á€áá±á¬ááºážáá«ážááœááºá áááºááŸáá¡áá»áááºááœáẠá¡ááœááºá¡á á¬ážá¡ááŸááá¯á¶áž á¡á á®á¡á ááºááᯠáááºáááºáá²á·ááá¯á· áá»ááºááŒááºá áœá¬ á¡áá¯á¶ážáá»ááá¯ááºáá¯á¶ááᯠá¡ááá·áºááá·áº áááºážááœáŸááºáá±ážááá¯áá«áááºá á¡áá±ážááááºážá¡áá¯á¶ážááŒá¯ááœáá·áº VPN ááá°áá¯á¶ážá áœá²ááŸá¯á¡ááŒá±áᶠAnyConnect ááŸáá·áº Cisco ASA - VPN Load Balancing Cluster.
áááá«ááºáž- áááºááŸáá¡ááŒá±á¡áá±á¡á COVID-19 ááŒá±á¬áá·áº ááá¹áá¬áá áºááŸááºážááŸá áá¯áá¹ááá®á¡áá»á¬ážá¡ááŒá¬ážááẠáááºážááá¯á·ááááºáááºážáá»á¬ážá¡á¬áž á¡áá±ážááŸá¡áá¯ááºááá¯á· ááŒá±á¬ááºážááœáŸá±á·ááẠááŒáá¯ážáááºážáá±ááŒáááºá áá±ážáá¶áá±á«ááºáá®áá±á¬á¡áá¯ááºááá¯á· á¡á á¯ááá¯ááºá¡ááŒá¯á¶ááá¯áẠáá°ážááŒá±á¬ááºážááŸá¯ááŒá±á¬áá·áº áá¯áá¹ááá®áá»á¬ážá áááºááŸá VPN áá¶áá«ážáá±á«ááºáá»á¬ážááœáẠáááºááẠáááááá¬áá¬ááá¯ážáá¬áá±ááŒá®áž áááºážááá¯á·ááᯠá¡ááá¯ááºážá¡áá¬á¡áá á¡ááœááºáá»ááºááŒááºáá±á¬á áœááºážááẠááá¯á¡ááºáá«áááºá á¡ááŒá¬ážáá áºáááºááœááºá áá¯áá¹ááá®á¡áá»á¬ážá¡ááŒá¬ážááẠá¡áá±ážááááºážá¡áá¯ááºá ááá±á¬ááá¬ážááᯠá¡á ááŸá¡áá¯á¶áž á¡áá±á¬ááá»áẠáá»áœááºážáá»ááºá á±ááẠááœááºážá¡á¬ážáá±ážááŒáááºá
áá¯ááºáááºážáá»á¬ážááᯠá¡ááá¯áá¯á¶ážá¡áá»áááºá¡ááœááºáž áááºáááºážáá»á¬ážá¡ááœáẠá¡áááºááŒá±á áá¯á¶ááŒá¯á¶ááŒá®áž á¡ááœááºá¡á
á¬ážááŸá VPN á¡áá¯á¶ážááŒá¯ááœáá·áº áááŸáá
á±ááẠáá°áá®áá±ážáááºá¡ááœáẠCisco ááẠAnyConnect á¡ááºá¹áá«áááºááŒáœááºááá±á¬ SSL-VPN áá±á¬ááºáááºá¡á¬áž 13 áááºá¡áá ááá¯ááºá
ááºáá»áá¬ážáá±ážáá«áááºá
á¡ááœááºá¡á á¬ážá¡ááŸááá¯á¶áž VPN áááºážááá¬á¡ááŒá ẠVPN Load-Balancing Cluster ááᯠááá¯ážááŸááºážá áœá¬ ááŒáá·áºáá»ááºááŒááºážá¡ááœáẠá¡ááá·áºááá·áºáááºážááœáŸááºáá»ááºááᯠáá»áœááºá¯ááºááŒááºáááºáá¬ážáá«áááºá
á¡á±á¬ááºáá±á¬áºááŒáá« á¥ááá¬ááẠá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááŸáá·áº ááœáá·áºááŒá¯áá»ááºááá¯ááºáᬠá¡ááºáááá¯áá®áááºáá»á¬ážááŸáá·áºáááºáááºá á¡áá±á¬áºáá±ážááá¯ážááŸááºážáááºááŒá áºááŒá®ážá ááá¯á·áá±á¬áº á áááºá¡áá¯á¶ážááŒá¯áá»áááºá¡ááœááºáž ááá·áºááá¯á¡ááºáá»ááºáá»á¬ážááŸáá·áº áááºááŸáá¯ááºážá áœá¬ááá¯ááºáá»á±á¬áá®ááœá±ááŒá áºá¡á±á¬ááºááŒá¯áá¯ááºááá¯ááºááŒá±ááŸááá±á¬ á¡ááŒááºá áááºááŒááºážá¡ááœáẠ(áá±á¬áá±á¬áááºááœáẠááá¯á¶áá±á¬ááºáá±ážáá±á¬) ááœá±ážáá»ááºááŸá¯áá±á¬ááºážáá áºáá¯ááŒá áºáá«áááºá áá¯ááºáááºážá ááºá
á¡ááá¯áá»á¯á¶ážá¡áá»ááºá¡áááº- VPN Load Balancing Cluster áááºážááá¬ááẠáááºážá áá°áááá±á¬á¡á á¡á á¯ááá¯ááºáá¯ááºáá±á¬ááºááŒááºážááá¯ááºáá² áá»ááºááœááºááŒááºážááá¯ááºáá«á á€áááºážááá¬ááẠáá»áááºááœááºáá»áŸá¬á¡áá±ážááŸáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááœáá·áº VPN áá»áááºáááºááŸá¯áá»á¬ážááᯠáá»áááºááœááºáá»áŸá¬ááá¯ááá°áááºá¡ááœáẠáá¯á¶ážáááœá²ááŒá¬ážááŒá¬ážáá¬ážáá±á¬ ASA áá±á¬áºáááºáá»á¬áž (ááá·áºáááºáá»ááºá¡áá»áá¯á·ááŸáá·áº) áá±á«ááºážá ááºááá¯ááºáááºá ááá¯ááá¯á·áá±á¬ á¡á á¯á¡áá±ážá áá¯á¶ááŸááºáá»á¬ážááŒá¬ážááœáẠáááºááŸááºáá»á¬ážááŸáá·áº ááœá²á·á ááºážááŸá¯áá¯á¶á á¶áá»á¬ážááᯠáááºáá°ááŒá¯ááŒááºážáááŸááá±á¬áºáááºážá á¡á á¯á¡áá±ážááœáẠá¡áááºážáá¯á¶áž á¡áá¯á¶ážááŒá¯áá±áá±á¬ áá¯ááºáá áºáá¯áá»ááºáááºá¡áá VPN áá»áááºáááºááŸá¯áá»á¬ážááᯠáá»áááºááœááºáá»áŸá¬á¡ááá¯á¡áá»á±á¬ááºáááºááá¯ááºááŒá®áž VPN áá»áááºáááºááŸá¯áá»á¬ážá á¡ááŸá¬ážá¡ááœááºážáá»á¬ážááᯠá¡á¬ááá¶ááá¯ááºáááºááŒá áºáááºá VPN áááºááŸááºá¡áá±á¡ááœááºá¡á¬ážááŒáá·áº node áá»á¬ážáá¡áá¯ááºáááºáá±á«áºáá°áááºá á¡á á¯á¡áá±ážááŸá load ááẠá¡ááá¯á¡áá»á±á¬ááºáá»áŸááá«áááºá
á¡á á¯á¡áá±ážá áá®ážááŒá¬áž node áá»á¬áž áá»ááºááœááºááŒááºážá¡ááœáẠ(ááá¯á¡ááºáá«á) filer ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááŒá®ážá ááá¯á·ááŒá±á¬áá·áº áááºááŸááá»áááºáááºááŸá¯ááᯠfiler á Primary node á០ááá¯ááºááœááºáááºááŒá áºáá«áááºá ááá¯ááºá¡áá¯áá¬ááẠLoad-Balancing á¡á á¯á¡áá±ážá¡ááœááºáž á¡ááŸá¬ážá¡ááœááºážáá¶ááá¯ááºáááºááŸáá á±áááºá¡ááœáẠááá¯á¡ááºáá±á¬á¡ááŒá±á¡áá±ááá¯ááºáá«á node áá»áá¯á·ááœááºážááŸá¯áá áºáá¯ááŒá áºááœá¬ážáá±á¬á¡áá« á¡á á¯á¡áá±ážááá¯ááºááá¯ááºá á¡áá¯á¶ážááŒá¯áá°á ááºááŸááºá¡á¬áž á¡ááŒá¬ážáá±á¬ ááá¯ááºááá¯áẠnode ááá¯á· ááœáŸá²ááŒá±á¬ááºážáá±ážáááá·áºáááºá ááá¯á·áá±á¬áº á¡ááá¡áá»ááŒá áºááá·áº áá»áááºáááºááŸá¯á¡ááŒá±á¡áá±ááᯠáááááºážáááºážáá²á filer ááŸáá±ážáááºá ááá¯á·ááŒá±á¬áá·áº á€áááºážááá¬ááŸá áºáá¯ááᯠáá±á«ááºážá ááºááẠááá¯á¡ááºáá«á ááŒá áºááá¯ááºáááºá
VPN Load-Balancing á¡á á¯á¡áá±ážááœáẠnode ááŸá áºáá¯áááºááá¯á áá«áááºááá¯ááºáááºá
VPN Load-Balancing Cluster ááᯠASA 5512-X ááŸáá·áº á¡áááºááœáẠáá¶á·ááá¯ážáá¬ážáááºá
VPN Load-Balancing á¡á á¯á¡áá±ážá¡ááœááºážááŸá ASA áá áºáá¯á á®ááẠáááºáááºáá»á¬ážááá¯ááºáᬠáá®ážááŒá¬ážáá°áá áºáá áºáá¯ááŒá áºáá±á¬ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠá ááºáá á¹á ááºážáá áºáá¯á á®ááœáẠáá áºáá¯áá»ááºážá á®á¡ááá¯áẠááœá²á·á ááºážááŸá¯á¡ááá·áºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáá±á¬ááºááœááºáá«áááºá
áá±ážáá¬ážáá±á¬ á¥ááá¬á áá¯áá¹áááá±áááá¯ááºáᬠtopology-
áá°ááááºážááŒáá·áºáá»ááºááŸá¯-
-
áá»áœááºá¯ááºááá¯á· ááá¯á¡ááºáá±á¬ ááá°áá¬áá¯á¶á á¶áá»á¬áž (ASAv5/10/30/50) ááᯠáá¯á¶áá²á០ASAv ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
-
áá»áœááºá¯ááºááá¯á·ááẠINSIDE / OUTSIDE á¡ááºáá¬áá±á·á áºáá»á¬ážááᯠáá°áá®áá±á¬ VLANs áá»á¬ážááá¯á· áááºááŸááºáá±ážááẠ(áááºážáááá¯ááºááá¯áẠVLAN ááœáẠá¡ááŒááºáááºá INSIDE ááœááºáááºážáááá¯ááºááá¯ááºá ááá¯á·áá±á¬áº áá±áá¯áá»á¡á¬ážááŒáá·áº á¡á á¯á¡áá±ážá¡ááœááºážááœááºá topology ááá¯ááŒáá·áºáá«)á áá°áá®áá±á¬á¡áá»áá¯ážá¡á á¬ážáá¡ááºáá¬áá±á·á áºáá»á¬ážááẠáá°áá®áá±á¬ L2 á¡ááá¯ááºážááœááºááŸááááºá¡áá±ážááŒá®ážáá«áááºá
