URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22971
[ Назад ]

Исходное сообщение
"standalone anyconnect vpn with cisco ASA"
Отправлено Aleks305 , 10-Авг-11 14:27

Всем привет!
Настроил на ASA 5520 webvpn с поддержкой режима туннелирования с использованием anyconnect vpn.
Когда заходишь на клиентский портал и устанавливаешь с него клиент, а затем автоматически и туннель - все ок.
Пытаюсь приконнектиться просто с помощью anyconnect-клиента - login failure пишет на клиенте. В debug cisco asa:
aaa: ACCEPT
Кто сталкивался - в чем может быть проблема?

Содержание

standalone anyconnect vpn with cisco ASA,cant, 22:30 , 10-Авг-11
- standalone anyconnect vpn with cisco ASA,Aleks305, 22:39 , 10-Авг-11
  - standalone anyconnect vpn with cisco ASA,cant, 22:49 , 10-Авг-11
    - standalone anyconnect vpn with cisco ASA,Aleks305, 10:26 , 11-Авг-11

Сообщения в этом обсуждении

"standalone anyconnect vpn with cisco ASA"
Отправлено cant , 10-Авг-11 22:30

> Когда заходишь на клиентский портал и устанавливаешь с него клиент, а затем
> автоматически и туннель - все ок.
> Пытаюсь приконнектиться просто с помощью anyconnect-клиента - login failure пишет на клиенте.
Аналогично. Видимо с портала клиент поставляется с преднастройками, сертифиатов, логинов.
вобщем вещь в себе. В продакшен пока не пошло по иным причинам. Отпишите пожалуйста что нароете.

"standalone anyconnect vpn with cisco ASA"
Отправлено Aleks305 , 10-Авг-11 22:39

>> Когда заходишь на клиентский портал и устанавливаешь с него клиент, а затем
>> автоматически и туннель - все ок.
>> Пытаюсь приконнектиться просто с помощью anyconnect-клиента - login failure пишет на клиенте.
> Аналогично. Видимо с портала клиент поставляется с преднастройками, сертифиатов, логинов.
> вобщем вещь в себе. В продакшен пока не пошло по иным причинам.
> Отпишите пожалуйста что нароете.
разобрался уже. необходимо включать в tunnel-group group-alias, а group-url...
В настройке самой webvpn tunnel-group-list enable
Естественно, аутентификация по сертификатам в этом случае невозможна, только логин/пароль
У вас случаем нет anyconnectprofileeditor?

"standalone anyconnect vpn with cisco ASA"
Отправлено cant , 10-Авг-11 22:49

> разобрался уже. необходимо включать в tunnel-group group-alias, а group-url...
> В настройке самой webvpn tunnel-group-list enable
> Естественно, аутентификация по сертификатам в этом случае невозможна, только логин/пароль
> У вас случаем нет anyconnectprofileeditor?
в деталях не вспомню.
Принципильно надо было сделать только на сертификатах.
логин/пароль только для получения сертификата.
А вот дальше неуниверсальность инсталляции клиента обломала несколько это решение.

"standalone anyconnect vpn with cisco ASA"
Отправлено Aleks305 , 11-Авг-11 10:26

>> разобрался уже. необходимо включать в tunnel-group group-alias, а group-url...
>> В настройке самой webvpn tunnel-group-list enable
>> Естественно, аутентификация по сертификатам в этом случае невозможна, только логин/пароль
>> У вас случаем нет anyconnectprofileeditor?
> в деталях не вспомню.
> Принципильно надо было сделать только на сертификатах.
> логин/пароль только для получения сертификата.
> А вот дальше неуниверсальность инсталляции клиента обломала несколько это решение.
По сертификатам тоже получилось(без логина/пароля). Используются серты из Windows store. Причем vpn-клиент их может сам "засосать" и установить, но думаю это работает только с asa CA или CA на роутерах.
Мне понравилось вообщем.
В чем неуниверсальность инсталяции клиента?