Å ajÄ rakstÄ es vÄlos sniegt detalizÄtus norÄdÄ«jumus par to, kÄ jÅ«s varat Ätri izvietot paÅ”laik mÄrogojamÄko shÄmu. AttÄlÄs piekļuves VPN balstÄ«ta uz piekļuvi AnyConnect un Cisco ASA - VPN slodzes lÄ«dzsvaroÅ”anas klasteris.
Ievads: Daudzi uzÅÄmumi visÄ pasaulÄ, Åemot vÄrÄ paÅ”reizÄjo situÄciju ar Covid-19, pieliek pÅ«les, lai pÄrceltu savus darbiniekus uz attÄlinÄtu darbu. SakarÄ ar masveida pÄreju uz attÄlinÄto darbu kritiski pieaug slodze uz esoÅ”ajiem uzÅÄmumu VPN vÄrtejiem un ir nepiecieÅ”ama ļoti Ätra spÄja tos mÄrogot. No otras puses, daudzi uzÅÄmumi ir spiesti steigÄ apgÅ«t attÄlinÄtÄ darba jÄdzienu no nulles.
TÄlÄk sniegtais piemÄrs bÅ«s diezgan vienkÄrÅ”s izmantoto autentifikÄcijas un autorizÄcijas algoritmu ziÅÄ, taÄu tas bÅ«s labs risinÄjums Ätrai sÄkÅ”anai (ar to paÅ”laik daudziem nepietiek) ar iespÄju izvietoÅ”anas laikÄ padziļinÄti pielÄgot jÅ«su vajadzÄ«bÄm. process.
ÄŖsa informÄcija: VPN slodzes lÄ«dzsvaroÅ”anas klastera tehnoloÄ£ija nav kļūmjpÄrlÄce un nav klasterizÄcijas funkcija tÄs sÄkotnÄjÄ nozÄ«mÄ, Ŕī tehnoloÄ£ija var apvienot pilnÄ«gi dažÄdus ASA modeļus (ar noteiktiem ierobežojumiem), lai lÄ«dzsvarotu attÄlÄs piekļuves VPN savienojumus. Starp Å”Äda klastera mezgliem nenotiek sesiju un konfigurÄciju sinhronizÄcija, taÄu ir iespÄjams automÄtiski slodzes lÄ«dzsvarotu VPN savienojumus un nodroÅ”inÄt VPN savienojumu kļūdu toleranci, lÄ«dz klasterÄ« paliek vismaz viens aktÄ«vs mezgls. Slodze klasterÄ« tiek automÄtiski lÄ«dzsvarota atkarÄ«bÄ no mezglu darba slodzes pÄc VPN sesiju skaita.
KonkrÄtu klastera mezglu kļūmjpÄrlÄcei (ja nepiecieÅ”ams) var izmantot failÄtÄju, tÄpÄc aktÄ«vo savienojumu apstrÄdÄs failÄtÄja primÄrais mezgls. Failu pÄrvÄrÅ”ana nav obligÄts nosacÄ«jums, lai nodroÅ”inÄtu kļūdu toleranci slodzes lÄ«dzsvaroÅ”anas klasterÄ«, pats klasteris mezgla atteices gadÄ«jumÄ pÄrsÅ«tÄ«s lietotÄja sesiju uz citu aktÄ«vo mezglu, bet nesaglabÄjot savienojuma statusu, kas ir precÄ«zi ko nodroÅ”ina iesniedzÄjs. AttiecÄ«gi, ja nepiecieÅ”ams, ir iespÄjams apvienot Ŕīs divas tehnoloÄ£ijas.
VPN slodzes lÄ«dzsvaroÅ”anas klasterÄ« var bÅ«t vairÄk nekÄ divi mezgli.
VPN slodzes lÄ«dzsvaroÅ”anas klasteris tiek atbalstÄ«ts ASA 5512-X un jaunÄkÄs versijÄs.
TÄ kÄ katra ASA VPN slodzes lÄ«dzsvaroÅ”anas klasterÄ« ir neatkarÄ«ga vienÄ«ba iestatÄ«jumu ziÅÄ, mÄs veicam visas konfigurÄcijas darbÄ«bas atseviŔķi katrÄ atseviÅ”Ä·Ä ierÄ«cÄ.
