan airson suas ri 13 seachdainean. .
.
Tha mi air stiùireadh ceum air cheum ullachadh airson roghainn cleachdaidh shìmplidh airson cruinneachadh VPN Luchd-Cothromachaidh mar an teicneòlas VPN as sgalachail.
Bidh an eisimpleir gu h-ìosal gu math sìmplidh a thaobh nan algairidhean dearbhaidh is ùghdarrais a thathar a’ cleachdadh, ach bidh e na dheagh roghainn airson tòiseachadh luath (rud nach eil aig mòran an-dràsta) leis a’ chomas atharrachadh domhainn a rèir do fheumalachdan rè a’ phròiseis cleachdaidh.
Fiosrachadh goirid: Chan e feart failover no cruinneachadh a th’ ann an teicneòlas Cluster Cothromachadh Luchdan VPN san t-seagh dhùthchasach aige. Faodar an teicneòlas seo a chleachdadh gus modalan ASA gu tur eadar-dhealaichte a chur còmhla (le crìochan sònraichte) gus cothromachadh a dhèanamh eadar luchd cheanglaichean VPN Ruigsinneachd Iomallach. Chan eil sioncronachadh seiseanan agus rèiteachaidhean eadar nódan ann an cruinneachadh mar sin comasach, ach tha cothromachadh luchdan fèin-ghluasadach de cheanglaichean VPN agus dèanamh cinnteach à fulangas mearachd airson ceanglaichean VPN comasach gus am bi co-dhiù aon nód gnìomhach air fhàgail sa chruinneachadh. Tha luchd a’ chruinneachaidh air a chothromachadh gu fèin-ghluasadach stèidhichte air luchd an nód stèidhichte air an àireamh de sheiseanan VPN.
Airson fulangas mearachd ann an nódan cruinneachaidh sònraichte (ma tha feum air), faodar faidhleadair a chleachdadh, a’ ciallachadh gun tèid an ceangal gnìomhach a làimhseachadh leis a’ phrìomh nód aig an fhaidhleadair. Chan eil Filerover na riatanas airson dèanamh cinnteach à fulangas mearachd taobh a-staigh cruinneachaidh cothromachaidh luchdan; ma dh’ fhailicheas nód, gluaisidh an cruinneachaidh fhèin seisean an neach-cleachdaidh gu nód beò eile, ach gun inbhe a’ cheangail a ghleidheadh, agus is e sin dìreach a tha an faidhleadair a’ toirt seachad. Mar sin, faodar an dà theicneòlas seo a chur còmhla ma tha sin riatanach.
Faodaidh cruinneachadh Cothromachadh Luchdan VPN barrachd air dà nód a bhith ann.
Tha taic ri cruinneachadh cothromachaidh luchdan VPN air ASA 5512-X agus nas àirde.
Leis gur e aonad neo-eisimeileach a th’ ann an gach ASA taobh a-staigh cruinneachadh Cothromachadh Luchdan VPN a thaobh nan roghainnean a chaidh a dhèanamh, bidh sinn a’ dèanamh a h-uile ceum rèiteachaidh leotha fhèin air gach inneal fa leth.
Topo-eòlas loidsigeach an eisimpleir a chaidh a thoirt seachad:
Cleachdadh tùsail:
Bidh sinn a’ cleachdadh eisimpleirean ASAv de na teamplaidean a dh’ fheumas sinn bhon ìomhaigh (ASAv5/10/30/50).
Bidh sinn a’ sònrachadh nan eadar-aghaidhean A-STAIGH/A-MUIGH do na h-aon VLANan (A-muigh na VLAN fhèin, A-STAIGH na VLAN fhèin, ach cumanta taobh a-staigh a’ chruinneachaidh, faic an top-eòlas), tha e cudromach gu bheil eadar-aghaidhean den aon sheòrsa san aon earrann L2.
Ceadan:
- Aig àm an stàlaidh, cha bhi ceadan sam bith aig ASAv agus bidh coileanadh cuibhrichte gu 100 kbps.
- Gus cead a stàladh, feumaidh tu comharra a chruthachadh anns a’ Chunntas-Smart agad: -> Ceadachd Bathar-bog Smart
- Anns an uinneag a dh’fhosglas, cliog air a’ phutan Comharra Ùr
- Dèan cinnteach gu bheil raon gnìomhach san raon a tha a’ fosgladh agus gu bheil am bogsa-seic air a chomharrachadh. Leig le gnìomhachd fo smachd às-mhalairt… Mura h-eil an raon seo air a chomasachadh, cha bhith e comasach dhut feartan crioptachaidh làidir a chleachdadh agus, mar thoradh air sin, an VPN. Mura h-eil an raon seo air a chomasachadh, cuir fios chun sgioba cunntais agad gus iarraidh gun tèid a ghnìomhachadh.
- An dèidh putadh air a ’phutan Cruthaich Token, cruthaichear comharra a chleachdas sinn gus cead fhaighinn airson ASAv, dèanamaid lethbhreac dheth:
- Dèan ceumannan C, D, E a-rithist airson gach ASAv leudaichte.
