Asa 5505 Anyconnect

Posted : admin | On 30-04-2021



Nov 11, 2012Asa 5505 anyconnect loginAsa 5505 Anyconnect
  1. Cisco AnyConnect is an extra licensable feature which operates IPSec or SSL tunnels to clients on PCs, iPhones or iPads. The 5505 introduced in 2010 was a desktop unit designed for small enterprises or branch offices.
  2. It is worth noting that AnyConnect 3.x required the purchase of Essentials or Premium license + AnyConnect Mobile (L-ASA-AC-M-55xx) in order to support mobile devices (Smartphones, Tablets etc.). AnyConnect Mobile is now integrated into the new AnyConnect Plus license. Cisco AnyConnect Plus Perpetual (permanent) License. The AnyConnect Plus Perpetual license supports the same features as.
  3. I was looking for newer versions of anyconnect. Just adding my $0.02. The keygen has worked on every 55xx I've tried. Yes, you have to dial back your greed on the 5505. If you attempt to enable things it doesn't do, it'll complain and ignore them. Enabled This platform has an ASA 5505 Security Plus license.

ASA-5506X (config-webvpn)# anyconnect enable When dealing with multiple clients (supported platforms) of AnyConnect, assign an order to the client images using the numbers (1, 2, 3) at the end of each package command as shown above. Both IPSec VPNs and SSL VPNs are supported by Cisco ASA 5500 firewalls. The newest generation of remote access VPNs is offered from Cisco AnyConnect SSL VPN client. This is supported by Cisco ASA 8.x. The AnyConnect SSL VPN provides the best features from.

AsaAsa

We currently have an ASA 5505 Firewall with VPN services configured. The system is running ASA Version 9.0.0 and ADSDM 7.0.2. I installed the 'Cisco AnyConnect Sercure Mobility Client' Version 3.1.01065 on my Windows 7 Ultimate PC. When I try to connect to my VPN service I ge the following message:
Security Warning: Untrusted VPN Server Certificate! AnyConnect cannot verify the VPN server: XXX.XXX.XX.XX
-Certifiate does not match the server name
-Certificate is from an untrusted source.
-Certificate is not identified for this purpose.
Without purchasing a certificate from a 3rd Party vendor, is it possible to register a 'Self' generated Certificate to get rid of this message? If so are there any 'Detailed' (e.g., simplified or not in Cisco-eeze language) instructions on how to setup the Firewall to 'push' the certificate to the VPN client so the message doesn't come up for the user?

Asa 5505 Anyconnect Software

Home • Регистрация • FAQ • Поиск • Вход
Сообщения без ответов | Активные темы Текущее время: 23 апр 2021, 04:25

