Как настроить vpn на роутере cisco

Время на прочтение
4 мин

Количество просмотров 57K

Приветствую, коллеги, хотелось бы описать шаги настройки SSL VPN для Cisco, с описанием некоторых интересных нюансов, встречаемых на практике.

Для реализации схемы, показанной ниже, будем использовать следующее реальное физическое оборудование, также прошу заметить что названия интерфейсов условны и в реализации не применяются (реализовать ssl vpn в unl-eve не удалось, так как ни iol ни vios команды для конфигурирования webvpn не поддерживают):

Cisco 881 (C880DATA-UNIVERSALK9-M 15.2(4)M4)
Windows 7 x64 + AnyConnect 4.4

Схема подключения:

Для начала, что такое SSL VPN (или WEBVPN) от Cisco. Это своего рода наследник easy vpn или ipsec vpn, который позволяет по протоколу ssl (443 порт) удаленно подключиться к вашей корпоративной или домашней сети. Кроме простоты настройки и относительно «легкого» конфига, самым большим доводом за использование ssl является то, что он использует практически повсеместно «открытый» 443 порт для подключения, т.е. если бы вы, например, использовали ipsec, то необходимо было бы на межсетевом экране или же на граничном роутере открывать isakmp (500) порты, наверняка разрешить nat-t (4500), и еще вдобавок разрешить трафик esp, тогда как в случае с ssl подключение проходит по 443 порту, который в большинстве своем разрешен для хостов. Кроме этого не надо на стороне клиента производить каких либо настроек, удаленному пользователю достаточно знать всего лишь внешний ip или dns имя роутера, а также логин и пароль для входа (при использовании easyvpn помимо вышеперечисленного нужен pre-share ключ, а также наименование client configuration group).

Настройка:

1. Для начала необходимо активировать лицензию на роутере, в нашем случае используется cisco 881 c ios 15.2(4), для ознакомительной активации на 60 дней вводим след. команду в privilege режиме:

license modify priority SSL_VPN high

После чего соглашаемся с лицензионным соглашением.

2. Далее копируем дистрибутив any connect на роутер любым удобным способом(копирование лучше производить в заранее созданную директорию webvpn, так как если просто скопировать в корень flash, то при установке создастся копия файла установки в той же директории, соответственно займет больше места на flash) и устанавливаем его:

mkdir flash:/webvpn
copy tftp: flash:/webvpn/
crypto vpn anyconnect flash:/webvpn/anyconnect-win-4.4.00243-k9.pkg

3. Включаем aaa (необходим, чтобы указать authentication list на нашем Web шлюзе (webvpn gateway)), заводим локальных пользователей (логин и пароль, которые здесь указываем необходимы для подключения к порталу из интернета, по типу внешнийадресроутера) и активируем https сервер:

aaa new-model
aaa authentication login SSL_USERS local
username admin secret ***************
ip http secure-server

4. Генерируем RSA ключи, создаем trustpoint и затем генерируем самоподписанный сертификат:

crypto key generate rsa label SSLKEY modulus 1024
crypto pki trustpoint SALAM_TRUSTPOINT
 enrollment selfsigned
 serial-number
 subject-name CN=firewallcx-certificate
 revocation-check crl
 rsakeypair SSLKEY
crypto pki enroll SALAM_TRUSTPOINT

5. Настраиваем пул адресов, который будет выдаваться клиентам и создаем WebVPN Gateway, для команды ip interface вместо интерфейса можно указать непосредственно ip адрес командой ip address **** port 443:

ip local pool WEBVPN_POOL 10.0.0.11 10.0.0.15
webvpn gateway WEBVPN_GW
 ip interface Dialer1 port 443
 ssl trustpoint SALAM_TRUSTPOINT
 inservice

6. Далее создаем и привязываем к нашему gateway так называемый webvpn context, в котором указаваем ранее созданный auth list, максимальное кол-во подключаемых пользователей, а также приветствие отображаемое при входе на портал через браузер(команда inservice в этом и предыдущем шаге активирует webvpn gateway и context):

webvpn context WEBVPN_CON
 title "Assalyamu alyaikum"
 login-message "Salyam"
 aaa authentication list SSL_USERS
 gateway WEBVPN_GW
 max-users 5
inservice

7. Там же в конфигурации webvpn context создаем policy group, в которой задаем наш пул адресов, указываем какой трафик от клиентов будет заворачиваться в туннель (в нашем случае, когда destination у клиентов будут сети 192.168.1.0 /24 или 172.16.1.0/24 в таблице маршрутизации на клиентах появятся соответствующие записи только для этих двух сетей, указывающие на то, что этот трафик будет уходить в шифрованный туннель), команда functions svc-enabled указывает, что удаленный пользователь может подключаться с помощью самостоятельно установленного клиента anyconnect, т.е. не надо заходить через браузер:

policy group WEBVPN_POLICY
   functions svc-enabled
   svc address-pool "WEBVPN_POOL" netmask 255.255.255.0
   svc split include 192.168.1.0 255.255.255.0
   svc split include 172.16.1.0 255.255.255.0
default-group-policy WEBVPN_POLICY

8. Если у нас на внешнем интерфейсе висит ACL, то необходимо дописать правило:

permit tcp any host «внешний адрес роутера» eq 443

В итоге запускаем на нашем клиенте браузер, вводим внешний адрес нашего роутера 212.212.0.1 и видим приглашение:

Осталось ввести логин пароль и установить соединение, на этом бы все, но есть один нюанс.
Если обратиться к нашей схеме, то сеть 192.168.1.0/24, та самая к которой мы подключаемся, находится за NATом, настройка NAT для роутера R1 следующая:

ip nat inside source list NAT_POOL interface Dialer1 overload

где NAT_POOL:

ip access-list extended NAT_POOL
 permit ip 192.168.1.0 0.0.0.255 any

что произойдет если мы будем пинговать сеть 192.168.1.0 с подключившегося по vpn клиента(клиент получил адрес 10.0.0.12)? Пакеты от него зашифрованными будут уходить на R1, тот в свою очередь создает ответ с destination 10.0.0.12 и смотрит в таблицу маршрутизации:

R1#sh ip route 10.0.0.12
Routing entry for 10.0.0.12/32
  Known via "static", distance 0, metric 0
  Routing Descriptor Blocks:
  * directly connected, via Virtual-Access3
      Route metric is 0, traffic share count is 1
R1#sh interfaces virtual-access 3
Virtual-Access3 is up, line protocol is up
  Hardware is Virtual Access interface
  Description: ***Internally created by SSLVPN context WEBVPN_CON***
  Interface is unnumbered. Using address of Dialer1 (212.212.0.1)
  MTU 1406 bytes, BW 100000 Kbit/sec, DLY 100000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation SSL
  SSL vaccess

Т.е. пакеты уходят с интерфейса dialer 1, а согласно вот этой замечательной таблице порядка операций над трафиком

после routing у нас идет NAT, а наше правило nat говорит нам, что наш source заменится на публичный адрес и в таком виде уйдет на клиента, который понятия не имеет о нашем внешнем адресе, следовательно пинг не пройдет и ничего работать не будет, исправляем добавлением следующей команды в acl NAT_POOL:

ip access-list extended NAT_POOL
 1 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255

И, альхьамдулиЛлях1, все работает!

Read the article SITE TO SITE VPN BETWEEN CISCO ROUTERS in English

Одна из самых распространенных задач, для которых используются маршрутизаторы Cisco – построение VPN тоннелей между удаленными друг от друга площадками. Рассмотрим пример, где требуется связать сети двух офисов фирмы: главного и дополнительного.

В нашем распоряжении будут:

Маршрутизатор Cisco 2800 в главном офисе (R-MAIN)
Сеть для пользователей 192.168.10.0 /24
Внешний статический адрес 1.1.1.2 /30
Шлюз провайдера 1.1.1.1 /30

Маршрутизатор Cisco 881 в дополнительном офисе (R-BRANCH)
Сеть для пользователей 192.168.20.0 /24
Внешний статический адрес 2.2.2.2 /30
Шлюз провайдера 2.2.2.1 /30

Оба маршрутизатора имеют доступ в Интернет и минимальные настройки наподобие тех, что описаны в этой статье. Пользователи обоих офисов могут выходить в Интернет, имеют доступ к рабочим станциям и серверам в своих сетях, но не имеют доступа к сети другого офиса.
Есть два простых способа организовать защищенное соединение межу офисами:

Способ первый. Тоннельные интерфейсы.

Подходит в тех случаях, когда тоннель создается между двумя маршрутизаторами Cisco. Прост и удобен в настройке и использовании. Важно напомнить, что внешние адреса постоянны и статически выдаются провайдером связи в обоих способах.
Создадим виртуальный тоннель, который будет использоваться для прохождения трафика между площадками.

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
crypto ipsec df-bit clear
crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Ключ шифрования должен быть одинаковым на обоих маршрутизаторах. Рекомендую сделать его не менее 50 символов так, чтобы в него  входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра 0 стоит не просто так, а обозначает, что ключ вводится в незашифрованном виде, и ее трогать не следует. При просмотре конфигурации 0 может (но необязательно) измениться на 7 и ключ будет записан в зашифрованном виде. Например
R-MAIN#sh run
/...вырезано.../
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
/...вырезано.../
Это не значит, что он изменился, а значит, что он отображается(!) в зашифрованном виде.
Обратите внимание, что в каждом офисе мы указываем внешний адрес соседней площадки.

Шаг 3. Создание тоннельных интерфейсов

На каждом маршрутизаторе создаем виртуальный тоннельный интерфейс.
В главном офисе:
R-MAIN(config)#
interface Tunnel1
description Link to R-BRANCH
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet 0/0
tunnel destination 2.2.2.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.1 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 0/0 — собственный внешний интерфейс маршрутизатора
tunnel destination 2.2.2.2 —  внешний адрес маршрутизатора дополнительного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Важно!
Если после ввода последних 2ух строк у вас появились сообщения об ошибках и маршрутизатор не  принимает эти команды, то удалите профиль шифрования командой
no crypto ipsec profile VTI_PROF
На Вашем маршрутизаторе с текущей версией операционной системы IOS не получится воспользоваться этим способом. Переходите к способу 2.

В дополнительном офисе
R-BRANCH(config)#
interface Tunnel1
description Link to R-MAIN
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet 4
tunnel destination 1.1.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.2 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 4  — собственный внешний интерфейс маршрутизатора
tunnel destination 1.1.1.2 —  внешний адрес маршрутизатора главного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Если все 3 шага выполнены корректно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой.
R-MAIN# sh inter tun 1
Tunnel1 is up, line protocol is up
/...вырезано.../

Шаг 4. Проверка работы VPN тоннеля

Проверяем работоспособность тоннеля запустив ping до соседнего адреса тоннеля. Например из головного офиса:
R-MAIN#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/17/20 ms
Дополнительно убеждаемся, что пакеты проходят именно через защищенный тоннель командой sh cry ips sa peer 2.2.2.2
R-MAIN#sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
    #pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
/...вырезано.../
Последние две строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил и расшифровал. Эти счетчики будут срабатывать каждый раз, когда какой-либо пакет будет проходить по тоннелю между нашими маршрутизаторами.