-
ááá¯ááºá ááºáá»á¬áž-
- áá±á¬áá±á¬áááºááœáẠASAv áááºáááºááŸá¯ááœáẠáááºááá·áºááá¯ááºá ááºá០áááŸááá±á¬á·áá² 100kbps ááá·áºáááºáá¬ážáááºááŒá áºáááºá
- ááá¯ááºá
ááºáá
áºáá¯ááᯠááá·áºááœááºážáááºá áááºááẠáááºá Smart-Account ááœáẠááá¯áááºáá
áºáá¯ááᯠáááºáá®ážááẠááá¯á¡ááºáááº-
https://software.cisco.com/ -> á áááºáá±á¬á·ááºáá²ááá¯ááºá áẠ- ááœáá·áºáá¬áá±á¬áááºážááá¯ážááœáẠááá¯ááºááá¯ááŸáááºáá«á ááá¯áááºá¡áá áº
- ááœáá·áºááá·áºáááºážááá¯ážááœáẠá¡áááºáááºáá±á¬á¡ááœááºáá áºáá¯ááŸáááŒá®áž á¡ááŸááºááŒá áºá¡ááŸááºá¡áá¬ážááᯠá¡ááŸááºááŒá áºáá¬ážááŒá±á¬ááºáž áá±áá»á¬áá«á á±á ááá¯á·áá¯ááºááááºážáá»á¯ááºááá·áº áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠááœáá·áºááŒá¯áá«á⊠á€á¡ááœááºááᯠáááºááŒáœááŸá¯áááŸááá«áá áááºááẠááá¯ááºáá¬áá±á¬áá¯ááºááŸááºááŒááºážááá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºááá¯ááºáá²á ááá¯á·ááŒá±á¬áá·áº VPNá á€á¡ááœááºááẠá¡áááºááááºáá«áá áá»á±ážáá°ážááŒá¯á áááºáá¡áá±á¬áá·áºá¡ááœá²á·ááᯠá¡áááºááœááºážááẠáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááŒáá·áº áááºááœááºáá«á
- ááá¯ááºááá¯ááŸáááºááŒá®ážáá±á¬áẠááá¯áááºáááºáá®ážáá«áASAv á¡ááœáẠááá¯ááºá ááºááá°ááẠá¡áá¯á¶ážááŒá¯ááá·áº ááá¯áááºáá áºáá¯ááᯠáááºáá®ážáááºááŒá áºááŒá®ážá áááºážááᯠáá°ážáá°áá«-
- á¡áá¯á¶ážááŒá¯áá¬ážááá·áº ASAv áá áºáá¯á á®á¡ááœáẠá¡ááá·áº C,D,E ááᯠááŒááºáá¯ááºáá«á
- ááá¯áááºááᯠáá°ážáá°áá¬ááœáẠááá¯ááá¯ááœááºáá°á á±áááºá telnet ááᯠáá¬áá®ááœáá·áºááŒá¯ááá¯ááºááŒáá«á áá¯á·á ASA áá áºáá¯á á®ááᯠconfigure áá¯ááºááŒáá·áºáá¡á±á¬áẠ(á¡á±á¬ááºáá« á¥ááá¬ááẠASA-1 ááœáẠáááºáááºáá»á¬ážááᯠááá¯ááºáá±á¬áºáááº)á telnet ááẠá¡ááŒááºáááºááœáẠá¡áá¯ááºááá¯ááºáá«á á¡ááŸááºáááẠááá¯á¡ááºáá«áá áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áº 100 ááá¯á· ááŒááºáááá¯á· ááŒá±á¬ááºážáá«á ááá¯á·áá±á¬áẠáááºážááᯠááŒááºáá±ážáá«á
! ciscoasa(config)# int gi0/0 ciscoasa(config)# nameif outside ciscoasa(config)# ip address 192.168.31.30 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# int gi0/1 ciscoasa(config)# nameif inside ciscoasa(config)# ip address 192.168.255.2 255.255.255.0 ciscoasa(config)# no shut ! ciscoasa(config)# telnet 0 0 inside ciscoasa(config)# username admin password cisco priv 15 ciscoasa(config)# ena password cisco ciscoasa(config)# aaa authentication telnet console LOCAL ! ciscoasa(config)# route outside 0 0 192.168.31.1 ! ciscoasa(config)# wr !
- Smart-Account cloud ááœáẠááá¯áááºáá
áºáᯠááŸááºáá¯á¶áááºáááºá áááºááẠASA á¡ááœáẠá¡ááºáá¬ááẠá¡áá¯á¶ážááŒá¯ááœáá·áºááᯠáá±ážááá«áááºá
á¡áá±ážá áááºááᯠáá®ááŸá¬ .
