Nan atik sa a mwen ta renmen bay enstriksyon etap pa etap sou fason ou ka byen vit deplwaye konplo ki pi évolutive nan moman sa a. Vpn Aksè Remote baze sou aksè AnyConnect ak Cisco ASA - Cluster balanse chaj VPN.
Entwodiksyon: Anpil konpayi atravè mond lan, akòz sitiyasyon aktyèl la ak COVID-19, ap fè efò pou transfere anplwaye yo nan travay aleka. Akòz tranzisyon an gaye toupatou nan travay aleka, chaj la sou pòtay VPN ki deja egziste nan konpayi yo ogmante kritik epi yo mande yon kapasite trè vit pou echèl yo. Nan lòt men an, anpil konpayi yo fòse yo prese metrize konsèp nan travay aleka nan grate.
Pou ede biznis yo rapidman aplike aksè VPN pratik, an sekirite ak évolutive pou anplwaye yo, Cisco bay lisans jiska 13 semèn pou kliyan AnyConnect SSL-VPN ki gen anpil karakteristik. .
.
Mwen te prepare etap pa etap enstriksyon pou yon opsyon senp pou deplwaye yon gwoup VPN Load-Balancing kòm teknoloji VPN ki pi évolutive.
Egzanp ki anba a pral byen senp nan pwen de vi algorithm otantifikasyon ak otorizasyon yo itilize, men li pral yon bon opsyon pou yon demaraj rapid (ki se yon bagay ke anpil moun manke kounye a) ak posibilite pou adaptasyon pwofondè a. bezwen ou yo pandan pwosesis deplwaman an.
Enfòmasyon kout: VPN Load Balancing Cluster teknoloji se pa yon failover oswa yon fonksyon clustering nan sans natif natal li; teknoloji sa a ka konbine modèl ASA konplètman diferan (ak sèten restriksyon) yo nan lòd yo chaje balans Remote-Access VPN koneksyon. Pa gen okenn senkronizasyon nan sesyon ak konfigirasyon ant nœuds yo nan yon gwoup konsa, men li posib otomatikman chaje balans koneksyon VPN epi asire tolerans fay nan koneksyon VPN jiskaske omwen yon ne aktif rete nan gwoup la. Chaj la nan gwoup la balanse otomatikman depann sou kantite travay la nan nœuds yo pa kantite sesyon VPN.
Pou tolerans fay nan nœuds gwoup espesifik (si sa nesesè), ou ka itilize yon filer, kidonk koneksyon aktif la pral trete pa nœud prensipal filer la. Fileover a se pa yon kondisyon ki nesesè pou asire tolerans fay nan gwoup balans chaj la; nan ka yon echèk ne, gwoup la tèt li pral transfere sesyon itilizatè a nan yon lòt ne k ap viv, men san yo pa kenbe estati koneksyon an, ki se jisteman sa ki. filer la bay. An konsekans, de teknoloji sa yo ka konbine si sa nesesè.
Yon gwoup vpn balans chaj ka genyen plis pase de nœuds.
Gwoup Balanse chaj VPN sipòte sou ASA 5512-X ak pi wo.
Depi chak ASA nan gwoup VPN Load-Balancing se yon inite endepandan an tèm de paramèt, nou fè tout etap konfigirasyon endividyèlman sou chak aparèy endividyèl.
Topoloji lojik egzanp yo bay la se:
Premye Deplwaman:
-
Nou deplwaye egzanp ASAv nan modèl nou bezwen yo (ASAv5/10/30/50) nan imaj la.
-
Nou bay entèfas ANDAN/DEYÒ a menm VLAN (Deyò nan pwòp VLAN li yo, ANDAN nan pwòp li yo, men komen nan gwoup la, gade topoloji), li enpòtan pou entèfas nan menm kalite yo sitiye nan menm segman L2.
-
Lisans:
- Nan moman enstalasyon an, ASAv p ap gen okenn lisans epi yo pral limite a 100kbit/sec.
- Pou enstale yon lisans, ou bezwen jenere yon siy nan kont Smart-Account ou a: -> Smart Software Licensing
- Nan fenèt ki ouvè a, klike sou bouton an Nouvo Token
- Asire w ke jaden an nan fenèt la ki ouvè a aktif ak kaz la tcheke Pèmèt fonksyonalite ekspòtasyon kontwole... San yo pa jaden aktif sa a, ou pa yo pral kapab sèvi ak fonksyon chifreman fò ak, kòmsadwa, VPN. Si jaden sa a pa aktif, tanpri kontakte ekip kont ou a pou mande aktivasyon.