Шаг 5. Маршрутизация

Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации на каждом устройстве.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 10.0.0.2
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 10.0.0.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Способ второй. Универсальный

Подходит, когда требуется сделать тоннель между маршрутизатором и Cisco ASA или любым другим устройством, поддерживающим ipsec vpn, не обязательно Cisco.  Настройки параметров шифрования, ключей, маршрутизации на другом стороне будут одинаковы по сути, но различны по командам/отображению. Для простоты и лучшего понимания рассмотрим пример с теми же двумя маршрутизаторами, которые были рассмотрены выше.

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
crypto ipsec df-bit clear
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Задаем ключ шифрования. Он будет одинаковым для обоих участников защищенного тоннеля. Рекомендую сделать его не менее 50 символов так, чтобы в него  входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра 0 стоит не просто так, обозначает, что ключ вводится в первозданном виде, и ее трогать не следует. При просмотре конфигурации 0 может измениться (но необязательно) на 7 и ключ будет записан в ином виде. Например
R-MAIN#sh run
/...вырезано.../
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
/...вырезано.../
Это не значит, что он изменился, а значит, что он отображается в зашифрованном виде.
Обратите внимание, что в каждом офисе указывается внешний адрес соседней площадки.

Шаг 3. Объекты шифрования

Указываем трафик, который подлежит шифрованию. В нашем случае – это трафик между сетью 192.168.10.0 /24 головного офиса и сетью 192.168.20.0 /24 дополнительного офиса. Для этого создаем соответствующий список доступа на каждой площадке:
В головном офисе
R-MAIN(config)#
Ip access-list extended ACL_CRYPTO_DO
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
В дополнительном офисе

R-BRANCH(config)#
Ip access-list extended ACL_CRYPTO_MAIN
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Шаг 4. Политика шифрования

На каждой площадке создаем политику шифрования (crypto map), в которой указываем все правила и параметры шифрования
В головном офисе
R-MAIN(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_DO
В дополнительном офисе:
R-BRANCH(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_MAIN
После этого crypto map должны быть привязана к внешнему интерфейсу.
В головном офисе
R-MAIN(config)#
Interface FastEthernet0/1
crypto map CRYPTO_MAP
В дополнительном офисе:
R-BRANCH(config)#
Interface Fa 4
crypto map CRYPTO_MAP

Шаг 5. Маршрутизация

Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации для каждого устройства. Удаленные сети должны быть доступны через шлюзы провайдеров сети Интернет.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 1.1.1.1
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 2.2.2.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Шаг 6. Проверка работы тоннеля

Проверяем работоспособность тоннеля, запустив ping с одного устройства внутри локальной сети до одного из адресов соседней площадки. Например, из головного офиса до какого-то компьютера из сети дополнительного офиса:
R-MAIN#ping 192.168.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/17/20 ms
После этого убеждаемся, что пакеты проходят именно через тоннель
R-MAIN#sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
    #pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
/...вырезано.../
Указанные строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил. Эти счетчики будут срабатывать каждый раз, когда какой-либо трафик будет проходить между нашими маршрутизаторами.
Этот способ чаще требует вмешательства со стороны администратора для внесения изменений в конфигурации устройств и требует больше внимательности при настройке. Степень защищенности трафика одинакова в обоих приведенных способах.

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-MAIN#write
Building configuration...
[OK]

Перейти к оглавлению

Настройка основных функций роутера «881-й» модели

Предварительные действия перед настройкой

Настраивать роутер мы будем через консоль. Любой Cisco router – имеет набор аппаратных портов (они расположены на задней панели):

1. Порты Ethernet (цвет – желтый). Они разделены на порты для внутренней сети (eth0.. eth3 в рассматриваемой модели), и, как правило, один порт для Интернет-соединения.
2. Один порт Console/Terminal (цвет – голубой). Подсоедините к нему консольный кабель, подключите терминал (компьютер с COM-портом и программой HyperTerminal).

Включать питание роутера можно, если все аппаратные подключения на 100% выполнены. Перед настройкой роутера, запустите терминальную программу. В ней при создании подключения необходимо выбрать номер используемого COM-порта (установите следующие значения):

Скорость можно выбрать «9600» или меньше, 8-битный режим без проверки четности (стоповый бит – 1). Собственно, если настроено правильно, то роутер при загрузке – должен выдавать в терминал сообщения:

Первый этап настройки

Запустив настроенную программу терминала и включив питание роутера, необходимо дождаться сообщения «Press RETURN…». Нажмите «Enter». Роутер потребует логин с паролем (используйте пару «cisco»). В серии 8XX, дополнительно предусмотрен «мастер настройки» (от его услуг – откажемся, нажав «N», затем «Enter»).

После приведенных здесь действий, в терминале можно выполнить команду «?» (вопрос), и увидеть ее результат:

Если после слова «Router» сейчас – значок «больше» (а не «решетка»), выполните команду «enable».

Что нужно сделать в первую очередь? Даже если подошли логин и пароль «cisco», все равно, лучше сбросить настройки в заводские значения. Команда «erase startup-config» поможет в этом (останется только перезагрузить роутер).

Зайдя в консоль еще раз, перейдите в режим с повышенными привилегиями («enable»), а затем – в режим настройки («conf t»). Выход из последнего режима – выполняется командой «exit».

Находясь в режиме настройки, создайте пользователя с максимальными правами:

username Логин privilege 15 secret Новый Пароль

Конечно, вместо слов «Логин» и «Новый Пароль» подставляют необходимые значения. Но это – еще не все. Сделайте выход из режима настройки («exit»), и подайте команду «wr mem». Последняя команда – важная, ее нужно запомнить. Она «сохраняет» выполненные настройки.

При следующем входе в терминал, можно будет использовать новые значения пароля/логина.

Настроим локальную сеть

Что мы должны сделать здесь? Присвоить нашему роутеру локальный адрес IP, задать диапазон адресов для DHCP-сервера. Ну, и включить сервер. Все команды – будут выполняться в режиме настройки (выполните «enable», затем «conf t»). В завершение, не забудьте сохранить изменения.

Настройка роутера Cisco 8XX-серии – подразумевает следующее. «Порт 4» может быть подключен к разъему провайдера. Все остальные порты – доступны, как один виртуальный «сетевой интерфейс» (он имеет название «Vlan1»).

Из «режима настройки» перейдем в режим, где конфигурируется только интерфейс Vlan1:

Далее, присвоим этому «порту» адрес:

ip address 192.168.N.1 ///подставьте любое число вместо «N»

Настроим сервер DHCP:

ip dhcp excluded-address 192.168.N.16 192.168.N.100 ///адреса будут 101-255

ip dhcp pool LAN1 ///пул адресов, мы назвали его «LAN1», далее – его и настраиваем:

network 192.168.N.0/16 ///та подсеть, из которой выдаются IP;

default-router 192.168.N.1 ///задали шлюз по умолчанию

dns-server Адрес ///вместо «Адрес» – указать реальный IP DNS, либо (внимание!) локальный адрес роутера, другие варианты – исключены.

Заметим, что DHCP-сервер по умолчанию включен. Команды включения и выключения сервера DHCP: «service dhcp» / «no service dhcp». Когда основные настройки – выполнены, можно включить сборку фрагментных пакетов (команда «ip virtual-reassembly»).

Дополнительно, отметим: все изменения, выполняемые в режиме «conf t», вступают в силу немедленно.

Настройка DNS-сервиса

Все команды, приведенные здесь, выполняются в режиме настройки («conf-t»). Две первые из них – можно считать выполненными (что верно для роутеров «8XX»):

ip domain-lookup ///включить в сети сервис DNS

Зачем это нужно? Если сервис активен, при настройке локальной сети в качестве сервера DNS – можно указывать роутер (в параметре команды «dns-server»).

ip dns server ///включить «встроенный» кэширующий сервер DNS (отключить можно командой с префиксом «no»)

Далее, надо добавить «внешние» DNS. Например, так:

ip name-server Адрес ///на месте «Адрес», укажите реальный IP DNS

ip name-server Адрес1 Адрес2 … ///первый параметр – будет адресом «первичного» DNS, и так далее.

Скажем, что нужно на самом деле. Если при конфигурировании Vlan1 выполнить «dns-server 192.168.N.1» (то есть, указать адрес роутера), то дополнительно, останется выполнить «ip name-server» с правильными параметрами.

Настройка соединения (вариант «DHCP»)

В предыдущей главе мы рассмотрели, как поступить с адресами DNS-серверов. Чтобы настроить соединение с провайдером, работающим по DHCP-протоколу, достаточно указать, что «порт 4» получает IP автоматически:

Interface FastEthernet4 ///выполните команду в режиме «настройки» (конфигурируется Eth4)

ip address dhcp ///теперь, порт «4» будет получать IP от DHCP провайдера

Все. «Под DHCP» – соединение должно работать. Как настроить роутер Cisco в качестве VPN-клиента (либо, для соединения PPPoE), мы здесь не рассматриваем. Приведем еще несколько полезных команд, выполняемых при настройке соединения:

ip virtual-reassembly ///сборка фрагментных IP-пакетов

speed auto ///надеемся, понятно (10/100 Мбит/с)

duplex auto ///тоже, понятно

Не забывайте сохранять выполненные изменения. Успешной настройки!

Дополнительные возможности роутера

Возможности встроенного фаервола: URL-фильтрация

На роутер «881» по умолчанию установлена ОС IOS, наделенная встроенным фаерволом. По-другому, его называют «Cisco IOS Firewall».

Мы будем настраивать фильтрацию по URL. Точнее, запретим исходящий трафик на сайт, названный в нашем примере cite.ru. Доступ будет полностью ограничен не только на главную страницу (http://cite.ru), но и любую другую, URL которой заканчивается, как «.cite.ru».

Находясь в режиме «настройки» («conf t») – пишем:

ip inspect name cite urlfilter

ip urlfilter allow-mode on

ip urlfilter cache 0 ///если так не отключить кэш, cisco 881 ethernet sec router запомнит IP данного сайта и начнет «фильтровать» по IP (не по URL)

ip urlfilter exclusive-domain deny .cite.ru ///вот мы и запретили доступ к «*.cite.ru»

Если хотите, можно включить «лог» всех запросов к данному сайту (не обязательно):

ip urlfilter audit-trail

Остался ровно один шаг. В настройке интерфейса, организующего соединение (Eth4), надо кое-что добавить:

Interface FastEthernet4 ///конфигурируется Eth4

ip inspect cite out ///проверка исходящего с Eth4 трафика

Рассмотрим схему подключения офиса к сети Интернет с помощью маршрутизатора Cisco. Для примера возьмем модель Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) будут аналогичными Различия могут быть в настройке интерфейсов, вернее в их названиях и нумерации.