- Gus am bi e nas fhasa an comharra a chopaigeadh, cuiridh sinn telnet an gnìomh airson greis. Cuiridh sinn air dòigh gach ASA (tha an eisimpleir gu h-ìosal a’ sealltainn nan roghainnean air ASA-1). Chan eil Telnet bhon taobh a-muigh ag obair. Ma tha feum mòr agad air, atharraich an ìre tèarainteachd gu 100 air an taobh a-muigh, agus an uairsin atharraich air ais e.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Gus comharra a chlàradh ann an sgòth Smart-Account, feumaidh tu ruigsinneachd eadar-lìn a thoirt don ASA, .
Ann an ùine ghoirid, tha feum air ASA:
- Cothrom HTTPS air an eadar-lìon;
- sioncronachadh ùine (a’ cleachdadh NTP nas ceart);
- frithealaiche DNS clàraichte;
- Bidh sinn a’ logadh a-steach don ASA againn tro Telnet agus a’ rèiteachadh nan roghainnean gus an cead a ghnìomhachadh tro Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Bidh sinn a’ dèanamh cinnteach gu bheil an inneal air an cead a chlàradh gu soirbheachail agus gu bheil roghainnean crioptachaidh rim faighinn:
A’ stèidheachadh VPN SSL bunaiteach air gach geata
- An ath rud, bidh sinn a’ rèiteachadh ruigsinneachd tro SSH agus ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Gus ASDM a chleachdadh, feumaidh tu a luchdachadh a-nuas bho cisco.com an toiseach. Nam chùis-sa, is e am faidhle a leanas a th’ ann:
- Gus am bi an neach-dèiligidh AnyConnect ag obair, feumaidh tu ìomhaigh a luchdachadh sìos gu gach ASA airson gach siostam-obrachaidh neach-dèiligidh deasg a thathar a’ cleachdadh (tha e san amharc a chleachdadh Linux/Windows/MAC) feumaidh tu faidhle leis an Pasgan Cleachdaidh Ceann-cinn anns an tiotal:
- Faodar na faidhlichean a chaidh a luchdachadh sìos a chur, mar eisimpleir, air frithealaiche FTP agus an luchdachadh suas gu gach ASA fa leth:
- Rèitich ASDM agus teisteanas fèin-shoidhnichte airson SSL-VPN (thathar a’ moladh teisteanas earbsach a chleachdadh airson cinneasachadh). Feumaidh an FQDN rèiteichte de Sheòladh Brìgheil a’ chnuasaich (vpn-demo.ashes.cc), a bharrachd air gach FQDN co-cheangailte ri seòladh taobh a-muigh gach nód cnuasaich, a bhith air fhuasgladh anns an raon DNS taobh a-muigh gu seòladh IP an eadar-aghaidh OUTSIDE (no chun an t-seòlaidh mhapaichte ma chleachdas tu port-adhartachaidh UDP/443 (DTLS) agus TCP/443 (TLS). Tha fiosrachadh mionaideach mu riatanasan teisteanais ri fhaighinn san earrann. Dearbhadh Teisteanas sgrìobhainnean.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Gus obrachadh ASDM a dhearbhadh, na dìochuimhnich am port a shònrachadh, mar eisimpleir:
- Feuchaidh sinn ri roghainnean bunaiteach an tunail a dhèanamh:
- Nì sinn an lìonra corporra ruigsinneach tro thunail, agus leigidh sinn leis an eadar-lìon a dhol gu dìreach (chan e an dòigh as tèarainte a th’ ann mura h-eil innealan tèarainteachd air an aoigh ceangail, tha dol a-steach tro aoigh gabhaltach agus toradh dàta corporra comasach, roghainn poileasaidh tunail-roinnte tunnelall cuiridh e trafaic an aoigh gu lèir a-steach don tunail. Ach, Tunail Roinnte a’ leigeil leat geata VPN a dhì-luchdachadh agus gun trafaic eadar-lìn an aoigh a phròiseasadh)
- Cuiridh sinn seòlaidhean bhon fho-lìonra 192.168.20.0/24 gu na h-aoighean anns an tunail (cruinneachadh de 10 gu 30 seòladh (airson nód #1)). Feumaidh amar-snàmh fhèin a bhith aig gach nód den chruinneachadh VPN.
- Dèanamaid dearbhadh bunaiteach le neach-cleachdaidh a chaidh a chruthachadh gu h-ionadail air an ASA (Chan eilear a’ moladh seo, is e seo an dòigh as sìmplidh), tha e nas fheàrr dearbhadh a dhèanamh troimhe LDAP/RADIUS, no eadhon nas fheàrr, ceangail e Dearbhadh Ioma-fhactar (MFA)mar eisimpleir Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (ROGHAINNEIL)Anns an eisimpleir gu h-àrd, chleachd sinn neach-cleachdaidh ionadail air a’ bhalla-teine gus luchd-cleachdaidh iomallach a dhearbhadh, rud nach eil glè phractaigeach ach a-mhàin ann an obair-lann. Bheir mi eisimpleir air mar as urrainn dhut an rèiteachadh airson dearbhadh atharrachadh gu sgiobalta air radius frithealaiche, air a chleachdadh mar eisimpleir Inneal Seirbheisean Dearbh-aithne Cisco:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Leis an amalachadh seo, b’ urrainn dhuinn chan ann a-mhàin am modh-obrach dearbhaidh a thoirt a-steach gu sgiobalta leis an t-seirbheis eòlaire AD, ach cuideachd ceangal AD a’ choimpiutair ceangailte aithneachadh, tuigsinn a bheil e na inneal corporra no pearsanta, agus inbhe an inneil ceangailte a mheasadh.