Lai instalÄtu licenci, savÄ viedkontÄ ir jÄÄ£enerÄ marÄ·ieris: https://software.cisco.com/ -> ViedÄs programmatÅ«ras licencÄÅ”ana
AtvÄrtajÄ logÄ noklikŔķiniet uz pogas Jauns marÄ·ieris
PÄrliecinieties, vai atvÄrtajÄ logÄ ir aktÄ«vs lauks un ir atzÄ«mÄta atzÄ«me Atļaut eksporta kontrolÄtu funkcionalitÄtiā¦ Ja Å”is lauks nav aktÄ«vs, jÅ«s nevarÄsit izmantot spÄcÄ«gas Å”ifrÄÅ”anas un attiecÄ«gi VPN funkcijas. Ja Å”is lauks nav aktÄ«vs, lÅ«dzu, sazinieties ar sava konta komandu ar aktivizÄcijas pieprasÄ«jumu.
PÄc pogas nospieÅ”anas Izveidot marÄ·ieri, tiks izveidots marÄ·ieris, ko izmantosim, lai iegÅ«tu ASAv licenci, nokopÄjiet to:
AtkÄrtojiet darbÄ«bas C, D, E katram izvietotajam ASAv.
Lai atvieglotu marÄ·iera kopÄÅ”anu, Ä«slaicÄ«gi atļausim telnet. KonfigurÄsim katru ASA (tÄlÄk redzamais piemÄrs ilustrÄ ASA-1 iestatÄ«jumus). telnet nedarbojas ar Ärpusi, ja jums tas tieÅ”Äm ir nepiecieÅ”ams, mainiet droŔības lÄ«meni uz 100 uz Ärpusi, pÄc tam atgrieziet to atpakaļ.
!
ciscoasa(config)# int gi0/0
ciscoasa(config)# nameif outside
ciscoasa(config)# ip address 192.168.31.30 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# int gi0/1
ciscoasa(config)# nameif inside
ciscoasa(config)# ip address 192.168.255.2 255.255.255.0
ciscoasa(config)# no shut
!
ciscoasa(config)# telnet 0 0 inside
ciscoasa(config)# username admin password cisco priv 15
ciscoasa(config)# ena password cisco
ciscoasa(config)# aaa authentication telnet console LOCAL
!
ciscoasa(config)# route outside 0 0 192.168.31.1
!
ciscoasa(config)# wr
!
Lai reÄ£istrÄtu marÄ·ieri Smart-Account mÄkonÄ«, jums ir jÄnodroÅ”ina ASA piekļuve internetam, sÄ«kÄka informÄcija Å”eit.
ÄŖsÄk sakot, ASA ir nepiecieÅ”ama:
piekļuve internetam, izmantojot HTTPS;
laika sinhronizÄcija (pareizÄk, izmantojot NTP);
reÄ£istrÄts DNS serveris;
MÄs sazinÄsimies ar mÅ«su ASA un veicam iestatÄ«jumus, lai aktivizÄtu licenci, izmantojot Smart-Account.
Lai ASDM darbotos, vispirms tas ir jÄlejupielÄdÄ no vietnes cisco.com, manÄ gadÄ«jumÄ tas ir Å”Äds fails:
Lai AnyConnect klients darbotos, jums ir jÄaugÅ”upielÄdÄ attÄls katrÄ ASA katrai izmantotajai klienta darbvirsmas OS (plÄnots izmantot Linux / Windows / MAC), jums bÅ«s nepiecieÅ”ams fails ar Headend izvietoÅ”anas pakotne VirsrakstÄ:
LejupielÄdÄtos failus var augÅ”upielÄdÄt, piemÄram, FTP serverÄ« un augÅ”upielÄdÄt katrÄ atseviÅ”Ä·Ä ASA:
MÄs konfigurÄjam ASDM un paÅ”parakstÄ«to sertifikÄtu SSL-VPN (ražoÅ”anÄ ieteicams izmantot uzticamu sertifikÄtu). VirtuÄlÄs klastera adreses (vpn-demo.ashes.cc) iestatÄ«tajam FQDN, kÄ arÄ« katram FQDN, kas saistÄ«ts ar katra klastera mezgla ÄrÄjo adresi, ÄrÄjÄ DNS zonÄ ir jÄatrisina ÄRÄJÄ interfeisa IP adrese. (vai uz kartÄto adresi, ja tiek izmantota portu pÄradresÄcija udp/443 (DTLS) un tcp/443(TLS)). SÄ«kÄka informÄcija par prasÄ«bÄm sertifikÄtam ir norÄdÄ«ta sadaÄ¼Ä SertifikÄta pÄrbaude dokumentÄcija.