Шаг 0. Очистка конфигурации

Первое, с чего стоит начать настройку нового маршрутизатора – полностью очистить стартовую конфигурацию устройства. ( Выполнять только на новом или тестовом оборудовании! ) Для этого нужно подключиться с помощью специального кабеля к консольному порту маршрутизатора, зайти в командную строку и выполнить следующее:

Войти в привилегированный режим(#), возможно потребуется ввести логин/пароль.
router> enable
Удалить стартовую конфигурацию
router# write erase
/подтверждение/
Перезагрузить маршрутизатор
router# reload
/подтверждение/
После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no
В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.

Шаг 1. Имя устройства

Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства»
router# conf t
router (config)# hostname R-DELTACONFIG
R-DELTACONFIG (config)#

Шаг 2. Настройка интерфейсов

Необходимо настроить 2 интерфейса: внешний и внутренний.
Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые предоставил Интернет провайдер.
Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24

Предположим, что оператор связи предоставил нам следующие адреса:

• Сеть 200.150.100.0
• Маска подсети 255.255.255.252 или /30
• Шлюз по умолчанию 200.150.100.1

Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut
R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252
no shutdown
После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч корда и далее проверяем его доступность командой ping.

Сначала собственный интерфейс
R-DELTACONFIG# ping 200.150.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms
Затем соседний адрес — шлюз провайдера
R-DELTACONFIG# ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:
Success rate is 100 percent (5/5) , round-trip min/avg/max = 2/4/10 ms
Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.

В локальной сети будет использоваться следующая адресация

• Сеть 192.168.0.0
• Маска подсети 255.255.255.0
• Внутренний адрес маршрутизатора, который выполняет роль шлюза в Интернет для всех хостов в сети, 192.168.0.1
• Диапазон внутренних адресов сети (пользователи, принтеры, серверы и.т.д.) советую начинать с адреса 192.168.0.5
• Максимально возможный доступный для использования адрес в этой сети будет 192.168.0.254
• Адреса с 192.168.0.2 до 192.168.0.4 оставим про запас для непредвиденных технологических нужд

Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).
R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
Для наглядности:

ip address => interface Vlan X => interface Fastethernet Y
Ip адрес присваивается виртуальному интерфейсу Vlan X, а он привязывается к физическому интерфейсу Fastethernet Y.

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Шаг 3 Настройка удаленного доступа к маршрутизатору

Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet(данные передаются в открытом виде) или SSH(защищенное соединение).
Рассмотрим настройку безопасного подключения.
Включаем протокол SSH 2 версии и задаем произвольное имя домена
R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru
Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Задаем имя пользователя с правами администратора и его пароль (*****)
username admin privilege 15 secret 0 *****
Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)
line vty 0 4
login local
Задаем пароль на привилегированный режим
enable secret 0 *****
После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были заданы. Подробнее про доступ на устройство по протоколу SSH написано в этой статье.

Шаг 4. Шлюз по умолчанию

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).
R-DELTACONFIG (config)#
ip route 0.0.0.0 0.0.0.0 200.150.100.1
После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме(DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3)
R-DELTACONFIG#ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/5/10 ms

Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только(!) будучи запущенным из консоли управления маршрутизатором. Рабочие станции локальной сети все еще не имеют доступа в Интернет.

Шаг 5 Настройка трансляции адресов (NAT)

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.

Важно!
В указанном примере меняется собственный адрес источника.

Важно!
Не стоит оставлять полный доступ в Интернет со всех адресов локальной сети. Советую после проверки работоспособности соединения для безопасности ограничить доступ в Интернет и разрешить его только с конкретных адресов — например с прокси сервера и рабочих станций администратора и/или директора.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG# write
Building configuration.
[OK]

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности – мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа – межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

• Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
• Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) – сетевые системы защиты данных, в том числе на уровне конечных устройств:

• VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
• Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
• WAF: Barracuda WAF;
• DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

• Системы резервного копирования – Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
• Системы хранения данных с функциями зеркалирования, резервирования – NetApp (25xx, 85xx, 9xxx);
• Реализация любых других решений: AlienVault (SIEM).

Маршрутизаторы Cisco 881 отличаются расширенной поддержкой беспроводных стандартов сети, что позволит использовать их для малых и средних офисов.

Повышенные функции безопасности за счет присутствия различных протоколов также гарантируют надежную работу при эксплуатации данной серии устройств. Это может происходить как при помощи VPN (IPSec, SSL, DMVPN), так и при помощи протокола SRST.

Дополнительные возможности маршрутизатора способствуют снижению операционных издержек и удовлетворению различных потребностей организации.

Настройка через Web-интерфейс

Первым делом для обеспечения комфортной работы предлагается настроить удаленный доступ роутером через Web-интерфейс.

В режиме конфигурирования (conf t) создаем access-list 1, который в дальнейшем будет использоваться для доступа с определенного ip-адреса.

Router(config)# access-list 1 permit 172.16.1.1

Создаем пользователя user с паролем PassWord.

Router(config)# username user privilege 15 secret PassWord

Включаем http сервер с локальной аутентификацией.

Router(config)# ip http server
Router(config)# ip http authentication local

Разрешаем доступ с определенного IP-адреса, используя для этого созданный ранее access-list 1.

Router(config)# ip http access-class 1

Для включения https сервера необходимо повторить предыдущие шаги с некоторыми коррективами.

Определяем доменное имя – cisco.com

mycisco(config)# ip domain-name cisco.com

Создание access-листа и пользователя с расширенными правами – идентично предыдущим настройкам.

Выключаем http сервер и включаем https сервер с локальной аутентификацией.

mycisco(config)# no ip http server
mycisco(config)# ip http secure-server
mycisco(config)# ip http authentication local

Разрешаем доступ с определенного ip адреса, используя для этого созданный ранее access-list 1.

mycisco(config)# ip http access-class 1

Теперь можно управлять устройством через веб-интерфейс, что довольно-таки удобно. Такая возможность, реализованная в Cisco 881, делает его более современным для любого использования. К тому же, веб-интерфейс упрощает настройку оборудования, нежели управление через консоль.

Настройка Интернет

Ранее была проведена первоначальная настройка оборудования в целях комфортного администрирования. Далее необходимо настроить оборудование по назначению – он непременно должен предоставлять доступ пользователям в сеть интернет.
Первым делом необходимо настроить интерфейсы. Роутер, грубо говоря, имеет всего 2 интерфейса. Один из них общается с внутренней сетью, а второй «видит» внешнюю. Посредством внешнего интерфейса (порта) и будет происходит соединение с сетью Интернет. IP-адрес и маска сети предоставляются интернет-провайдером сети. Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24.

Настроим внешний интерфейс: зададим IP-адрес и сетевую маску.

R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252 // Адрес сети с маской
no shutdown // Включение интерфейса

Далее соединяем этот интерфейс маршрутизатора с портом оборудования провайдера напрямую. Пингуем. Убеждаемся, что все работает, и идем дальше.

Настройка VLAN

Прежде чем приступить к настройке внутреннего интерфейса, стоит рассмотреть такое понятие как VLAN – виртуальная локальная сеть. VLAN позволяет объединить несколько устройств в одной сети с набором одних и тех же требований. Это упрощает работу с большим количеством устройств в одной локальной сети.

Итак, первым делом следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем IP-адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).

R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0 // Адрес маршрутизатора
no shutdown

Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan

interface Fa 0
switchport access vlan 1
no shutdown

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Настройка SSH

Ранее был рассмотрен способ управления роутером через веб-интерфейс. Но куда более знакомым способом является удаленный доступ через консоль. И как правило, доступ к консоли осуществляется либо через устаревший протокол Telnet, либо через более современный и защищенный SSH.

Протокол SSH передает ключи в зашифрованном виде. То есть, даже если злоумышленник каким-либо образом их получит, воспользоваться он ими не сможет. А поскольку роутер может обслуживать офис вполне себе средних размеров с конфиденциальными данными, то даже малейший шанс атаки на управление маршрутизатором может быть крайне опасен.

Рассмотрим настройку безопасного подключения.

Включаем протокол SSH 2 версии и задаем произвольное имя домена

R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru

Генерируем ключи rsa, необходимые для подключения. При запросе указываем длину ключа 1024.

crypto key generate rsa
How many bits in the modulus [512]: 1024

Задаем имя пользователя с правами администратора и его пароль (*****)

username admin privilege 15 secret 0 *****

Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)

line vty 0 4
login local

Задаем пароль на привилегированный режим

enable secret 0 *****

Настройка NAT

С виду все необходимые настройки были произведены, и по-хорошему, роутер уже должен выходить в сеть и передавать/получать необходимые данные. Но поскольку сеть Интернет достаточно обширна, а адреса в локальных сетях могут совпадать, роутер должен уметь «транслировать» локальный адрес устройства в публичный.

Для упрощения, можно представить такую ситуацию. У человека есть паспорт в своей стране. Но когда он получает заграничный документ, его ФИО переводят на алфавит того государства, куда собирается человек. Пример достаточно грубый, но в случае с сетью происходит то же самое. Есть локальный адрес устройства. Пользователь посылает запрос на адрес, который находится вне данной сети. Но обратным адресом будет указан локальный адрес устройства, который недоступен из сети Интернет (как и иностранцу будет сложно прочитать российский паспорт). И чтобы понять, какому конкретно устройству предназначаются данные, необходимо настроить NAT – механизм преобразования IP-адреса транзитных пакетов.

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний IP-адрес.

Указываем список внутренних адресов, которые будем «переводить» во внешний адрес.

R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255

Указываем внутренний интерфейс для процедуры трансляции

Interface Vlan 1
ip nat inside

Указываем внешний интерфейс для процедуры трансляции

Создаем правило трансляции (NAT)

ip nat inside source list ACL_NAT interface fa4

В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес маршрутизатора (192.168.0.1).

Настройка DHCP

Есть еще одна вещь, которая упрощает работу с большим количеством устройств в одной сети. Поскольку у каждого устройства должен быть свой IP-адрес, его необходимо прописывать вручную. Если в сети более ста устройств, то нужно обратиться к каждому и прописать необходимые конфигурации. Часть задач в дальнейшем можно передать VLAN-ам, но они предназначены для устройств, которые уже обладают своим адресом.

Поэтому для экономии времени предлагается настроить DHCP – протокол динамической настройки узла. То есть, с ним роутер будет динамически распределять адреса в указанном пользователем диапазоне. Администратору в данном случае необходимо лишь выбрать диапазон и маску под все используемые устройства. А устройство (DHCP-клиент) будет общаться уже с сервером, который выдаст все необходимые конфигурации в автоматическом режиме.

Настройка достаточно проста:

ROUTER#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ROUTER(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 // Исключение адреса, который выдается роутеру (шлюзу)

Также, если в сети есть сервера, к которым часто обращаются, их адрес лучше определить статически (таких адресов вряд ли будет много).