á¡ááá¯áá»á¯ááºá¡á¬ážááŒáá·áºá ASA ááá¯á¡ááºáááº-
- HTTPS ááŸáááá·áºá¡ááºáá¬áááºááá¯á·áááºáá±á¬ááº;
- á¡áá»áááºáááºáá°ááŒá¯ááŒááºáž (ááá¯ááŸááºá¡á±á¬ááºá NTP ááŸáááá·áº);
- ááŸááºáá¯á¶áááºáá¬ážáá±á¬ DNS áá¬áá¬á
- áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á ASA ááá¯á· áááºáá®áá¯ááºážáááºááŒá®áž Smart-Account ááŸáá áºááá·áº ááá¯ááºá ááºááᯠá¡áááºááœááºážááẠáááºáááºáá»á¬áž ááŒá¯áá¯ááºáá«áááºá
! ciscoasa(config)# clock set 19:21:00 Mar 18 2020 ciscoasa(config)# clock timezone MSK 3 ciscoasa(config)# ntp server 192.168.99.136 ! ciscoasa(config)# dns domain-lookup outside ciscoasa(config)# DNS server-group DefaultDNS ciscoasa(config-dns-server-group)# name-server 192.168.99.132 ! ! ÐÑПвеÑОЌ ÑабПÑÑ DNS: ! ciscoasa(config-dns-server-group)# ping ya.ru Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds: !!!!! ! ! ÐÑПвеÑОЌ ÑÐžÐœÑ ÑПМОзаÑÐžÑ NTP: ! ciscoasa(config)# show ntp associations address ref clock st when poll reach delay offset disp *~192.168.99.136 91.189.94.4 3 63 64 1 36.7 1.85 17.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ! ! УÑÑаМПвОЌ кПМÑОгÑÑаÑÐžÑ ÐœÐ°Ñей ASAv ÐŽÐ»Ñ Smart-Licensing (в ÑППÑвеÑÑÑвОО Ñ ÐаÑОЌ пÑПÑОлеЌ, в ЌПеЌ ÑлÑÑае 100Ð ÐŽÐ»Ñ Ð¿ÑОЌеÑа) ! ciscoasa(config)# license smart ciscoasa(config-smart-lic)# feature tier standard ciscoasa(config-smart-lic)# throughput level 100M ! ! Ð ÑлÑÑае ÐœÐµÐŸÐ±Ñ ÐŸÐŽÐžÐŒÐŸÑÑО ЌПжМП МаÑÑÑПОÑÑ ÐŽÐŸÑÑÑп в ÐÐœÑеÑÐœÐµÑ ÑеÑез пÑПкÑО ОÑпПлÑзÑйÑе ÑлеЎÑÑÑОй блПк кПЌаМЎ: !call-home ! http-proxy ip_address port port ! ! Ðалее ÐŒÑ Ð²ÑÑавлÑеЌ ÑкПпОÑПваММÑй Оз пПÑÑала Smart-Account ÑПкеМ (<token>) О ÑегОÑÑÑОÑÑеЌ лОÑÐµÐœÐ·ÐžÑ ! ciscoasa(config)# end ciscoasa# license smart register idtoken <token>
- á ááºáá á¹á ááºážááẠááá¯ááºá ááºáá áºáᯠá¡á±á¬ááºááŒááºá áœá¬ á á¬áááºážááœááºážááŒá®ážááŒá±á¬ááºáž á á áºáá±ážááŒá®áž áá¯ááºááŸááºááŒááºáž ááœá±ážáá»ááºá áá¬áá»á¬áž áááá¯ááºáááº-
-
ááááºááá áºáá¯á á®ááœáẠá¡ááŒá±áᶠSSL-VPN ááᯠá áá áºááá·áºááœááºážáá«á
- ááá¯á·áá±á¬ááºá SSH ááŸáá·áº ASDM ááŸáá áºááá·áº áááºáá±á¬ááºááœáá·áºááᯠá á®á ááºáááºááŸááºáá«-
ciscoasa(config)# ssh ver 2 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# hostname vpn-demo-1 vpn-demo-1(config)# domain-name ashes.cc vpn-demo-1(config)# cry key gen rsa general-keys modulus 4096 vpn-demo-1(config)# ssh 0 0 inside vpn-demo-1(config)# http 0 0 inside ! ! ÐПЎМОЌеЌ ÑеÑÐ²ÐµÑ HTTPS ÐŽÐ»Ñ ASDM Ма пПÑÑÑ 445 ÑÑÐŸÐ±Ñ ÐœÐµ пеÑеÑекаÑÑÑÑ Ñ SSL-VPN пПÑÑалПЌ ! vpn-demo-1(config)# http server enable 445 !