!
vpn-demo-1(config)# crypto ca trustpoint SELF
vpn-demo-1(config-ca-trustpoint)# enrollment self
vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc
vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru
vpn-demo-1(config-ca-trustpoint)# serial-number
vpn-demo-1(config-ca-trustpoint)# crl configure
vpn-demo-1(config-ca-crl)# cry ca enroll SELF
% The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc
Generate Self-Signed Certificate? [yes/no]: yes
vpn-demo-1(config)#
!
vpn-demo-1(config)# sh cry ca certificates
Certificate
Status: Available
Certificate Serial Number: 4d43725e
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Subject Name:
serialNumber=9A439T02F95
hostname=vpn-demo.ashes.cc
cn=*.ashes.cc
ou=ashes-lab
o=ashes
c=ru
Validity Date:
start date: 00:16:17 MSK Mar 19 2020
end date: 00:16:17 MSK Mar 17 2030
Storage: config
Associated Trustpoints: SELF
CA Certificate
Status: Available
Certificate Serial Number: 0509
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Subject Name:
cn=QuoVadis Root CA 2
o=QuoVadis Limited
c=BM
Validity Date:
start date: 21:27:00 MSK Nov 24 2006
end date: 21:23:33 MSK Nov 24 2031
Storage: config
Associated Trustpoints: _SmartCallHome_ServerCA
Neaizmirstiet norÄdÄ«t portu, lai pÄrbaudÄ«tu, vai ASDM darbojas, piemÄram:
Veiksim tuneļa pamatiestatījumus:
PadarÄ«sim pieejamu korporatÄ«vo tÄ«klu caur tuneli un ļausim iet tieÅ”i internetam (nav droÅ”Äkais veids, ja savienojoÅ”ajam resursdatoram nav aizsardzÄ«bas, ir iespÄjams iekļūt caur inficÄtu resursdatoru un parÄdÄ«t uzÅÄmuma datus, opcija split-tunnel-policy tunellall ielaidÄ«s tunelÄ« visu uzÅÄmÄja satiksmi. tomÄr sadalÄ«ts tunelis ļauj izlÄdÄt VPN vÄrteju un neapstrÄdÄt resursdatora interneta trafiku)
Izsniegsim adreses no apakÅ”tÄ«kla 192.168.20.0/24 saimniekiem tunelÄ« (kopÄ no 10 lÄ«dz 30 adresÄm (mezglam #1)). Katram VPN klastera mezglam ir jÄbÅ«t savam baseinam.
MÄs veiksim pamata autentifikÄciju ar lokÄli izveidotu lietotÄju ASA (tas nav ieteicams, Ŕī ir vienkÄrÅ”ÄkÄ metode), labÄk ir veikt autentifikÄciju, izmantojot LDAP/RADIUSS, vai vÄl labÄk, kaklasaiti Daudzfaktoru autentifikÄcija (MFA), Piem Cisco DUO.
Å Ä« integrÄcija ļÄva ne tikai Ätri integrÄt autentifikÄcijas procedÅ«ru ar AD direktoriju pakalpojumu, bet arÄ« atŔķirt, vai pievienotais dators pieder AD, saprast, vai Ŕī ierÄ«ce ir korporatÄ«va vai personiska, un novÄrtÄt pievienotÄs ierÄ«ces statusu. .