ROUTER(config)#ip dhcp pool MY-POOL
ROUTER(dhcp-config)#network 192.168.1.0 255.255.255.0
ROUTER(dhcp-config)#default-router 192.168.1.1
ROUTER(dhcp-config)#domain-name my-domain.com
ROUTER(dhcp-config)#dns-server 192.168.1.5
ROUTER(dhcp-config)#exit

И настройка самого шлюза:

ROUTER(config)#interface fa0/0
ROUTER(config-if)#ip address 192.168.1.1 255.255.255.0
ROUTER(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
ROUTER(config-if)#exit
ROUTER(config)#exit
ROUTER#
%SYS-5-CONFIG_I: Configured from console by console

Теперь все «локальные» настройки более-менее учтены. Благодаря ним сетевой администратор может удаленно подключаться к маршрутизатору, автоматически раздавать IP-адреса новым устройствам, выходить в Интернет, объединять устройства в отделы и т.п. Но поскольку Cisco 881 обладает достаточно обширным функционалом, есть еще несколько интересных вещей, которые обязательно пригодятся при работе в офисе.

Настройка PPPoE

Есть небольшая поправка. Благодаря NAT роутер лишь транслирует IP-адреса. Для полноценного выхода в Интернет через провайдера необходимо также настроить PPPoE – протокол передачи данных.

В роли PPPoE-клиента может выступать и маршрутизатор Cisco, этапы настройки следующие:

1. Создать и настроить интерфейс Dialer:

ROUTER(config)#interface Dialer1
ROUTER(config-if)# ip address negotiated
ROUTER(config-if)# ip mtu 1492
ROUTER(config-if)# ip nat outside
ROUTER(config-if)# encapsulation ppp
ROUTER(config-if)# dialer pool 1
ROUTER(config-if)# ppp authentication chap callin
ROUTER(config-if)#ppp chap hostname pppoe_user1
ROUTER(config-if)#ppp chap password 0 cisco
ROUTER(config-if)#exit
ROUTER(config)#

2. На интерфейсе, который подключен к сети провайдера, задать pppoe-client, сопоставленный с созданным выше dialer pool ( его мы указали в интерфейсе Dialer1):

ROUTER(config)#interface FastEthernet0/1
ROUTER(config-if)#pppoe-client dial-pool-number 1
ROUTER(config-if)#exit
ROUTER(config)#

3. Задать маршрут по умолчанию через интерфейс Dialer:

ROUTER(config)#ip route 0.0.0.0 0.0.0.0 dialer 1
ROUTER(config)#

Теперь благодаря данной настройке роутер может выходить в сеть Интернет через провайдера. Настроенный ранее NAT этому также поспособствует.

Настройка VPN

VPN – виртуальная приватная сеть. Её наличие предполагает создание защищенного туннеля для передачи данных. Доступ третьих лиц к данной сети ограничен, поэтому это гарантирует безопасное соединение и целостность передаваемых данных.

К примеру, через данный туннель можно настроить надежное удаленное подключение к устройству, что и предлагается рассмотреть далее.

Первым делом необходимо активировать лицензию на роутере. Вводим команду в привилегированном режиме:

license modify priority SSL_VPN high

Далее копируем дистрибутив any connect на роутер любым удобным способом и устанавливаем его:

mkdir flash:/webvpn
copy tftp: flash:/webvpn/
crypto vpn anyconnect flash:/webvpn/anyconnect-win-4.4.00243-k9.pkg

Включаем aaa (авторизация, аутентификация и учет данных), создаем локальных пользователей и активируем https сервер:

aaa new-model
aaa authentication login SSL_USERS local
username admin secret ***************
ip http secure-server

Генерируем RSA ключи с размером 1024, создаем trustpoint и затем генерируем самоподписанный сертификат:

crypto key generate rsa label SSLKEY modulus 1024
crypto pki trustpoint HELLO_TRUSTPOINT
enrollment selfsigned
serial-number
subject-name CN=firewallcx-certificate
revocation-check crl
rsakeypair SSLKEY
crypto pki enroll HELLO_TRUSTPOINT

Настраиваем пул адресов, который будет выдаваться клиентам, и создаем WebVPN Шлюз.

ip local pool WEBVPN_POOL 10.0.0.11 10.0.0.15
webvpn gateway WEBVPN_GW
ip interface Dialer1 port 443 // Команда на использование порта 443
ssl trustpoint HELLO_TRUSTPOINT
inservice

Далее создаем и привязываем к нашему шлюзу так называемый webvpn context.

webvpn context WEBVPN_CON
title «Welcome» // Приветствие при входе через браузер
login-message «Hello» // Приветственное сообщение
aaa authentication list SSL_USERS
gateway WEBVPN_GW
max-users 5 // Максимальное количество подключаемых пользователей
inservice // Активация

Далее необходимо создать группу политик. В ней будет находиться пул адресов, где прописано, какой пользовательский трафик пойдет в туннель.

policy group WEBVPN_POLICY
functions svc-enabled // Данная команда говорит о том, что удаленный клиент может подключаться самостоятельно посредством предустановленного клиента anyconnect
svc address-pool «WEBVPN_POOL» netmask 255.255.255.0
svc split include 192.168.1.0 255.255.255.0
svc split include 172.16.1.0 255.255.255.0
default-group-policy WEBVPN_POLICY

Если у нас на внешнем интерфейсе висит ACL, то необходимо дописать правило:

permit tcp any host «внешний адрес роутера» eq 443

И осталось внести некоторые коррективы для NAT:

ip nat inside source list NAT_POOL interface Dialer1 overload

ip access-list extended NAT_POOL
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended NAT_POOL 1 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255

Настройка Wi-Fi

Ранее не раз было упомянуто о беспроводных возможностях cisco 881. И после того, как была проведена полная настройка доступа из локальной сети в сеть Интернет, а также были решены все вопросы в локалке, настала пора воспользоваться данным преимуществом.

ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
ip dhcp excluded-address 10.10.10.1 // Исключаем адрес маршрутизатора

Команды, относящиеся непосредственно к настройкам беспроводного интерфейса:

interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers aes-ccm
!
ssid telecombook
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
Здесь используется такое понятие как BVI – интерфейс для «общения» беспроводной сети с маршрутизатором.

Теперь настроим параметры беспроводного подключения:

dot11 ssid telecombook
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 telecombook123

Далее привяжем интерфейс Vlan1 к бриджу:

interface Vlan1
no ip address
ip tcp adjust-mss 1452
bridge-group 1
bridge-group 1 spanning-disabled

Затем создадим BVI интерфейс:

bridge irb
interface BVI1
ip address 10.10.10.1 255.255.255.248

Примечание: в сети BVI нельзя использовать IP-адрес, использованный на Vlan 1. Его заранее необходимо удалить при помощи команды

И только потом перенести на BVI. Таким образом, шлюз по умолчанию будет доступен как беспроводным, так и проводным пользователям.

Пример подключения

Представим себе, что у нас есть один роутер Cisco. С помощью маршрутизатора мы должны подключить офис с несколькими компьютерами. Для коннекта всех локальных машин будем использовать коммутатор. Fa 4 и Fa 0 – это внешний и внутренний физический интерфейс. Также у нас есть:

• 277.146.101.1 – это шлюз провайдера.
• 277.146.101.2 – это внешний IP адрес роутера, его выдает провайдер.
• 192.168.1.1– это локальный IP адрес.

Я думаю, схема достаточно понятная и простая.

ШАГ 1: Подключение к маршрутизатору

Для подключения мы будем использовать вот такой вот кабель, который обычно идет в комплекте со всем подобным оборудованием.

С одной стороны консольного кабеля должен быть COM-порт (RS 232). Подключаем один конец в CONSOLE (может иметь надпись CON) порты.

Вы можете столкнуться с проблемой, что у современных компов и ноутов нет подобного входа. Поэтому можно использовать USB переходник.

После подключения скачиваем программку PuTTY – она бесплатная и достаточно удобная. Очень важный момент – в разделе «Connection type» после запуска установите значение «Serial».

И далее нажимаем по кнопке «Open». Если у вас возникли трудности и подключение не происходит, то проверьте в «Диспетчере устройств», какой COM порт используется. Может быть баг, что порт указан не тот. Особенно этот баг проявляется при использовании переходника USB-COM.

Далее вы должны увидеть приветственную надпись в запрос ввода логина и пароля.

ШАГ 2: Reset настроек

Итак, в первую очередь нам нужно полностью очистить старые настройки – они нам ни к чему, все будем делать с нуля (так сказать). Изначально вы увидите вот такую надпись:

router>

Но нам нужно запустить роутер с правами администратора, чтобы вместо стрелочки стояла решетка (#). Для этого вводим команду:

router> enable

Теперь сначала удаляем старый конфиг, а потом ребутаем аппарат:

router# write erase
router# reload

Нужно будет немного подождать. После этого роутер загрузится и выведет сообщение – использовать стандартную конфигурацию? – отвечаем:

no

ШАГ 3: Конфигурация интерфейсов

В первую очередь давайте назовем наше устройство для удобства обращения через команду. Я назвал его: «WIFIGID-ROUTER» – смотрим на картинку. Вообще, если у вас будут возникать какие-то вопросы по командам, то смотрите на схему в начале статьи. Итак, обзываем наш роутер:

router#conf t
router (config)#hostname WIFIGID-ROUTER

После этого вместо «router» вы должны увидеть свое название. Вспомним, что у роутера есть два интерфейса,

Внутренний (связь с локальной сетью) – с адресацией:

192.168.1.0/24

Внешний (связь с глобальным интернетом) – понятное дело, что у нас тут будут статические настройки:

• Сеть провайдера: 277.146.101.0
• Маска: 255.255.255.252 (/30)
• Шлюз: 277.146.101.1

Я придумал все эти значения, просто чтобы показать настройку – вы же подставляйте свои циферки. Маршрутизатор будет выступать шлюзом, и наша задача связать две эти сети и дать клиентам доступ в интернет.

Давайте введем настройки внешнего статического адреса:

WIFIGID-ROUTER #conf t
WIFIGID-ROUTER (config)#
interface Fa 4
ip address 227.146.101.2 255.255.255.252
no shutdown

Для подключения к интернету мы используем четвёртый интерфейс. Выше я задал внешний IP как 227.146.101.2, после этого прописал маску и запустил настройку последней командой. Ах да, не забудьте подключить интернет кабель от провайдера. В качестве проверки пингуем сначала сам роутер:

WIFIGID-ROUTER #ping 227.146.101.2

А потом шлюз провайдера:

WIFIGID-ROUTER #ping 227.146.101.1

Если все хорошо, и оба устройства пингуются, идем настраивать интерфейс для связи с локальной сетью. Локальная сеть у нас будет с адресацией:

192.168.1.0

Локальный адрес роутера:

192.168.1.1

Маска стандартная:

255.255.255.0

И еще один совет – обязательно оставьте пару адресов про запас. То есть диапазон адресов будет примерно от 192.168.1.2 до 192.168.1.10. Остальные уже будут использоваться клиентами и другими устройствами в локалке.

Локальный адрес роутера мы будем прописывать в VLAN:

R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.2.1 255.255.255.0
no shutdown
interface Fa 0
switchport access vlan 1
no shutdown

А для подключения будем использовать интерфейс «Fa 0». Что мы сделали, мы привязали сначала локальный адрес к Vlan. А потом уже VLAN привязали к физическому интерфейсу. Подключаем к этому физическому интерфейсу наш коммутатор, к которому уже будут подключены все рабочие машины, принтеры и другие сетевые устройства.