помогите наладить SSL VPN (anyconnect) на ASA 5505

Модератор: Fedia



Страница 1 из 1
 [ Сообщений: 12 ]
Версия для печатиПред. тема | След. тема
помогите наладить SSL VPN (anyconnect) на ASA 5505
АвторСообщение
настраивал по этому мануалу:
http://www.cisco.com/en/US/products/ps6 ... fbd2.shtml
все получилось кроме настройки NAT, т.к. инструкция для 8.2, а у меня 8.3
нашел образцы в новом фрмате, переконвертил, но нифига не работает - VPN подымается, а ничего никуда не ходит
конфиг приложен.
NAT пробовал прописывать по всякому, не помогает
: Saved
: Written by enable_15 at 21:08:04.009 MSK/MDD Wed Apr 6 2011
!
ASA Version 8.3(2)
!
hostname ps-gw
domain-name press-s.ru
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.28.10.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address Х.82 255.255.255.240
!
interface Vlan5
nameif dmz
security-level 50
ip address 192.168.35.13 255.255.255.0
!
interface Vlan15
nameif pbx-out
security-level 10
ip address 10.202.44.59 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 5
!
interface Ethernet0/2
switchport access vlan 15
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa832-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name press-s.ru
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network pbx-ip.in
host 172.28.10.5
object network pbx-ip.out
host 10.202.44.58
object network mail.dmz
host 192.168.35.25
object network mail.out
host 83.220.56.90
object network gars-h323-server
host 83.220.63.244
object network pbx-ip-6.in
host 172.28.10.6
object network pbx-ip-6.out
host 10.202.44.60
object network sslvpn-RemoteNet
subnet 172.28.11.0 255.255.255.0
object network sslvpn-LocalNet
subnet 172.28.10.0 255.255.255.0
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_SERVICE_1
service-object icmp
service-object icmp echo
service-object icmp echo-reply
object-group service DM_INLINE_SERVICE_2
service-object icmp
service-object icmp echo
service-object icmp echo-reply
object-group service DM_INLINE_SERVICE_3
service-object icmp
service-object icmp echo
service-object icmp echo-reply
object-group service DM_INLINE_SERVICE_4
service-object icmp
service-object icmp echo
service-object icmp echo-reply
object-group network DM_INLINE_NETWORK_1
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_2
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_3
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_4
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_5
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_6
network-object object pbx-ip-6.in
network-object object pbx-ip.in
object-group network DM_INLINE_NETWORK_7
network-object object pbx-ip-6.out
network-object object pbx-ip.out
object-group network DM_INLINE_NETWORK_8
network-object object pbx-ip-6.out
network-object object pbx-ip.out
object-group service DM_INLINE_TCP_1 tcp
port-object eq ftp
port-object eq www
port-object eq https
access-list inside_access_in extended permit object-group DM_INLINE_SERVICE_4 any any
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit object-group TCPUDP host 172.28.10.10 any eq domain
access-list inside_access_in extended permit tcp 172.28.10.0 255.255.255.0 any
access-list inside_access_in extended permit tcp object-group DM_INLINE_NETWORK_1 any
access-list inside_access_in extended permit udp object-group DM_INLINE_NETWORK_2 any
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_3 any
access-list outside_access_in extended permit tcp any object mail.dmz eq smtp
access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_1 any any
access-list outside_access_in extended permit tcp any object mail.dmz eq https
access-list pbx-out_access_in extended permit object-group TCPUDP any object-group DM_INLINE_NETWORK_4
access-list pbx-out_access_in extended permit ip any object-group DM_INLINE_NETWORK_5
access-list pbx-out_access_in extended permit udp any object-group DM_INLINE_NETWORK_6
access-list pbx-out_access_in extended permit tcp any object-group DM_INLINE_NETWORK_7