- ASDM á¡áá¯ááºáá¯ááºáááºá¡ááœááºá áááºážááᯠcisco.com áááºááá¯ááºá០áŠážá áœá¬áá±á«ááºážáá¯ááºáá¯ááºááááºá áá»áœááºá¯ááºááá á¹á ááœáẠáááºážááẠá¡á±á¬ááºáá«ááá¯ááºááŒá áºáááº-
- AnyConnect áááá¯ááºážááá·áºá¡áá¯ááºáá¯ááºáááºá¡ááœááºá áááºá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ client desktop OS áá áºáá¯á á®á¡ááœáẠASA áá áºáá¯á á®ááá¯á· áá¯á¶áá áºáá¯á¶ááᯠá¡ááºáá¯ááºáá¯ááºááẠááá¯á¡ááºááẠ(Linux/Windows/MAC ááá¯á¡áá¯á¶ážááŒá¯ááẠá á®á ááºáá¬ážáááº)á áááºááŸáá·áºá¡áá° ááá¯ááºáá áºáᯠááá¯á¡ááºáááºááŒá áºáááºá Headend Deployment Package áá±á«ááºážá ááºááœááº-
- áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááᯠá¥ááá¬á¡á¬ážááŒáá·áº FTP áá¬áá¬ááá¯á· á¡ááºáá¯ááºáááºááá¯ááºááŒá®áž ASA áá áºáá¯á á®ááá¯á· á¡ááºáá¯ááºáá¯ááºááá¯ááºáá«áááºá
- áá»áœááºá¯ááºááá¯á·ááẠSSL-VPN á¡ááœáẠASDM ááŸáá·áº ááá¯ááºááá¯ááºáááºááŸááºááá¯ážáá¬ážáá±á¬ áááºááŸááºááᯠá á®á ááºáááºááŸááºáá±ážááẠ(áá¯ááºáá¯ááºáá¬ááœáẠáá¯á¶ááŒááºááá±á¬ áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážáááº)á Virtual Cluster Address (vpn-demo.ashes.cc) á FQDN ááŸáá·áº áááºá ááºáá±áá±á¬ FQDN áá áºáá¯á á®ááẠá¡á á¯á¡áá±ážáá áºáá¯á á®á ááŒááºáááááºá á¬ááŸáá·áº áááºá ááºáá±ááá·áº FQDN áá áºáá¯á á®ááẠááŒááºá DNS áá¯ááºá¡ááœááºáž á¡ááŒááºáááºá¡ááºáá¬áá±á·á áºá IP ááááºá á¬ááá¯á· ááŒá±ááŸááºážáááẠ(ááá¯á·ááá¯áẠport forwarding udp/443 (DTLS) ááŸáá·áº tcp/443(TLS)) ááᯠá¡áá¯á¶ážááŒá¯áá«á ááŒá±áá¯á¶ááœá²áá¬ážáá±á¬ ááááºá á¬ááá¯á·á áááºááŸááºá¡ááœáẠááá¯á¡ááºáá»ááºáá»á¬ážááá¯ááºáᬠá¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááá¹áááœááºáá±á¬áºááŒáá¬ážáá«áááºá áááºááŸááºá¡áááºááŒá¯ááŒááºáž á á¬ááœááºá á¬áááºážá
! vpn-demo-1(config)# crypto ca trustpoint SELF vpn-demo-1(config-ca-trustpoint)# enrollment self vpn-demo-1(config-ca-trustpoint)# fqdn vpn-demo.ashes.cc vpn-demo-1(config-ca-trustpoint)# subject-name cn=*.ashes.cc, ou=ashes-lab, o=ashes, c=ru vpn-demo-1(config-ca-trustpoint)# serial-number vpn-demo-1(config-ca-trustpoint)# crl configure vpn-demo-1(config-ca-crl)# cry ca enroll SELF % The fully-qualified domain name in the certificate will be: vpn-demo.ashes.cc Generate Self-Signed Certificate? [yes/no]: yes vpn-demo-1(config)# ! vpn-demo-1(config)# sh cry ca certificates Certificate Status: Available Certificate Serial Number: 4d43725e Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA256 with RSA Encryption Issuer Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Subject Name: serialNumber=9A439T02F95 hostname=vpn-demo.ashes.cc cn=*.ashes.cc ou=ashes-lab o=ashes c=ru Validity Date: start date: 00:16:17 MSK Mar 19 2020 end date: 00:16:17 MSK Mar 17 2030 Storage: config Associated Trustpoints: SELF CA Certificate Status: Available Certificate Serial Number: 0509 Certificate Usage: General Purpose Public Key Type: RSA (4096 bits) Signature Algorithm: SHA1 with RSA Encryption Issuer Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Subject Name: cn=QuoVadis Root CA 2 o=QuoVadis Limited c=BM Validity Date: start date: 21:27:00 MSK Nov 24 2006 end date: 21:23:33 MSK Nov 24 2031 Storage: config Associated Trustpoints: _SmartCallHome_ServerCA
- á¥ááᬠASDM á¡áá¯ááºáá¯ááºáá±ááŒá±á¬ááºáž á á áºáá±ážááẠport ááᯠáááºááŸááºááẠááá±á·áá«ááŸáá·áºá
- á¥áááºááá¯ááºáá±á«ááºážá á¡ááŒá±áá¶áááºáááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒáá«á áá¯á·á
- á¥áááºááá¯ááºáá±á«ááºážááŸáááá·áº áá±á¬áºááá¯ááááºááœááºáááºááᯠáááá¯ááºá á±ááŒá®áž á¡ááºáá¬áááºááᯠááá¯ááºááá¯ááºááœá¬ážááœáá·áºááŒá¯áá« (áá»áááºááẠhost ááœáẠá¡áá¬á¡ááœááºáá»á¬ážáááŸááá«á á¡áá¯á¶ááŒá¯á¶áá¯á¶ážáááºážáááºážááá¯ááºáá«á áá±á¬áá«ááá¯ážááŸááá±á¬ host ááŸáááá·áº ááá¯ážáá±á¬ááºáááºáá±á¬ááºááá¯ááºááŒá®áž áá±á¬áºááá¯ááááºáá±áá¬ááᯠááŒááááºá ááœá±ážáá»ááºá áá¬á split-tunnel-policy tunnelall á¥áááºááá¯ááºáá±á«ááºážáá²ááá¯á· áááºáá¶áá°á¡á¬ážáá¯á¶ážááᯠáááºážááŒá±á¬ááºážáá±ážáá«áááºá áááºááá¯á·áááºááá¯á á±áá¬áá°á split-tunnel VPN gateway ááᯠoffload áá¯ááºááá¯ááºááŒá®áž host á¡ááºáá¬áááºá¡ááœá¬ážá¡áá¬ááᯠááá¯ááºáá±á¬ááºááá¯ááºáá«)
- 192.168.20.0/24 subnet á០ááááºá á¬áá»á¬ážááᯠá¥áááºááá¯ááºáá±á«ááºážá¡ááœááºážááŸá host áá»á¬ážááá¯á· áá¯ááºáá±ážáá« (ááááºá ᬠ10 á០30 á¡áá (node ââ#1 á¡ááœááº)))á VPN cluster á node áá áºáá¯á á®ááœáẠáááºážáááá¯ááºááá¯áẠpool ááŸáááá«áááºá
- áá»áœááºá¯ááºááá¯á·ááẠASA ááœáẠá ááºááœááºážáááºáá®ážáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááŸáá·áº á¡ááŒá±áᶠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááᯠáá¯ááºáá±á¬ááºáá«ááẠ(áá«ááᯠá¡ááŒá¶ááŒá¯ááá¬ážáá«á á€áááºááŸá¬ á¡ááœááºáá°áá¯á¶ážáááºážáááºážááŒá áºáááº)á áááºážááŸáá áºááá·áº á á áºááŸááºááŒá±á¬ááºážá¡áááºááŒá¯ááŒááºážááᯠáá¯ááºáá±á¬ááºáá«á ááá¯áá±á¬ááºážáá«áááºá LDAP/RADIUSáá«ááŸááá¯áẠááá¯áá±á¬ááºážáá±ážá áá»ááºáá«á Multi-Factor Authentication (MFA)á¥ááᬠCisco DUO.