KonfigurÄsim Transparent NAT tÄ, lai trafika starp klientu un korporatÄ«vÄ tÄ«kla resursiem netiktu uzrakstÄ«ta:
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0
!
vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
(NEOBLIGÄTI): Lai mÅ«su klienti varÄtu piekļūt internetam, izmantojot ASA (izmantojot tunelis opcijas), izmantojot PAT, kÄ arÄ« iziet caur to paÅ”u ÄRÄJO interfeisu, no kura tie ir savienoti, jums jÄveic Å”Ädi iestatÄ«jumi
Izmantojot klasteri, ir ÄrkÄrtÄ«gi svarÄ«gi ļaut iekÅ”Äjam tÄ«klam saprast, kuram ASA novirzÄ«t atpakaļ trafiku lietotÄjiem, Å”im nolÅ«kam ir jÄpÄrdala marÅ”ruti / 32 klientiem izsniegtÄs adreses.
Å obrÄ«d mÄs vÄl neesam konfigurÄjuÅ”i klasteru, taÄu mums jau ir strÄdÄjoÅ”as VPN vÄrtejas, kuras var atseviŔķi savienot, izmantojot FQDN vai IP.
Tagad mums ir marÅ”ruts uz klientu no otrÄs ASA-2 vÄrtejas, un lietotÄji, kas ir savienoti ar dažÄdÄm VPN vÄrtejÄm klasterÄ«, var, piemÄram, sazinÄties tieÅ”i, izmantojot korporatÄ«vo softphone, kÄ arÄ« atgriezt trafiku no lietotÄja pieprasÄ«tajiem resursiem. dodieties uz vÄlamo VPN vÄrteju:
PÄriesim pie slodzes lÄ«dzsvaroÅ”anas klastera konfigurÄÅ”anas.
Adrese 192.168.31.40 tiks izmantota kÄ VirtuÄlais IP (VIP ā visi VPN klienti sÄkotnÄji tai pieslÄgsies), no Ŕīs adreses Master klasteris veiks REDIRECT uz mazÄk noslogotu klastera mezglu. Neaizmirsti uzrakstÄ«t uz priekÅ”u un apgrieztu DNS ierakstu gan katrai klastera mezgla katrai ÄrÄjai adresei / FQDN, gan VIP.
MÄs pÄrbaudÄm klastera darbÄ«bu ar diviem savienotiem klientiem:
PadarÄ«sim klienta pieredzi ÄrtÄku ar automÄtiski ielÄdÄtu AnyConnect profilu, izmantojot ASDM.
MÄs nosaucam profilu ÄrtÄ veidÄ un saistÄm ar to mÅ«su grupas politiku:
PÄc nÄkamÄ klienta savienojuma izveides Å”is profils tiks automÄtiski lejupielÄdÄts un instalÄts AnyConnect klientÄ, tÄpÄc, ja nepiecieÅ”ams izveidot savienojumu, jums tas vienkÄrÅ”i jÄatlasa sarakstÄ:
TÄ kÄ mÄs izveidojÄm Å”o profilu tikai vienÄ ASA, izmantojot ASDM, neaizmirstiet atkÄrtot darbÄ«bas ar citÄm klastera ASA.
SecinÄjums: TÄdÄjÄdi mÄs Ätri izvietojÄm vairÄku VPN vÄrteju kopu ar automÄtisku slodzes lÄ«dzsvaroÅ”anu. Jaunu mezglu pievienoÅ”ana klasterim ir vienkÄrÅ”a, izmantojot vienkÄrÅ”u horizontÄlu mÄrogoÅ”anu, izvietojot jaunas ASAv virtuÄlÄs maŔīnas vai izmantojot aparatÅ«ras ASA. Ar funkcijÄm bagÄtais AnyConnect klients var ievÄrojami uzlabot droÅ”u attÄlo savienojumu, izmantojot StÄja (stÄvokļa aprÄÄ·ini), ko visefektÄ«vÄk izmanto kopÄ ar centralizÄtÄs kontroles un piekļuves uzskaites sistÄmu IdentitÄtes pakalpojumu dzinÄjs.