- Apre peze bouton an Kreye jton, yo pral kreye yon siy ke nou pral itilize pou jwenn yon lisans pou ASAv, kopye li:
- Ann repete etap C,D,E pou chak ASAv deplwaye.
- Pou fè li pi fasil pou kopye siy la, ann pèmèt telnet tanporèman. Ann konfigirasyon chak ASA (egzanp ki anba a montre anviwònman yo sou ASA-1). telnet soti deyò pa travay, si ou reyèlman bezwen li, chanje nivo sekirite a nan 100 deyò, Lè sa a, chanje li tounen.
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !- Pou anrejistre yon siy nan nwaj Smart-Account, ou dwe bay ASA aksè entènèt, .
Nan ti bout tan, ASA nesesè:
- Aksè Entènèt atravè HTTPS;
- senkronizasyon tan (plis kòrèkteman atravè NTP);
- sèvè dns anrejistre;
- Nou ale atravè telnet nan ASA nou an epi fè paramèt aktive lisans lan atravè Smart-Account.
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! Проверим работу DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! Проверим синхронизацию NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! Установим конфигурацию нашей ASAv для Smart-Licensing (в соответствии с Вашим профилем, в моем случае 100М для примера) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! В случае необходимости можно настроить доступ в Интернет через прокси используйте следующий блок команд: !call-home ! http-proxy ip_address port port ! ! Далее мы вставляем скопированный из портала Smart-Account токен (<token>) и регистрируем лицензию ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>- Nou tcheke ke aparèy la te anrejistre avèk siksè yon lisans ak opsyon chifreman ki disponib:
-
Konfigirasyon debaz SSL-VPN sou chak pòtay
- Apre sa, nou konfigirasyon aksè atravè SSH ak ASDM:
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! Поднимем сервер HTTPS для ASDM на порту 445 чтобы не пересекаться с SSL-VPN порталом ! vpn-demo-1(config)# http server enable 445 !- Pou ASDM travay, ou dwe premye telechaje li nan cisco.com, nan ka mwen an li se dosye sa a:
- Pou kliyan AnyConnect la travay, ou bezwen telechaje yon imaj nan chak ASA pou chak OS Desktop kliyan yo itilize (ki planifye pou itilize Linux/Windows/MAC), w ap bezwen yon fichye ak Pake Deplwaman Headend Nan tit la:
- Fichye telechaje yo ka telechaje, pou egzanp, nan yon sèvè FTP epi yo ka telechaje nan chak ASA endividyèl:
- Nou konfigure ASDM ak sètifika pwòp tèt ou siyen pou SSL-VPN (li rekòmande pou itilize yon sètifika ou fè konfyans nan pwodiksyon). FQDN etabli Adrès Virtual gwoup la (vpn-demo.ashes.cc), ansanm ak chak FQDN ki asosye ak adrès ekstèn chak ne grap dwe rezoud nan zòn DNS ekstèn nan adrès IP koòdone OUTSIDE (oswa). nan adrès ki trase a si yo itilize udp/443 port forwarding (DTLS) ak tcp/443(TLS)). Enfòmasyon detaye sou kondisyon yo pou sètifika a espesifye nan seksyon an Sètifika Verifikasyon dokimantasyon.
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA- Pou tcheke operasyon an nan ASDM, pa bliye presize pò a, pou egzanp:
- Ann fè paramèt tinèl debaz yo:
- Nou pral fè rezo antrepriz la aksesib nan yon tinèl, epi konekte entènèt la dirèkteman (pa metòd ki pi an sekirite nan absans mezi sekirite sou lame a konekte, li posib antre nan yon lame ki enfekte ak pwodiksyon done antrepriz, opsyon. fann-tinèl-politik tunnelall pral pèmèt tout trafik lame antre nan tinèl la. Poutan Split-Tunèl fè li posib soulaje pòtay VPN la epi yo pa trete trafik entènèt lame)
- Nou pral bay lame nan tinèl la ak adrès ki soti nan subnet 192.168.20.0/24 (yon pisin ki gen 10 a 30 adrès (pou ne #1)). Chak ne nan gwoup la dwe gen pwòp pisin VPN li yo.