ШАГ 4: Удаленный доступ к роутеру

Чтобы вам постоянно не сидеть рядом с роутером и подключенным к нему консольным кабелем, я вам советую сразу настроить удалённый доступ. Мы будем использовать подключение по защищенному каналу SSH (второй версии).

WIFIGID-ROUTER (config)#
ip ssh ver 2
ip domain-name wifigid-router-c.ru

Сначала мы запустили SSH-2, а потом прописали произвольный домен. Теперь создаем ключ с помощью команды.

crypto key generate rsa

Далее вылезет вот такая вот надпись:

Вписываем число:

1024

Создаем пользователя с правами админа и паролем. Вместо «password» введите свой пароль.

username admin privilege 15 secret 0 password

Включаем пользователя в базу устройства:

line vty 0 4
login local

И задаем пароль для режима доступа:

enable secret 0 password-2

Опять же вместо «password-2» вводим свой пароль. После этого вы можете использовать любую программу с поддержкой SSH для доступа из локальной сети к этому роутеру.

ШАГ 5: Настройка шлюза

Теперь нам нужно подключиться к шлюзу провайдера:

WIFIGID-ROUTER (config)#
ip route 0.0.0.0 0.0.0.0 227.146.101.1

После этого пингуем любой внешний сайт, но лучше использовать именно IP, а не DNS адрес. Можно даже пропинговать один из DNS-серверов.

WIFIGID-ROUTER#ping8.8.8.8

ШАГ 6: Настройка NAT

Опять же локальные компьютеры пользователя пока не имеют доступа в интернет, но мы это исправим. Для этого нам нужно настроить динамическую трансляцию локальных IP во внешний. У нас всего один внешний адрес, поэтому локальные адреса должны превращаться в него, проходя через наш роутер, выполняющий роль шлюза.

Прописываем диапазон тех адресов, которые в теории могут использоваться локальными машинами:

WIFIGID-ROUTER (config)#
ip access-list standard ACL_NAT
permit 192.168.1.0 0.0.0.255

Далее указываем наш VLAN:

Interface Vlan 1
ip nat inside

Они будут неким локальным интерфейсом, ведь в VLAN может быть сразу несколько адресов. Теперь указываем физический внешний интерфейс, к которому мы подключили провайдерский кабель:

Interface Fa 4
ip nat outside

А теперь мы создаем NAT правило:

ip nat inside source list WIFIGID_NAT interface fa4

Далее мы уже можем из локальной сети с любого компа клиента пинговать любые интернет-адреса. Также в качестве пробы используем внешний IP адрес. Ну и в самом конце не забудьте сохранить конфиг в память роутера:

WIFIGID-ROUTER#write

Настройка DHCP

Первым делом предлагается к изучению настройка на устройствах DHCP — Dynamic Host Configuration Protocol — протокол динамической настройки узла. Благодаря ему устройство автоматически получает необходимые для работы параметры, и сетевой администратор лишь поручает, кому необходимо получать такие данные. Удобно, не правда ли?
Схема получения параметров проста: устройство обращается для начала к DHCP серверу, а он в свою очередь передает устройству необходимые параметры. Сервер может также и отказать устройству при условии, что тот не входит в заданный администратор диапазон, к примеру.

Настройка выглядит еще проще:
1. Необходимо исключить те устройства, которым адреса выдаются в ручном режиме. К ним относятся серверы, маршрутизаторы и т.п.
ip dhcp excluded-address 10.10.10.245 10.10.10.254
ip dhcp excluded-address 10.10.10.1 10.10.10.10
ip dhcp ping packets 4
2. Необходимо создать пул адресов, выдаваемых устройствам
ip dhcp pool MY_POOL
import all
network 10.10.10.0 255.255.255.0
domain-name dbschenker.ru
default-router 10.10.10.1
dns-server 10.10.10.2
lease 3
Все, теперь часть работы будет выполнять маршрутизатор. Довольно удобно, когда в сети много устройств. Здесь задача администратора только в том, чтобы правильно рассчитать диапазон адресов в расчете на количество устройств.

Настройка VLAN

Теперь можно плавно перейти к настройке VLAN — виртуальной локальной сети.
Представьте такую картину: роутер «раздал» всем устройствам адреса. Но тогда они будут «путаться под ногами», когда начнут обмениваться данными между собой. И чтобы не перегружать машрутизатор дополнительной работой, внутри сети одного офиса можно создать ещё несколько — виртуальных, которые будут объединять, к примеру, разные отделы между собой, либо можно объединить их по другому любому принципу. Суть одна — трафик будет идти именно в тот VLAN, где есть нужный адрес, вместо того, чтобы стучаться до каждого устройства и уточнять — а тот ли ты, кто нужен?…

Небольшая помарка: у роутеров нет VLAN-ов, их роль выполняют sub-интерфейсы.

Настройка выглядит следующим образом:
int fa 0/0.2 // Sub-интерфейс для VLAN 2
encapsulation dot1Q 2
ip address 192.168.1.251 255.255.255.0
no shutdown
exit
do wr mem
Также происходит настройка и для других VLAN-ов.

Настройка VPN

Теперь стоит немного усложнить задачу пользователю Cisco 1841 и предложить ему настройку VPN.
VPN представляет собой виртуальную частную сеть, которая позволяет образовать некий туннель для передачи данных без доступа к ним третьим лицам. Такая сеть может стать корпоративной, к ней можно подключаться в любом месте без привязки к физическому интерфейсу. Дополнительно гарантируется защита данных, передающихся по данной сети.

Итак, для настройки VPN-сервера на маршрутизаторе Cisco необходимо выполнить следующие команды. Настраивать будем VPN на основе PPTP:
Для начала создаем пул адресов, которые будут выдаваться пользователям, подключающимся по VPN (похожая картина была при настройке DHCP):
R1(config)#ip local pool VPN 192.168.1.100 192.168.1.110
Включаем сервис VPN-сервера:
R1(config)#vpdn enable
Далее настраиваем VPDN-группу. Здесь мы должны разрешить маршрутизатору отвечать на входящие запросы PPTP, и указать специально созданный виртуальный шаблон (virtual template), необходимый для клонирования интерфейса и использования его в качестве основного шлюза для подключающихся клиентов:
R1(config)#vpdn-group VPN
R1(config-vpdn)#accept-dialin
R1(config-vpdn-acc-in)#virtual-template 1
R1(config-vpdn-acc-in)#protocol pptp
R1(config-vpdn-acc-in)#exit
R1(config-vpdn)#
Переходим к последнему этапу настройки: необходимо создать виртуальный шаблон, который позволит клонировать интерфейс, а так же укажет, какие параметры для подключения необходимо использовать:
R1(config)#interface virtual-template 1// создаем интерфейс VT
R1(config)#encapsulation ppp  // включаем инкапсуляцию PPP
R1(config)#peer default ip address pool VPN  // адреса для подключающихся берем из созданного ранее пула
R1(config)#ip unnumbered GigabitEthernet0/0.1// клонируем саб-интерфейс Gi0/0.1, т.к. в данной топологии общая сеть подключена к нему
R1(config)#no keepalive
R1(config)#ppp encrypt mppe auto  // включаем шифрование. NPE IOS не поддерживает эту команду!
R1(config)#ppp authentication pap chap ms-chap ms-chap-v2 // Включаем все возможные виды аутентификации
Осталось создать локальную базу данных пользователей, которые могли бы подключаться к нашему серверу, используя внешний IP-адрес в качестве адреса сервера, и логины и пароли из локальной базы на Cisco-маршрутизаторе.
Команда выглядит следующим образом:
R1(config)#username test privilege 0 ?
password  Specify the password for the user
secret    Specify the secret for the user

Пользователям задаем 0 привилегий, это значит, что под своими логинами и паролями пользователи не смогут что-нибудь сломать на маршрутизаторе, если вдруг решат на него залезть посредством telnet/ssh.
При использовании SECRET возникают проблемы с работой всех видов аутентификации, кроме PAP. Поэтому, если используется PAP, можно ставить секретный пароль. Но если используются другие виды аутентификации, то необходимо выбирать пункт PASSWORD.
После этого на машине под управлением ОС семейства Windows создаем с помощью мастера VPN подключения, адрес сервера — внешний IP маршрутизатора Cisco, логины и пароли — из базы. Если у маршрутизатора не включалось шифрования (сознательно, либо из-за отсутствия возможности) — не забываем в свойствах подключения указать, что шифрование необязательное. И пользуемся созданным VPN’ом.
Самое жуткое — позади. Вроде бы…

Настройка NAT.

Вроде бы все хорошо. Внутри есть и локальная, и виртуальная сеть, устройства все под адресами, да еще и в защищенном туннеле. Но при попытке выйти на какой-то либо сайт роутер выдает ошибку.
И действительно, представьте, сколько таких локальных сетей вообще существует. И адреса во многих могут совпадать.
Для этого есть механизм NAT. Он транслирует внутренний адрес устройства во внешний, соответственно, устройство может выйти в сеть уж под внешним адресом, а потом еще и получить данные. Только уже на свой личный адрес. Удобно, правда? Стоит разобраться детальнее.

Все данные от устройства идут на порт маршрутизатора. Там он меняет локальный IP-адрес на внешний и кидает эти данные в Интернет. При получении «ответа» он делает обратную операцию. Для пользователя — ерунда, и не заметит подвоха. Для маршрутизатора — следующие этапы настройки.

1. Задаем шлюз по умолчанию
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 125.12.232.15
ip route 192.168.1.0 255.255.255.0 125.12.232.15
2. Включаем скоростную передачу от Cisco для IPv4
ip cef
…и отключаем для IPv6
no ipv6 cef
3. Настраиваем непосредственно NAT
на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
на локальном интерфейсе (который привязан к VLAN)
interface Vlan1
ip nat inside
создаем список IP-адресов, которые имеют доступ к NAT
ip access-list extended NAT
permit ip host 10.10.10.10 any
включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
Перед тем, как выполнить эти действия, необходимо также проверить доступность интерфейсов (портов).
Router>enable
Router# conf t
Router(config)# interface FastEthernet0/1
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)#  description LAN
Router(config-if)# no shutdown
Router(config-if)#exit
Router(config)#
Если была проведена данная операция — то все ОК, базовая настройка интерфейсов прошла успешно.
Как видите, и совсем Cisco 1841 не кусается. Все настройки, приведенные выше, помогут в создании стабильной и рабочей сети. Их можно корректировать в зависимости от нужд, самое главное — уловить «базу» и в будущем опираться только на неё.