! vpn-demo-1(config)# ip local pool vpn-pool 192.168.20.10-192.168.20.30 mask 255.255.255.0 ! vpn-demo-1(config)# access-list split-tunnel standard permit 192.168.0.0 255.255.0.0 ! vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY internal vpn-demo-1(config)# group-policy SSL-VPN-GROUP-POLICY attributes vpn-demo-1(config-group-policy)# vpn-tunnel-protocol ssl-client vpn-demo-1(config-group-policy)# split-tunnel-policy tunnelspecified vpn-demo-1(config-group-policy)# split-tunnel-network-list value split-tunnel vpn-demo-1(config-group-policy)# dns-server value 192.168.99.132 vpn-demo-1(config-group-policy)# default-domain value ashes.cc vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# default-group-policy SSL-VPN-GROUP-POLICY vpn-demo-1(config-tunnel-general)# address-pool vpn-pool ! vpn-demo-1(config)# username dkazakov password cisco vpn-demo-1(config)# username dkazakov attributes vpn-demo-1(config-username)# service-type remote-access ! vpn-demo-1(config)# ssl trust-point SELF vpn-demo-1(config)# webvpn vpn-demo-1(config-webvpn)# enable outside vpn-demo-1(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.8.03036-webdeploy-k9.pkg vpn-demo-1(config-webvpn)# anyconnect enable !
- (áá»ááºááŸááºáá¬ážááá¯ááºáááº): á¡áááºáá±á¬áºááŒáá« á¥ááá¬ááœááºá áá»áœááºá¯ááºááá¯á·ááẠáá¬ááºááœá²áááºážááŸááœá²á á¡áá¯á¶ážááŒá¯ááá¯ááºááŸá¯ áá¶á·áá»ááºážáá±á¬ á¡áá±ážááááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááẠITU á០áá±ááá¶á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážá¡ááœáẠáááºáááºááᯠáá»ááºááŒááºá áœá¬ ááá¯ááºáá»á±á¬áá®ááœá±ááŒá áºá¡á±á¬áẠáá¯ááºáááºáž á¥ááá¬áá áºáᯠááŒá±á¬ááŒáá«áááºá RADIUS á¥ááá¬á server ááá¯áá¯á¶ážáááºá Cisco áááºá¡áá±á¬ááºá¡áá¬ážááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááºáá»ááº:
vpn-demo-1(config-aaa-server-group)# dynamic-authorization vpn-demo-1(config-aaa-server-group)# interim-accounting-update vpn-demo-1(config-aaa-server-group)# aaa-server RADIUS (outside) host 192.168.99.134 vpn-demo-1(config-aaa-server-host)# key cisco vpn-demo-1(config-aaa-server-host)# exit vpn-demo-1(config)# tunnel-group DefaultWEBVPNGroup general-attributes vpn-demo-1(config-tunnel-general)# authentication-server-group RADIUS !
á€áá±á«ááºážá ááºááŸá¯ááẠAD áááºážááœáŸááºáááºáá±á¬ááºááŸá¯ááŸáá·áº á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá¯ááºáááºážá ááºááᯠáá»ááºááŒááºá áœá¬áá±á«ááºážá ááºááá¯ááºá á±áá¯á¶áá¬áá áá»áááºáááºáá¬ážáá±á¬ááœááºáá»á°áá¬ááẠAD ááŸáá·áºáááºááá¯ááºááŒááºážááŸáá .
- áá±á¬ááºáááºááŸáá·áº áá±á¬áºááá¯ááááºááœááºáááºááœááºáááºá á¡áááºážá¡ááŒá áºáá»á¬ážááŒá¬áž á¡ááœá¬ážá¡áá¬ááᯠáá±ážááŒá áºááá¬ážá á±ááẠTransparent NAT ááᯠááŒááºáááºáááºááŸááºááŒáá«á áá¯á·á
vpn-demo-1(config-network-object)# subnet 192.168.20.0 255.255.255.0 ! vpn-demo-1(config)# nat (inside,outside) source static any any destination static vpn-users vpn-users no-proxy-arp
- (áá»ááºááŸááºáá¬ážááá¯ááºáááº- áá»áœááºá¯ááºááá¯á·ááá±á¬ááºáááºáá»á¬ážá¡á¬áž ASA (á¡áá¯á¶ážááŒá¯áá±á¬á¡áá«ááœááº) ááŸáááá·áºá¡ááºáá¬áááºááá¯ááŒáááẠá¥áááºááá¯ááºáá±á«ááºáž ááœá±ážáá»ááºá áá¬áá»á¬áž) PAT ááá¯á¡áá¯á¶ážááŒá¯á áááºážááá¯á·áá»áááºáááºáá¬ážááá·áº áá°áá®áá±á¬ááŒááºáá¡ááºáá¬áá±á·á áºááŸáá áºááá·áº ááœááºáá«á á¡á±á¬ááºáá«áááºáááºáá»á¬ážááᯠááŒá¯áá¯ááºááẠááá¯á¡ááºáá«áááºá
vpn-demo-1(config-network-object)# nat (outside,outside) source dynamic vpn-users interface vpn-demo-1(config)# nat (inside,outside) source dynamic any interface vpn-demo-1(config)# same-security-traffic permit intra-interface !
- á¡á
á¯ááá¯ááºá¡ááŒá¯á¶ááá¯ááºááá¯á¡áá¯á¶ážááŒá¯ááá·áºá¡áá«á áá¯á¶ážá
áœá²áá°áá»á¬ážáᶠáááºážááŒá±á¬ááºážáá»á¬ážááŒááºááá¯á·ááẠáááºááá·áº ASA ááᯠáá¬ážáááºááẠá¡ááœááºážááœááºáááºááᯠááœáá·áºáá¬ážááẠá¡ááœááºá¡áá±ážááŒá®ážáááºá áááºážá¡ááœáẠáááºááẠáá¯á¶ážá
áœá²áá°áá»á¬ážáᶠáá¯ááºáá±ážáá±á¬ áááºážááŒá±á¬ááºážáá»á¬áž / 32 ááááºá
á¬áá»á¬ážááᯠááŒááºáááºááŒáá·áºáá±ááẠááá¯á¡ááºáá«áááºá
áá±á¬áá±á¬áááºááœááºá áá»áœááºá¯ááºááá¯á·ááẠá¡á á¯á¡áá±ážááᯠááááºááŸááºááá±ážáá±á¬áºáááºáž FQDN ááá¯á·ááá¯áẠIP ááŸáá áºááá·áº áá áºáŠážáá»ááºážáá»áááºáááºááá¯ááºááá·áº VPN ááááºáá±ážáá»á¬áž áá¯ááºáá±á¬ááºáá¬ážááŒá®ážááŒá áºáááºá
ááá ASA á áááºážááŒá±á¬ááºážááá¬ážááœáẠáá»áááºáááºáá¬ážáá±á¬ áááá¯ááºážááá·áºááᯠáá»áœááºá¯ááºááá¯á· ááœá±á·ááááº-
áá»áœááºá¯ááºááá¯á·á VPN á¡á á¯á¡áá±ážáá áºáá¯áá¯á¶ážááŸáá·áº áá»áœááºá¯ááºááá¯á·ááááá¯ááºážááá·áºáá¶ááá¯á· áááºážááŒá±á¬ááºážááᯠááááŸáá á±áááºá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠáá¯á¶ážá áœá²áá°áááŸá±á·áááºááᯠááŒá±á¬ááºážáá²áá±áá±á¬áááºážááŒá±á¬ááºážáááºááŸááºáááá¯ááá¯áá±á¬á á¥ááᬠOSPF ááá¯á· ááŒááºáááºááŒáá·áºáá±áá«áááºá
! vpn-demo-1(config)# route-map RMAP-VPN-REDISTRIBUTE permit 1 vpn-demo-1(config-route-map)# match ip address VPN-REDISTRIBUTE ! vpn-demo-1(config)# router ospf 1 vpn-demo-1(config-router)# network 192.168.255.0 255.255.255.0 area 0 vpn-demo-1(config-router)# log-adj-changes vpn-demo-1(config-router)# redistribute static metric 5000 subnets route-map RMAP-VPN-REDISTRIBUTE
ááᯠáá»áœááºá¯ááºááá¯á·ááœáẠáá¯ááá ASA-2 ááááºáá±ážá០áá¯á¶ážá áœá²áá°áá¶ááá¯á· áááºážááŒá±á¬ááºážáá áºáᯠááŸáááŒá®ážá á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠá¡á á¯á¡áá±ážá¡ááœááºáž ááá°áá®áá±á¬ VPN ááááºáá±ážáá»á¬ážááá¯á· áá»áááºáááºáá¬ážáá±á¬ áá¯á¶ážá áœá²áá°áá»á¬ážááẠá¥ááá¬á¡á¬ážááŒáá·áºá áá±á¬áºááá¯ááááºáá±á¬á·ááºáá²ááºáá áºáá¯ááŸáá áºááá·áº ááá¯ááºááá¯ááºáááºááœááºááá¯ááºááá·áºá¡ááŒáẠá¡áá¯á¶ážááŒá¯áá°áá±á¬ááºážááá¯áá¬ážááá·áº á¡áááºážá¡ááŒá áºáá»á¬ážá០áááºážááŒá±á¬ááºážáá»á¬ážááᯠááŒááºáááºáá±ážááá¯á·ááá¯ááºáááºá ááá¯áá»ááºáá±á¬ VPN áá¶áá«ážáá±á«ááºááá¯á· áá¬áá«á
-
Load-Balancing á¡á á¯á¡áá±ážááᯠááŒááºáááºáááºááŸááºááŒááºážááá¯á· áááºááœá¬ážááŒáá«á áá¯á·á
ááááºá ᬠ192.168.31.40 ááᯠVirtual IP á¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááẠ(VIP - VPN áá±á¬ááºáááºáá»á¬ážá¡á¬ážáá¯á¶áž áááºážáᶠáááŠáž áá»áááºáááºáá«áááº)á á€ááááºá á¬á០Master cluster ááẠloaded áááºážáá±á¬ cluster node ááá¯á· REDIRECT ááŒá¯áá¯ááºáá«áááºá áá±ážááá¯á·ááá±á·áá«áá²á·á DNS ááŸááºáááºážááᯠááŸá±á·ááŸáá·áºáá±á¬ááºááŒááºááŸáá·áºáá«á Cluster á node áá áºáá¯á á®á ááŒááºáááááºá á¬áá áºáá¯á á® / FQDN ááŸá áºáá¯áá¯á¶ážááŸáá·áº VIP á¡ááœááºá