- Ann fè otantifikasyon debaz ak yon itilizatè ki kreye lokalman sou ASA a (sa a pa rekòmande, sa a se metòd ki pi senp), li pi bon pou fè otantifikasyon atravè LDAP/RADIUS, oswa pi bon toujou, mare Otantifikasyon milti-faktè (MFA)pou egzanp Cisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !- (OPTIONNAL): Nan egzanp ki anwo a, nou te itilize yon itilizatè lokal sou firewall la otantifye itilizatè aleka, ki nan kou se nan ti kras itil eksepte nan laboratwa a. Mwen pral bay yon egzanp sou ki jan yo byen vit adapte konfigirasyon an pou otantifikasyon sou Reyon sèvè, itilize pa egzanp Cisco idantite sèvis motè:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !Entegrasyon sa a te fè li posib pa sèlman byen vit entegre pwosedi otantifikasyon an ak sèvis anyè AD, men tou, distenge si òdinatè ki konekte a fè pati AD, konprann si li se yon aparèy antrepriz oswa yon sèl pèsonèl, epi evalye eta a nan konekte. aparèy.
- Ann konfigure Transparent NAT pou trafik ant kliyan an ak resous rezo nan rezo antrepriz la pa entèfere ak:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp- (OPTIONNAL): Pou ekspoze kliyan nou yo sou entènèt la atravè ASA (lè w ap itilize tunnelall opsyon) lè l sèvi avèk PAT, epi tou sòti nan menm koòdone OUTSIDE soti nan kote yo konekte, ou bezwen fè paramèt sa yo.
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !- Li trè enpòtan lè w ap itilize yon gwoup pou pèmèt rezo entèn la konprann ki ASA pou dirije trafik retounen bay itilizatè yo; pou sa li nesesè pou redistribiye wout /32 adrès yo bay kliyan yo.
Nan moman sa a, nou poko konfigirasyon gwoup la, men nou deja gen pòtay VPN k ap travay kote ou ka konekte endividyèlman atravè FQDN oswa IP.
Nou wè kliyan an konekte nan tablo routage premye ASA a:
Pou tout gwoup VPN nou an ak tout rezo antrepriz la konnen wout pou kliyan nou an, nou pral redistribiye prefiks kliyan an nan yon pwotokòl routage dinamik, pou egzanp OSPF:
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTEKoulye a, nou gen yon wout pou kliyan an soti nan dezyèm pòtay ASA-2 ak itilizatè ki konekte ak diferan pòtay VPN nan gwoup la ka, pou egzanp, kominike dirèkteman atravè yon softphone antrepriz, menm jan trafik retounen soti nan resous itilizatè yo mande yo ap rive. nan pòtay VPN vle a:
-
Ann ale nan mete kanpe gwoup la balans chaj.
Adrès 192.168.31.40 yo pral itilize kòm yon IP Virtuel (VIP - tout kliyan VPN pral okòmansman konekte ak li), soti nan adrès sa a Mèt Cluster la pral REDIRECT nan yon ne grap mwens chaje. Pa bliye enskri pi devan ak ranvèse dosye DNS tou de pou chak adrès ekstèn / FQDN nan chak ne grap, ak pou VIP.
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#- Nou tcheke operasyon gwoup la ak de kliyan konekte:
- Ann fè eksperyans kliyan an pi pratik ak yon pwofil AnyConnect otomatikman telechaje atravè ASDM.
Nou nonmen pwofil la nan yon fason pratik epi asosye politik gwoup nou an avèk li:
Apre pwochen koneksyon kliyan an, pwofil sa a pral otomatikman telechaje ak enstale nan kliyan AnyConnect la, kidonk si ou bezwen konekte, ou jis bezwen chwazi li nan lis la:
Depi lè nou itilize ASDM nou te kreye pwofil sa a sou yon sèl ASA, pa bliye repete etap sa yo sou ASA ki rete nan gwoup la.
Konklizyon: Kidonk, nou byen vit deplwaye yon gwoup plizyè pòtay VPN ak balans otomatik chaj. Ajoute nouvo nœuds nan gwoup la fasil, reyalize senp dekale orizontal pa deplwaye nouvo machin vityèl ASAv oswa lè l sèvi avèk pyès ki nan konpitè ASA. Kliyan AnyConnect ki gen anpil karakteristik ka amelyore anpil kapasite koneksyon adistans ou an sekirite lè l sèvi avèk Pwèstans (evalyasyon eta a), ki pi efikasman itilize ansanm ak yon kontwòl aksè santralize ak sistèm kontablite Motè sèvis idantite.
Sous: www.habr.com