Настройка SSH

Прежде чем приступить непосредственно к настройке оборудования, необходимо обеспечить к нему доступ по протоколу SSH. Это защищенный протокол, который обеспечивает безопасность при работе с маршрутизатором. При первом подключении к Cisco 2911 необходимо произвести базовую настройку оборудования. К ней относится настройка подключения по протоколу Telnet (устаревший протокол, передающий все пароли в открытом виде и открывающий широкие возможности для различных атак).
Для настройки необходимо использовать программу Putty, выбрав в ней тип подключения Serial и COM-порт. В консольном окне прописать следующее:
Router>enable // Вход в привилегированный режим
Router#erase startup-config // Необходимо сбросить пароль, удалить старые конфигурации и перезагрузить устройство
Router#reload
Router>enable
Router#configure terminal // Использование конфигурационного режима
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0 // Имя устройства
Gw0(config)#
Gw0(config)#service password-encryption // Данная команда включает режим хранения паролей в конфигурационном файле устройства в зашифрованном виде.
Gw0(config)#no ip http server // Отключение управления маршрутизатором через http, https, CDP
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Gw0(config)#line con 0
Gw0(config-line)#password пароль // Необходимо задать пароль на подключение через консоль
Gw0(config-line)#login
Gw0(config-line)#exit
Gw0(config)#line vty ?
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Gw0(config) enable secret пароль_enable_режима // Необходимо задать пароль для привилегированного режима
Настройка интерфейсов внутренней сети выглядит следующим образом:
Gw0(config) #interface Gi 0/0
Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Gw0(config)# ip name-server 192.168.0.2 // DNS-сервер
Теперь устройство доступно для подключения по протоколу Telnet по адресу 192.168.0.1.
Gw0# copy running-config startup config  // сохранение конфигурации
Далее производим настройку SSH:
Gw0>enable//
Gw0#clock set 20:10:00 23 May 2012 // Необходимо установить точное время для генерации ключа
Gw0#configure terminal //
Gw0# ip domain name iamroot.ru // Для генерации ключа необходимо указать имя домена
Gw0(config)# crypto key generate rsa // Генерация RSA-ключа
Gw0(config)# username user privilege 15 secret пароль // Создание пользователя с расширенными правами
Активируем протокол ААА
Gw0(config)# aaa new-model // Активация AAA (авторизация, аутентификация и учет данных. Протокол используется для предоставления пользовательского доступа и контроля над ним).
Gw0(config)#line vty 0 1441 // Переход в режим конфигурирования терминальных сессий
Gw0(config-line)# transport input ssh // Указание на то, что средой доступа через сеть по умолчанию будет протокол SSH
Gw0(config-line)# logging synchronous //Автоматическое поднятие строки
Gw0(config-line)#exec-timeout 30 0 // Время тайм-аута до автоматического закрытия SSH-сессии в 30 минут
Далее необходимо выйти из конфигурационного режима командой Ctrl+Z
Gw0# wr // Сохранение настроек.
Теперь оборудование доступно через защищенный канал SSH.

Настройка USB

Если вернуться к началу статьи, то стоит обратить внимание на то, что подключение к консоли возможно не только через COM-порт, но и через USB. Для этого необходимо скачать и установить специальный драйвер (cisco usb console driver). Происходит распаковка, установка, перезагрузка системы..
Далее в диспетчере устройств необходимо посмотреть, какой COM-порт присвоен Cisco USB Console. После этого в Putty необходимо выбрать Serial — подключение и выбрать тот самый COM-порт.
Настройка маршрутизации
Теперь можно перейти к полноценной настройке. Первым этапом будет рассмотрен процесс маршрутизации.
Прежде чем к нему приступить, стоит ознакомиться с таким понятием как «таблица маршрутизации». Визуально это можно представить как граф, соединенный между собой точками. Из пункта «А»в пункт «Б», и т.п. Таких маршрутов может быть несколько, но в данном случае будет рассмотрена статическая маршрутизация – это один конкретный путь, который, как правило, прописывается самим пользователем.
Данный этап необходим для того, чтобы маршрутизатор «знал» путь из одной точки в другую. Это знание поможет ему выбрать наилучший маршрут в зависимости от ситуации.
Процесс назначения маршрута на роутере выглядит следующим образом:
enable
configure terminal
ip route 172.16.0.0 255.255.255.128 Serial0/0/0// Используем команду для ввода статического маршрута
Данная команда указывает на то, что далее будет прописан маршрут. В конкретном случае, адрес 172.16.0.0 – та самая неизвестная роутеру сеть, 255.255.255.128 – маска неизвестной удаленной сети. Serial0/0/0 – интерфейс, на который будут поступать пакеты данных, предназначенные для той самой удаленной сети.
Вместе интерфейса можно указать IP-адрес шлюза.
Команда:
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
означает маршрут по умолчанию.
end// Выход из режима глобальной конфигурации
show running-config// Проверка введенных данных.
copy running-config startup-config// Сохранение настроек

Настройка VLAN

По правилам хорошего тона, прежде чем настраивать маршруты, стоило прописать VLAN. VLAN – virtual local area network – функция, которая позволяет на одном физическом интерфейсе создать несколько виртуальных сетей. К примеру, можно представить офис, в котором к одному роутеру подключено несколько ПК. Необходимо, чтобы ПК-1 и ПК-2 – общались между собой, ПК-3 и ПК-4 тоже только между собой. Как раз для этого и нужно создание VLAN.

Прописывать статические маршруты также намного удобнее до VLAN, чем до каждого ПК в отдельности. Можно указать один шлюз сети и IP-адрес конкретного VLAN – сэкономить время и упростить себе задачу.
Разобравшись в необходимости и полезности VLAN, можно переходить к их настройке.
VLAN находится непосредственно на коммутаторе. Маршрутизатор подключается к коммутатору посредством trunk-порта и позволяет VLAN-ам общаться между собой при необходимости. Трафик передается через этот порт и помечается номером VLAN-а.  Далее на интерфейсе необходимо настроить sub-интерфейсы с соответствующими для каждого VLAN IP-адресами. За счет этого происходит корректное перенаправление пакетов.
Визуально можно представить так: между коммутатором и маршрутизатором есть некий «мост» — trunk-порт, проходя через который, всем присваивается определенный номер (VLAN-ы, как правило, обозначаются цифрами). И в зависимости от номера трафик на выходе «моста» идет в конкретном направлении.
Первым делом настраивается интерфейс для управления оборудованием. Номер VLAN в данном случае не указывается, он равен 1 по умолчанию.
conf t
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
Предварительно рекомендуется очистить используемый интерфейс, выполнив команды:
interface FastEthernet0/0
no shut
no ip address
Далее происходит настройка sub-интерфейсов:
interface FastEthernet0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
description NoName
Стоит обратить внимание, после указания интерфейса через точку, а также после указания инкапсуляции стоит номера VLAN (в данном случае 10). Порядковый номер sub-интерфейса при этом может быть любым. В строчке с указанием инкапсуляции обязательно должен стоять номер того VLAN-а, которому принадлежит сеть.
Теперь для взаимодействия устройств из разных VLAN необходимо прописать:
switchport access vlan Х
Где Х – номер VLAN. Это указывается на портах, к которым подключаются рабочие станции.
Также не стоит забывать о том, что на каждом устройстве в качестве шлюза по умолчанию должен быть указан IP-адрес sub-интерфейса маршрутизатора того же VLAN, что и само устройство.
Итак, теперь рабочие станции способны общаться друг с другом в пределах подключения к одному коммутатору/роутеру, а также в пределах одного VLAN. Что же делать, если необходимо связаться с устройством вне локальной сети?

Настройка NAT

NAT – механизм преобразования транзитных IP-адресов. Также NAT отвечает за проброс портов — использование одного внешнего интерфейса несколькими устройствами в локальной сети. То есть, существует некоторое устройство, которое пытается отправить трафик вне локальной сети. Маршрутизатор его, конечно, отправит, но обратный адрес состоит из локального адреса устройства. Роутер мгновенно подменяет его адрес на свой внешний IP-адрес и меняет номер порта (чтобы различать локальные устройства между собой). Все данные маршрутизатор временно хранит в таблице, чтобы все данные достигли получателя.

Для доступа в Интернет из локальной сети необходимо динамически переводить все внутренние адреса в определенный внешний IP-адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT // Создание Access-листа NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любого устройства локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес маршрутизатора (192.168.0.1).
Сохраняем все настройки:
R-DELTACONFIG#write

Настройка VPN

Теперь можно познакомиться с таким понятием, как VPN. VPN — virtual private network, виртуальная частная сеть. То есть, поверх существующей сети создается некая виртуальная сеть, которая объединяет в себя несколько устройств. Первой задачей VPN является маркировка участников данной сети, чтобы она не смешивалась с чужой. Второй (и одной из главных) задачей является защита информации, передаваемой между участниками сети.

Такая сеть абстрагирована от физической составляющей. То есть, совсем неважно, каким образом будет установлено соединение, и проходить оно может через публичные сети.
Для маршрутизаторов VPN представляет собой туннель — допустим, между сетями двух офисов одной компании. Это довольно удобно, поскольку данные защищены от посторонних глаз, а работать можно без привязки к физическим интерфейсам. VPN способен объединять географически удаленные объекты в одну сеть.
К рассмотрению предлагается настройка VPN-туннеля между двумя маршрутизаторами с заданными параметрами:
Маршрутизатор Cisco в главном офисе (R-MAIN)
Пользовательская сеть 192.168.10.0 /24
Внешний статический IP-адрес 1.1.1.2 /30
Шлюз провайдера 1.1.1.1 /30
Маршрутизатор Cisco в удаленном офисе (R-BRANCH)
Пользовательская сеть 192.168.20.0 /24
Внешний статический адрес 2.2.2.2 /30
Шлюз провайдера 2.2.2.1 /30
Для начала необходимо выбрать параметры шифрования:
R-MAIN(config)#
crypto isakmp policy 1
encr 3des // Алгоритм шифрования
authentication pre-share
group 2

crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac

crypto ipsec df-bit clear

crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2
Ключ шифрования должен быть одинаковым на обоих роутерах.
Для главного офиса:
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для удаленного офиса:
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В каждом офисе необходимо указать внешний адрес соседней площадки.
На каждом маршрутизаторе создаем виртуальный туннельный интерфейс.
В главном офисе:
R-MAIN(config)#
interface Tunnel1
description Link to R-BRANCH
ip address 10.0.0.1 255.255.255.252 // Собственный адрес виртуального туннеля
tunnel source FastEthernet 0/0 // Собственный внешний интерфейс маршрутизатора
tunnel destination 2.2.2.2 // Внешний адрес маршрутизатора дополнительного офиса
tunnel mode ipsec ipv4 // Вид шифрования
tunnel protection ipsec profile VTI_PROF // Способ шифрования
В удаленном офисе:
R-BRANCH(config)#
interface Tunnel1
description Link to R-MAIN
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet 4
tunnel destination 1.1.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
Если все этапы выполнены правильно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой:
R-MAIN# sh inter tun 1
Tunnel1 is up, line protocol is up
Проверяем работоспособность туннеля, запустив ping до соседнего адреса туннеля. Например, из головного офиса:
R-MAIN#ping 10.0.0.2
Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации на каждом устройстве.
В головном офисе:
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 10.0.0.2
В удаленном офисе:
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 10.0.0.1
После всех этапов настройки все устройства настроенных сетей должны быть доступны друг другу, а связь должна быть защищенной.