vpn-demo-1(config)# vpn load-balancing vpn-demo-1(config-load-balancing)# interface lbpublic outside vpn-demo-1(config-load-balancing)# interface lbprivate inside vpn-demo-1(config-load-balancing)# priority 10 vpn-demo-1(config-load-balancing)# cluster ip address 192.168.31.40 vpn-demo-1(config-load-balancing)# cluster port 4000 vpn-demo-1(config-load-balancing)# redirect-fqdn enable vpn-demo-1(config-load-balancing)# cluster key cisco vpn-demo-1(config-load-balancing)# cluster encryption vpn-demo-1(config-load-balancing)# cluster port 9023 vpn-demo-1(config-load-balancing)# participate vpn-demo-1(config-load-balancing)#
- áá»áááºáááºáá¬ážáá±á¬ client ááŸá áºáá¯ááŒáá·áº á¡á á¯á¡áá±ážá áááºáááºááŸá¯ááᯠáá»áœááºá¯ááºááá¯á· á á áºáá±ážáááº-
- ASDM ááŸáááá·áº á¡ááá¯á¡áá»á±á¬ááºáááºáá¬ážáá±á¬ AnyConnect áááá¯ááá¯ááºááŒáá·áº áá¯á¶ážá áœá²áá°á¡ááœá±á·á¡ááŒá¯á¶ááᯠááá¯ááá¯á¡áááºááŒá±á á±ááŒáá«á áá¯á·á
áá»áœááºá¯ááºááá¯á·ááẠáááá¯ááá¯ááºááᯠá¡áááºááŒá±áá±á¬áááºážáááºážááŒáá·áº áá¬áááºáá±ážáᬠáá»áœááºá¯ááºááá¯á·áá¡ááœá²á·áá°áá«áááᯠáááºážááŸáá·áºááœá²áááºáááº-
áááá¯ááºážááá·áºááá±á¬ááºáááºáá»áááºáááºááŸá¯ááŒá®ážáá±á¬ááºá á€áááá¯ááá¯ááºááᯠAnyConnect áááá¯ááºážááá·áºááœáẠá¡ááá¯á¡áá»á±á¬ááºáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž ááá·áºááœááºážááœá¬ážáááºááŒá áºááŒá®ážá ááá¯á·ááŒá±á¬áá·áº áááºáá»áááºáááºáááºááá¯á¡ááºáá«áá áááºážááᯠá á¬áááºážááŸááœá±ážáá»ááºáá«-
ASDM ááá¯á¡áá¯á¶ážááŒá¯á ASA áá áºáá¯áááºážááœáẠá€áááá¯ááá¯ááºááᯠáááºáá®ážáá¬ážáá±á¬ááŒá±á¬áá·áºá á¡á á¯á¡áá±ážááŸá á¡ááŒá¬áž ASA áá»á¬ážááŸá á¡ááá·áºáá»á¬ážááᯠáááºáá¯ááºááẠááá±á·áá«ááŸáá·áºá
áááá¯á¶ážáá»á¯ááº: ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠá¡ááá¯á¡áá»á±á¬áẠLoad Balancing ááŒáá·áº áá»á¬ážá áœá¬áá±á¬ VPN gateway á¡á á¯á¡áá±ážááᯠáá»ááºááŒááºá áœá¬ á¡áá¯á¶ážáá»áá²á·áááºá ASAv virtual machines á¡áá áºáá»á¬ážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº ááá¯á·ááá¯áẠáá¬á·ááºáá² ASAs ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº ááá¯ážááŸááºážáá±á¬ á¡áá»á¬ážááá¯áẠá¡ááá¯ááºážá¡áá¬ááŒáá·áº á¡á á¯á¡áá±ážááá¯á· node á¡áá áºáá»á¬ážááᯠáá±á«ááºážááá·áºááŒááºážááẠááœááºáá°áá«áááºá á¡ááºá¹áá«áááºááŒáœááºááá±á¬ AnyConnect áááá¯ááºážááá·áºááẠáááºážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº áá¯á¶ááŒá¯á¶áá±á¬ á¡áá±ážááááºážáá»áááºáááºááŸá¯ááᯠááá¯ááá¯áá±á¬ááºážááœááºá á±ááá¯ááºáááºá ááá¯ááºáááºá¡áá±á¡áá¬áž (ááŒááºáááºááá·áºááŸááºážáá»ááº)áááá¯áá»á¯ááºááá¯ááºááŸá¯ ááááºážáá»á¯ááºááŒááºážááŸáá·áº á á¬áááºážááá¯ááºááá°ááŒááºážá áá áºááá¯á·ááŸáá·áº ááœá²áááºá áááááá±á¬ááºáá±á¬áẠá¡áá»á¬ážáá¯á¶áž á¡áá¯á¶ážááŒá¯áááºá á¡áá±á¬ááºá¡áá¬ážáááºáá±á¬ááºááŸá¯á¡ááºáá»ááº.
source: www.habr.com