access-list pbx-out_access_in extended permit ip any object-group DM_INLINE_NETWORK_8
access-list pbx-out_access_in extended permit object-group DM_INLINE_SERVICE_3 any any
access-list dmz_access_in extended permit object-group DM_INLINE_SERVICE_2 any any
access-list dmz_access_in extended permit icmp any any
access-list dmz_access_in extended permit tcp object mail.dmz any eq smtp
access-list dmz_access_in extended permit tcp object mail.dmz any object-group DM_INLINE_TCP_1
no pager
logging enable
logging timestamp
logging trap informational
logging asdm informational
logging host inside 172.28.10.12
logging host inside 172.28.10.113
logging permit-hostdown
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu pbx-out 1500
ip local pool SSLClientPool 172.28.11.100-172.28.11.200 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-633.bin
no asdm history enable
arp timeout 14400
nat (inside,outside) source dynamic any interface
nat (inside,any) source static sslvpn-LocalNet sslvpn-LocalNet destination static sslvpn-RemoteNet sslvpn-RemoteNet
!
object network obj_any
nat (inside,outside) dynamic interface
object network pbx-ip.in
nat (inside,pbx-out) static pbx-ip.out
object network mail.dmz
nat (dmz,outside) static mail.out
object network pbx-ip-6.in
nat (any,any) static pbx-ip-6.out
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
access-group pbx-out_access_in in interface pbx-out
route outside 0.0.0.0 0.0.0.0 Х.81 1
route pbx-out Х.252 255.255.255.255 10.202.44.57 1
route pbx-out Х.244 255.255.255.255 10.202.44.57 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 172.28.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto ca trustpoint ASDM_TrustPoint0
enrollment terminal
subject-name CN=gw.press-s.ru
crl configure
crypto ca trustpoint localtrust
enrollment self
fqdn gw.press-s.ru
subject-name CN=gw.press-s.ru
keypair sslvpnkeypair
crl configure
crypto ca certificate chain localtrust
certificate 314f9c4d
308201e3 3082014c a0030201 02020431 4f9c4d30 0d06092a 864886f7 0d010105
05003036 31163014 06035504 03130d67 772e7072 6573732d 732e7275 311c301a
06092a86 4886f70d 01090216 0d67772e 70726573 732d732e 7275301e 170d3131
30343036 31353239 30385a17 0d323130 34303331 35323930 385a3036 31163014
06035504 03130d67 772e7072 6573732d 732e7275 311c301a 06092a86 4886f70d
01090216 0d67772e 70726573 732d732e 72753081 9f300d06 092a8648 86f70d01
01010500 03818d00 30818902 818100a8 e662fee8 e592f219 c5e743e3 106531b8
e0925b52 e9d50f05 4f8c823d 179dc70e b84bfde1 980a58d9 e82caad7 acf44fca
249f8a77 20ba8ac4 aa753ed7 e055048c 83d40df8 5a75c4e9 9980d535 dcd188f0
8386bd07 d0b89641 ea37f571 36ca8b71 3266e681 73f8f252 7a76559b 9d33e2fb
0e9a44c1 32d26703 46c8f62b b361b102 03010001 300d0609 2a864886 f70d0101
05050003 81810039 69031114 58c9c6d1 185c64a2 f418a7d4 6ba1b815 aeaa82f2
bdfb2d97 42f29209 1daaf75e 2a52d8a4 d9235d09 dddcd021 c4e6e195 04378fbd
fe2faf73 bd8900ec 7994a3f0 97403a35 1f109030 b38feb94 2604966b 24206cc2
5639acda 0313bd86 11bef3a9 3f5aae2d b0428174 73717922 aa667a76 a920c06f
fb323fb6 c28870
quit
telnet 172.28.10.0 255.255.255.0 inside
telnet timeout 5
ssh 172.28.10.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tftp-server inside 172.28.10.12 asa-.txt
ssl trust-point localtrust outside
webvpn
enable outside
svc image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
svc enable
tunnel-group-list enable
group-policy SSLCLientPolicy internal
group-policy SSLCLientPolicy attributes
dns-server value 172.28.10.10
vpn-tunnel-protocol svc
default-domain value press-s.ru
address-pools value SSLClientPool
tunnel-group SSLClientProfile type remote-access
tunnel-group SSLClientProfile general-attributes
default-group-policy SSLCLientPolicy
tunnel-group SSLClientProfile webvpn-attributes
group-alias SSLVPNClient enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/odd ... DCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:13af6bc5c354501413569dbc04217b32
: end