Настройка PPPoE

Теперь стоит познакомиться с протоколом PPPoE, который, по факту, и предоставляет доступ в Интернет через Cisco 2911.
Суть протокола в том, что в локальной сети Ethernet, где все устройства обладают своим MAC-адресом, наличие IP-адреса устройства необязательно. Он назначается только тогда, когда устройству необходимо соединение с сервером.
Дополнительно протокол выполняет такие функции как аутентификация, сжатие данных и контроль качества данных.
Роутер может выступать как PPPoE-сервер, так и PPPoE-клиент, в зависимости от ситуации. Ниже будет приведена настройка именно клиента, поскольку он рассчитан больше на домашнее использование, когда маршрутизатор берет на себя все необходимые задачи по предоставлению доступа к сети Интернет.
Чтобы создать PPP-тунель, необходимо настроить интерфейс dialer. Он представляет собой специальный тип виртуального интерфейса и именно на нём задаются все параметры PPP. В качестве параметров PPP необходимо задать имя пользователя и пароль, метод аутентификации (PAP или CHAP), размер MTU в байтах. Далее интерфейс включается в dialer pool. Этот номер указывается на физическом интерфейсе и с него будет осуществляться «дозвон».
Рассмотрим пример настройки PPPoE подключения на маршрутизаторах Cisco.
vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default
ip route 0.0.0.0 0.0.0.0 Dialer1
Где:
— GigabitEthernet0/0 — физический интерфейс провайдера.
-Dialer1- Виртуальный интерфейс
— 77896040263 — имя пользователя от провайдера
— bzBdfVpAWU8 — пароль от провайдера
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1, например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка осуществляется следующим образом:
show pppoe session
show pppoe summary
show interface dialer 1

Зачем использовать Cisco AnyConnect

Стоит сразу сказать, несмотря на то, что Cisco AnyConnect является бесплатным приложением для использования VPN, он не предоставляет доступа ни к каким платным или бесплатным серверам. Cisco Anyconnect используется для подключения к существующим виртуальным частным сетям или VPN.

Программа является клиентом, так что в ней осуществляется только настройка подключения к самой сети. Все настройки VPN задаются на сервере или на том оборудовании Cisco, что служит шлюзом между интернетом и корпоративной сетью.

Разберем несколько особенностей, которые позволяют предоставлять удаленный доступ через это приложение:

• Возможность получения настроек со шлюза или сервера. Если человек работает через свое оборудование и нет возможности отдать его на установку и настройку техническим специалистам, то AnyConnect может получить настройки с сервера при первом подключении.
• Безопасность конечного устройства. Присутствует возможность настройки проверки компьютера или телефона, на котором установлено. Если устройство не соответствует заданным параметрам безопасности, то подключение не произойдет.
• «Тихая» работа. Можно сделать так, чтобы приложение не отображалось в активных, а значка в трее не было.
• Настройка приложения таким образом, чтобы при работе внутри корпоративной сети, не работал интернет. Это повышает безопасность корпоративной сети от взлома или занесения вредоносных программ.

К сожалению, все это задается в конфиге оборудования Cisco или на серверах компании. В самом клиенте настраивается подключение, производится ввод логина и пароля, а также задаются некоторые параметры установки соединения.

Всем остальным занимается администратор сети внутри компании. Так что вам столкнуться с этим не придется, ведь для работы с цисками требуется довольно долгое обучение и наличие некоторых сертификатов его подтверждающих.

Установка и настройка Cisco AnyConnect Client на ПК

Про места для скачивания поговорим чуть ниже, так что стоит остановиться на самой установке и настройке. Опять же, для каждой системы конкретные действия будут разными, но общий алгоритм такой: распаковать скачанный архив, запустить оттуда установочный файл. Дождаться окончания установки и запустить саму программу.

В некоторых случаях потребуется добавить программу в исключения своего антивируса и брандмауэра, но сначала попробуйте запустить её без этого. Теперь можно переходить к настройке.

Внешний вид приложения.

Где скачать Cisco AnyConnect Secure?

Скачать программу можно всего с нескольких ресурсов. Основным является официальный сайт производителя.

Текущая версия находится по адресу: https://software.cisco.com/download/home/286281283/type/282364313/release/4.10.05095 , если соединится не получается, что удалите все до последнего слэша, должно перекинуть на последнюю версию. Здесь представлен полный список программ для Линукса, MacOS и Windows. Скачивайте и устанавливайте, для винды рекомендуется брать AnyConnect Pre-Deployment Package.

Проблема в том, что как только вы нажмете на скачивание, выскочит окно с предупреждением. Посторонние люди не могут загружать программы, так что войдите в свой аккаунт, в котором активен сервисный договор с компанией. Если такого нет, то обратитесь к своему дилеру, чтобы он предоставил вам копию программы.

У Microsoft есть свой официальный магазин, работающий с последними операционными системами. Зайдите туда и найдите нужное приложение, можете перейти по ссылке https://apps.microsoft.com/store/detail/anyconnect/9WZDNCRDJ8LH?hl=ru-ru&gl=RU. Нажмите на «Установить» и дождитесь окончания процесса. Это работает только для десятки, для Windows 7 и других ранних версий потребуется воспользоваться первым способом.

На Windows 10

Внешний вид на Windows 10. После загрузки из официального магазина, программа станет доступна в списке установленных. Найдите её по ярлыку или через меню пуск и запустите. Нажмите на «Manage VPN», вас перебросит в стандартное окно с ВПН на десятке.

Здесь нужно установить, когда можно использовать ВПН, использовать ли его при роуминге и т.д. После выбора этих опций нажмите на «Add a VPN Connection», на русском будет «Добавить ВПН-соединение».

Окно с настройками ВПН. В открывшемся окне производятся все настройки. Главное, в верхней строке выберите создание соединения через AnyConnect. Дальше введите имя соединения, адрес сервера, а также логин и пароль, если они требуются для входа. Сохраните настройки. Теперь, для запуска соединения, вам нужно снова открыть окно с настройками ВПН и кликнуть там по нужному соединению.

Ввод данных для подключения. В некоторых случаях может потребоваться настройка самой программы. Тогда из пуска снова запустите её и перейдите в раздел «Settings», здесь найдите настройку «Block Untrusted Servers», часто её требуется отключить для установки соединения. В разделе Diagnostic есть параметр Сertificate, здесь будут храниться сертификаты серверов, сюда же может потребоваться установить выданный вам сертификат, если подключение происходит по нему.

На MacOS

Загрузите программу из указанного источника, а потом дважды кликните на файл для начала установки. В первом окне нажмите «Continue», это просто приветствие, во втором окне выберите место, в которое хотите установить программу. Дальше все понятно, просто введите пароль и дождитесь окончания установки.

Установка на Мас. Теперь перейдите в раздел с приложениями и найдите там Cisco > Cisco AnyConnect Secure Mobility Client.app. Запустите его, в первом окне укажите точный адрес, выданный вам для подключения к VPN и нажмите на Connect. Появится еще одно окно, в верхней строке выберите группу, а ниже введите логин и пароль.

Окно подключения.Теперь вы подключены. Для отключения снова нажмите на приложение, откроется окно с адресом сервера. Нажмите здесь на Disconnect, это позволит отключить соединение.

На Linux Ubuntu

Алгоритм будет одинаковым на всех линуксах, в том числе и на Debian, и Fedora. Скачайте архив из указанных источников. Распакуйте его и перейдите в новый каталог. Откройте и запустите установочный файл. В некоторых случаях все это можно проделать и через графический интерфейс, но можно работать и через консоль.

Запустите программу. На картинке вы видите интерфейс подключения, он выскочит после первого запуска программы. Введите адрес, а через двоеточие порт, если он нужен. Вводите его с точностью до каждого знака такой же, как вам выдали на работе. Потом нажмите на «Connect».

Вид окна подключения. Откроется окно с предупреждениями. Нажмите здесь на «Change Settings», если вы нажмете по второй кнопке, то точно никуда не подключитесь.

Предупреждение об опасности. Откроется окно с настройками. Вам нужно снять галочку с последнего пункта «Block connections to untrusted servers». Остальные галки расставьте так, как рекомендовали вам в инструкции на работе.

Окно с настройками. В следующем окне кликните по кнопке «Connect Anyway», а потом введите логин и пароль. Теперь можно пользоваться программой.

Запуск и первые шаги Cisco AnyConnect Mobility для смартфонов

Сильных отличий в работе приложений друг от друга нет. Меню выглядят похоже и алгоритм действий почти не меняется. Вот и получается, что если один раз настроить полностью работу впн, то и в другой раз проблем не будет. Особенно это характерно для телефонов. Здесь расскажем способы настройки приложений на разных аппаратах.

На Android

На андроиде загрузите приложение из официального магазина. После загрузке запустите его и попадете в первое меню. Здесь кликните по «Подключения», в новом окне на «Добавить новое подключение».

Приложение на андроиде.Появится стандартное окно для ввода данных. Введите туда информацию, которая предоставили вам для подключения. Теперь нажмите на три точки вверху и выберите «Settings» и снимите галку с «Блокировать недоверенные серверы».

Настройки. Нажмите на три точки сверху и перейдите на вкладку «Diagnostics», откройте «Управление сертификатом». Снова нажав на три точки вверху выберите «Импортировать», здесь укажите путь до сертификата. Это потребуется, если подключение осуществляется по нему.

На iOS

На iPhone алгоритм ничем не отличается от Андроида. Скачайте и установите приложение из официального магазина. Откройте его. Щелкните по строке Connections, потом кликните по Add VPN Connection. В появившемся окне введите логин и пароль, а также остальные данные для подключения.

Окно приложения на iPhone. Для включения и отключения используйте рычажок, находящийся в верхней строке. Настройки находятся в разделе «Settings», а управление сертификатами в «Diagnostics».

Возможные проблемы

Сама программа проста, потому что представляет собой клиентскую часть программного решения. То есть, все основные действия и настройки происходят где-то далеко, на серверах и оборудовании Cisco, а Cisco AnyConnect представляет собой небольшую программу для подключения ко всей этой конструкции. Тем не менее разработчики сюда заложили и проверку клиентских устройств и ограничение на работу в интернете, так что проблемы возникают с завидным постоянством.

Нет соединения

Если не устанавливается соединение, то причин несколько:

• Включилось ограничение на связь, вшитое в установку программы, так что во время работы не получится соединиться с интернетом.
• Неправильно введены данные сервера, так что приложение не может к нему подключится.
• Несовпадение версий. Эту проблему отметила компания Майрософт, что при включении ВПН от циско, на некотором оборудовании перестает подключаться беспроводной интернет. Тут только ждать обновлений от обеих компаний.

Проблема глобальная, так что стоит сначала уточнить у тех, кто делал настройки на сервере, какие параметры выставлены. Тогда вы не будете удивляться ограничениям.

При отпадании интернета вообще при включении программы, рекомендуется почистить кэш интернет-соединения.