- Rèitichidh sinn NAT follaiseach gus nach tèid trafaic eadar an neach-dèiligidh agus goireasan lìonra corporra a stiùireadh:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (ROGHAINNEIL): Gus ar luchd-dèiligidh fhaighinn air-loidhne tro ASA (a’ cleachdadh tunail roghainnean) a’ cleachdadh PAT, agus cuideachd a’ fàgail tron aon eadar-aghaidh OUTSIDE às an ceangail iad, feumaidh tu na roghainnean a leanas a dhèanamh
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Nuair a bhios tu a’ cleachdadh cruinneachadh, tha e air leth cudromach leigeil leis an lìonra a-staigh tuigsinn dè an ASA a bu chòir trafaic tilleadh a stiùireadh gu luchd-cleachdaidh. Gus seo a dhèanamh, tha e riatanach na seòlaidhean /32 a chaidh a thoirt do luchd-dèiligidh ath-riarachadh.
Chan eil sinn air an cruinneachadh a rèiteachadh fhathast, ach tha geataichean VPN againn mu thràth a tha ag obair agus as urrainnear ceangal riutha leotha fhèin tro FQDN no IP.
Chì sinn an neach-dèiligidh ceangailte ann an clàr-slighe a’ chiad ASA:
Gus dèanamh cinnteach gu bheil fios aig ar cruinneachadh VPN gu lèir agus lìonra corporra air an t-slighe chun neach-dèiligidh againn, ath-sgaoilidh sinn ro-leasachan an neach-dèiligidh gu protocol sligheachaidh fiùghantach, leithid OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEA-nis tha slighe againn chun neach-dèiligidh bhon dàrna geata ASA-2, agus faodaidh luchd-cleachdaidh a tha ceangailte ri diofar gheataichean VPN taobh a-staigh a’ chruinneachaidh, mar eisimpleir, conaltradh gu dìreach tro fhòn-bog corporra, agus thèid trafaic tilleadh bho ghoireasan a dh’iarr an neach-cleachdaidh a stiùireadh chun gheata VPN iomchaidh cuideachd:
Gluaisidh sinn air adhart gu bhith a’ stèidheachadh Cothromachadh Luchdan airson a’ chruinneachaidh.
Thèid an seòladh 192.168.31.40 a chleachdadh mar IP Brìgheil (VIP - ceanglaidh a h-uile neach-dèiligidh VPN ris an toiseach), bhon t-seòladh seo ATH-STIÙRADAICHIDH am Prìomh Chruinneachadh gu nód cruinneachaidh nach eil cho làn luchdaichte. Na dìochuimhnich a shònrachadh. clàran DNS air adhart agus air ais an dà chuid airson gach seòladh taobh a-muigh/FQDN de gach nód cruinneachaidh agus airson VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Bidh sinn a’ dèanamh deuchainn air obrachadh a’ chnuasaich le dà neach-dèiligidh ceangailte:
- Nì sinn eòlas an neach-ceannach nas goireasaiche le pròifilean AnyConnect a thèid a luchdachadh sìos gu fèin-ghluasadach tro ASDM.
Bidh sinn a’ toirt ainm don phròifil ann an dòigh ghoireasach agus a’ ceangal ar poileasaidh buidhne ris:
Às dèidh an ath cheangal leis a’ chleachdaiche, thèid am pròifil seo a luchdachadh sìos agus a stàladh gu fèin-ghluasadach ann an cleachdaiche AnyConnect, agus mar sin nuair a dh’fheumas tu ceangal, chan fheum thu ach a thaghadh bhon liosta:
Leis nach do chruthaich sinn am pròifil seo ach air aon ASA a’ cleachdadh ASDM, dèan cinnteach gun dèan thu na ceumannan a-rithist air na ASAn eile sa chruinneachadh.
Co-dhùnadh: Mar sin, chuir sinn a-mach cruinneachadh de ghrunn gheataichean VPN le cothromachadh luchdan fèin-ghluasadach gu sgiobalta. Tha e furasta nodan ùra a chur ris a’ chruinneachadh, a’ leigeil le sgèileadh còmhnard sìmplidh le bhith a’ cleachdadh innealan brìgheil ASAv ùra no a’ cleachdadh ASAn bathar-cruaidh. Faodaidh an neach-dèiligidh AnyConnect, làn fheartan, comasan ceangail iomallach tèarainte a leudachadh gu mòr a’ cleachdadh an Suidheachadh (measadh staid), air a chleachdadh as èifeachdaiche còmhla ri siostam smachd ruigsinneachd agus cunntasachd meadhanaichte Inneal Seirbheisean Dearbh-aithne.
Source: www.habr.com