06 апр 2011, 20:30

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 275
Статью не читал но Nat для ssl VPN не нужен. Если не планируете выпускать клиентов в интернет через эту асу конечно. Смотрите что пишет аса при коннекте, встал ли маршрут у клиента если есть другое сетевое оборудование не забудьте прописать маршруты для VPN сети


07 апр 2011, 07:12

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Не согласен. Для anyconnect (это полнотуннелированый доступ) нужен NAT 0 (в терминологии 8.2)
Т.е. надо описать, что прохождении обратного трафика из ЛАН к клиентам он не транслируется (транслируется сам в себя)


07 апр 2011, 10:58
Не согласен. Для anyconnect (это полнотуннелированый доступ) нужен NAT 0 (в терминологии 8.2)
Т.е. надо описать, что прохождении обратного трафика из ЛАН к клиентам он не транслируется (транслируется сам в себя)

Fedia, а не поможете с этим?
внутренняя сеть - 172.28.10.0/255.255.255.0
сеть для клиентов VPN - 172.28.11.0/255.255.255.0
надо внешним клиентам предоставлять доступ во внутренюю сеть и при этом их обращения в интернет не гнать через Cisco (но это уже меньшее зло)


07 апр 2011, 12:19
04-07-2011 13:28:19 Local4.Error 172.28.10.1 Apr 07 2011 13:11:04: %ASA-3-305006: regular translation creation failed for icmp src inside:172.28.10.12 dst outside:172.28.11.100 (type 0, code 0)
04-07-2011 13:28:17 Local4.Info 172.28.10.1 Apr 07 2011 13:11:02: %ASA-6-110002: Failed to locate egress interface for UDP from outside:172.28.11.100/61356 to 239.255.255.250/1900


07 апр 2011, 12:29
NAT точно нужен, причем в строке
nat (inside,any) source static sslvpn-LocalNet sslvpn-LocalNet destination static sslvpn-RemoteNet sslvpn-RemoteNet
он задан корректно для webvpn..
С остальными NAT трансляциями - нужно ещё разобраться... =)
---
Для того чтобы 'все не гнать через циску' - настраиваем сплит-туннелинг
username mbelyavtsev attributes
vpn-tunnel-protocol svc
...
access-list split-tunnel standard permit 172.28.10.0 255.255.255.0
group-policy SSLCLientPolicy attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel
...
(пускаем в туннель лишь запросы в сеть 172.28.10.0/24)


07 апр 2011, 13:02
сделал, попинговал 172.28.10.12
пакеты не идут, в логах
04-07-2011 14:24:38 Local4.Info 172.28.10.1 Apr 07 2011 14:07:22: %ASA-6-302021: Teardown ICMP connection for faddr 172.28.11.100/1 gaddr 172.28.10.12/0 laddr 172.28.10.12/0 (mbelyavtsev)
04-07-2011 14:24:36 Local4.Error 172.28.10.1 Apr 07 2011 14:07:20: %ASA-3-305006: regular translation creation failed for icmp src inside:172.28.10.12 dst outside:172.28.11.100 (type 0, code 0)
04-07-2011 14:24:36 Local4.Info 172.28.10.1 Apr 07 2011 14:07:20: %ASA-6-302020: Built inbound ICMP connection for faddr 172.28.11.100/1 gaddr 172.28.10.12/0 laddr 172.28.10.12/0 (mbelyavtsev)
04-07-2011 14:24:33 Local4.Info 172.28.10.1 Apr 07 2011 14:07:18: %ASA-6-302021: Teardown ICMP connection for faddr 172.28.11.100/1 gaddr 172.28.10.12/0 laddr 172.28.10.12/0 (mbelyavtsev)
04-07-2011 14:24:31 Local4.Error 172.28.10.1 Apr 07 2011 14:07:16: %ASA-3-305006: regular translation creation failed for icmp src inside:172.28.10.12 dst outside:172.28.11.100 (type 0, code 0)
04-07-2011 14:24:31 Local4.Info 172.28.10.1 Apr 07 2011 14:07:16: %ASA-6-302020: Built inbound ICMP connection for faddr 172.28.11.100/1 gaddr 172.28.10.12/0 laddr 172.28.10.12/0 (mbelyavtsev)


07 апр 2011, 13:26
Оказывается все заработало кроме ICMP
сейчас буду его отдельно разрешать
всем спасибо!


07 апр 2011, 14:18

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
это просто
policy-map global_policy
class inspection_default
inspect icmp


07 апр 2011, 15:35


07 апр 2011, 17:44

Зарегистрирован: 04 июн 2009, 23:52
Сообщения: 275
Не согласен. Для anyconnect (это полнотуннелированый доступ) нужен NAT 0 (в терминологии 8.2)
Т.е. надо описать, что прохождении обратного трафика из ЛАН к клиентам он не транслируется (транслируется сам в себя)

Рискую конечно быть публично осмеянным , но у меня на ASA нет никаких правил касательно NAT вообще. Чисто anyconnect и все. NAT не настраивался, в конфиге никаких упоминаний нет. Как тогда это работает? Клиенты подключаются, получают IP из локальной сети и ходят дальше по чистой маршрутизации.


08 апр 2011, 10:57

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Именно потому, что НАТа нет вообще.
Предположите, что в большинстве АСАшных топологий, она делает-таки НАТ. И вот тогжа надо проверить, что нужный трафик исключен.
Если бы у коллеги не было проблемы он бы не писал сюда, кмк.


11 апр 2011, 07:59
Страница 1 из 1
 [ Сообщений: 12 ]

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 14


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB