URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17361
[ Назад ]

Исходное сообщение
"поделитесь опытьм использования WebVPN на базе Cisco IOS"

Отправлено Markoff , 11-Окт-08 10:51 
Доброго времени суток всем.
Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе Cisco IOS.
Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft RADIUS, поддержка https между Cisco и msExchange.
Расскажу как у меня.
Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк на OWA (будет больше линков, так же планирую мапинг портов, но это на будущее). Все замечательно работает, но напрягает несколько моментов, а именно:
1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного пароля, блокируется учетная запись в домене. таким образом можно залочить всех пользователей в домене, прямо из интернета :) Хотя стоит опция "security authentication failure rate 3 log", а лочится с 5й попытки (доменная политика) Видимо эта опция не действует на RADIUS авторизацию :( Как избежать блокирование учетных записей?
2. для доступа пользователя к OWA, по сути надо 2а раза вводить одни и теже учетные данные. один раз для доступа к WebVPN, второй раз для непосредственно OWA. Возможно ли сие вообще избежать?
3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться к  OWA по https - сертификат не проверенный. Как можно интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает по http, но этот косяк надо исправить.

И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если поставить OWA снаружи - все проблемы решаться, но будет другая проблема: мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да и вообще - это не обсуждается.


Содержание

Сообщения в этом обсуждении
"поделитесь опытьм использования WebVPN на базе Cisco IOS"
Отправлено Markoff , 16-Окт-08 12:01 
Неужели никто не делал доступ к OWA посредством cisco WebVPN?

"поделитесь опытьм использования WebVPN на базе Cisco IOS"
Отправлено weris , 16-Окт-08 12:47 
>Неужели никто не делал доступ к OWA посредством cisco WebVPN?

у нас организовано так -
циска 2821 - 80 и 443 порт на ИСУ - с ИСЫ уже на ОВА.
безо всякого впна, просто по www


"поделитесь опытьм использования WebVPN на базе Cisco IOS"
Отправлено Markoff , 17-Окт-08 08:12 
Это просто Вы выпустили ИСА в интернет. для меня - это неприемлимо, поэтому я организовал WebVPN.
Хотелось бы поговорить как раз об этой технологии.