Ошибка инициализации

При запуске программы выскакивает ошибка «failed to initialize connection subsystem». Ошибка возникала на старых версиях программы, но нет гарантий, что она решена.

Есть два способа решения проблемы:

• Найдите исполняемый файл программы. Щелкните по ярлыку правой кнопкой мыши, а потом нажмите на «Расположение файла». Обычно это C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client.
  По найденному файлу кликните правой кнопкой мыши и выберите «Исправление неполадок». Дождитесь окончания работы.
  Нажмите на компьютер правой кнопкой, перейдите в управление, потом в службы, найдите Cisco AnyConnect Secure Mobility Agent остановите его и потом снова запустите.
• Нажмите Win+R и введите в открывшемся окне regedit. Пройдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings и создайте переменную DWORD с именем GlobalUserOffline и значением 0. Перезагрузите компьютер.

Проблема возникает из-за установки некоторых обновлений, так что можете удалить последние обновления и проблема решится. Или установите обновление MS15-018, оно решает эту проблему.

Как удалить клиент

С удалением возникают проблемы. Иногда удаляется не полностью, из-за чего возникают сбои при повторной установке. Так что тут совет один: заходите в папку с установленной программой и запускайте деинсталлятор оттуда. Если этого не сделали, то придется работать с командной строкой.

Для мака введите в терминал следующие команды:

1. sudo /opt/cisco/anyconnect/bin/websecurity_uninstall.sh
2. sudo /opt/cisco/anyconnect/bin/dart_uninstall.sh
3. sudo /opt/cisco/anyconnect/bin/nvm_uninstall.sh
4. sudo /opt/cisco/anyconnect/bin/umbrella_uninstall.sh
5. sudo /opt/cisco/anyconnect/bin/amp_uninstall.sh

Если вы запороли удаление на виндовс, то попробуйте воспользоваться одной из программ, что чистят реестр. Если она не поможет, то остается только откат на точку восстановления или переустановка системы. Так что лучше сразу зайдите в папку с установленным приложением и используйте деинсталлятор оттуда.

Аналоги Cisco VPN Client

Есть и бесплатные аналоги этой программы, которые не предъявляют требований к договорам и остальному. Так что можете использовать их для создания туннелей, виртуальных сетей и организации удаленного доступа.

Однако, я не рекомендую использовать бесплатные решения для чего-то серьезного. Они редко хорошо защищены, да и следят за их безопасностью не очень пристально. Лучше приобрести какое-то корпоративное решение.

Аналоги:

• OpenConnect GUI — это графический клиент OpenConnect для систем Microsoft Windows, бесплатный и с открытым исходным кодом.
• OpenVPN — это полнофункциональное решение SSL VPN с открытым исходным кодом. Это рабочая лошадка большинства предприятия на данный момент. Обеспечивает неплохой уровень безопасности и позволяет задавать много параметров.
• ShrewSoft VPN Client работает через IPsec на Windows 2000, XP, Vista. Можете применять в тех местах, где не подойдут современные программы.

Cisco Anyconnect – это программа для тех организаций, что используют у себя их оборудование. Поэтому проблем с настройкой возникать не должно. Параметры сервера задает специалист, он же выдаст точную инструкцию по подключению.

Программу можно использовать и с другими видами серверов, как простой ВПН-клиент, но полные возможности раскроются только при использовании вместе с сервером от того же производителя. В других случаях стоит поискать аналогичные программы для организации безопасного удаленного доступа в свою корпоративную сеть или для подключения к какому-то оборудованию – применений для VPN много.

Функциональность Cisco VPN Client

Основная функция программы — удалённое использование ресурсов частной сети, созданной на базе оборудования Cisco. При запуске правильно настроенного подключения пользователь, находясь в любом месте, получает доступ к сетевым ресурсам так же, как если бы он был подключен напрямую.

Поддерживаемые протоколы:

• IPSec ESP;
• PPTP;
• L2TP;
• L2TP/IPSec;
• NAT Traversal IPSec;
• IPSec/TCP;
• IPSec/UDP.

Кроме того, этот VPN-клиент поддерживает и протокол SCEP (Simple Certificate Enrollment Protocol), разработанный самой компанией Cisco.

Cisco VPN Client обеспечивает беспрецедентную надёжность благодаря технологии Cisco Secure Connectivity System, использующей шифрование и двухфакторную аутентификацию при помощи смарткарт Aladdin eToken или USB-токенов.

Используемые методы шифрования:

• DES;
• 3DES;
• AES;
• MD5;
• SHA.

Наличие встроенного файервола — ещё одна из особенностей VPN-клиента от Cisco.

Программа может быть установлена на разные операционные системы, в том числе для Windows 7 и Windows 10.

Правда, компания Cisco, видимо, является фанатами x86, поэтому программное обеспечение в основном заточено под работу именно с такой разрядностью операционной системы (что отражается в стабильности работы). Но это, разумеется, совсем не значит, что обладатели Windows 10 x64 или Windows 7 x64 никогда не смогут корректно запустить Cisco VPN-клиент. Есть и для них версия, но её установка и настройка имеет свои нюансы.

Загрузка

Загрузка официальной версии VPN-клиента для Windows 10 и Windows 7 доступна из репозитория Cisco — там находятся самораспаковывающиеся архивы с расширением .exe. Для доступа необходимо иметь контракт с компанией и быть зарегистрированным в системе. Разумеется, можно и со сторонних ресурсов скачать — желающих поделиться софтом хватает. Но это уже на ваш страх и риск.

Подготовка

Чтобы корректно установить и настроить Cisco VPN Client на Windows (это касается и 10 и 7), необходимо обладать правами администратора.

Проверьте доступность портов UDP 500 и 4500 для входа и выхода. При необходимости внесите правки в настройки брэндмауэра.

Учтите, что VPN-клиент не будет работать через прокси.

Установка Cisco VPN Client для Windows 10

Обязательно сначала убедитесь, что версия, которую вы собираетесь установить, свежая и совместима с установленной операционной системой. Windows 10 не особо лояльна к устаревшему программному обеспечению, поэтому при попытке поставить и использовать старую версию Cisco VPN Client могут возникать различные ошибки, связанные с несовместимостью. В большинстве случаев они решаются отключением безопасной загрузки в BIOS перед установкой ПО. Но если вы не являетесь любителем «танцев с бубном», лучше всего просто скачать последнюю версию, совместимую именно с Windows 10.

Предварительно устанавливаем DNE Citrix (Deterministic Network Enhancer), наличие которого потребуется для корректной инсталляции Cisco VPN Client. Проверьте, чтобы версия DNE подходит для вашей системы Windows 10 по разрядности! Обратите внимание, что антируткит может начать жаловаться во время запуска инсталлятора DNE, но повода для беспокойства нет (разумеется, если вы скачали установочный файл из надёжного источника, — например, с официального сайта). А вообще имейте в виду, что перед установкой рекомендуется выключать антивирусы и брэндмауэры.

После успешной инсталляции DNE и обязательной перезагрузки Windows 10 можно приступать к установке самого Cisco VPN Client. Самораспаковывающийся архив спросит, в какой каталог вы планируете распаковать его. После окончания распаковки должен сразу же автоматически запуститься инсталлятор (при проблемах с установкой следует использовать установочный пакет с расширением .msi). Особых вопросов при установке возникнуть не должно, все шаги вполне привычны и предсказуемы. Не забудьте перезагрузиться после завершения процесса инсталляции. На этом стандартная установка Cisco VPN Client для Windows 10 будет считаться завершённой.

Установка Cisco VPN Client для Windows 7

Установка VPN-клиента Cisco на Windows 7 осуществляется аналогично инсталляции на Windows 10.

При возникновении проблем во время установки DNE может потребоваться редактирование параметра в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Network\MaxNumFilters — значение должно быть 14. Исправьте значение, если у вас выставлена цифра 8.

Настройка Cisco VPN Client

Настройка Cisco VPN Client для Windows 10 и Windows 7 достаточно проста, так как интерфейс VPN-клиента интуитивно понятен, но требует знания английского языка и некоторых терминов.

Новое подключение создаётся путём нажатия на кнопку «New». Открывается собственно окно с полями для указания информации о создаваемом подключении. Информация обычно предоставляется администратором частной сети или провайдером.

Имя подключения вписывается в поле «Connection Entry».

В поле «Host» указывается домен (IP-адрес VPN-шлюза).

На вкладке «Authentication»: в поле «Name» — имя группы, в поле «Password» — пароль для группы, «Confirm Password» — подтверждение пароля. Эти данные нужны для первичной групповой аутентификации.

После того, как данные введены, нажимаем «Save». Готово! Теперь в окне VPN-клиента появляется строка с новым подключением.

При подключении появится окошко вторичной авторизации, запрашивающее ваши личные логин и пароль.

Если всё было сделано правильно, то соединение установится, а в трее появится соответствующая пиктограмма. Правый клик по ней откроет меню, в котором можно выбрать пункт «Statistics» — статистика. Там будет указано количество отправленных и полученных пакетов.

Возможные проблемы

Бывает, что пользователи Windows 10 и Windows 7 жалуются на возникновение различных ошибок, — например, 440, 412, 414, 433, 442. Они являются результатом неправильной установки и настройки клиента и дополнительных компонентов. Решаются, как правило, корректным удалением установленного ПО, чисткой реестра и грамотной установкой заново. В исключительных случаях возникает необходимость в переустановке системы.

Довольно часто при использовании Cisco VPN Client в Windows 10 и Windows 7 x64 возникают различные ошибки, связанные с работающей безопасной загрузкой. Эта функция запрещает использование в системе программного обеспечения, которое не входит в список доверия производителя компьютера. Решение заключается в отключении безопасной загрузки через BIOS.

Не помешает и заглянуть в реестр: HKLM\SYSTEM\CurrentControlSet\Services\CVirtA\DisplayName. Там должно быть название установленного продукта (если вы видите непонятный набор символов — исправьте на «Cisco Systems VPN Adapter for 32-bit (или 64-bit) Windows»).

Если при использовании Cisco VPN Client упорно продолжают возникать ошибки, можно вместо DNE установить Sonic VPN.

Настраиваем OpenConnect — совместимый с Cisco AnyConnect VPN сервер на платформе Linux

Особая разновидность VPN — это SSL VPN, протоколы, работающие с использованием SSL/TLS шифрования и неотличимые от обычного HTTPS-трафика. К ним относятся Microsoft SSTP и CISCO AnyConnect, оба протокола проприетартные, но у последнего есть открытый совместимый аналог — OpenConnect. SSL VPN в первую очередь рассматриваются как средство удаленного доступа, позволяя сотрудникам безопасно работать из любого места, где просто есть доступ в интернет, легко проходя через NAT, прокси и брандмауэры.

В нашем примере будет рассматриваться установка OpenConnect в среде Debian 11, однако инструкция будет актуальной для любых современных версий Debian или Ubuntu, а также систем на них основанных. Все действия, если не сказано иного, выполняются от имени суперпользователя root или через sudo.

Подготовка сервера и установка OpenConnect

Прежде всего включим маршрутизацию пакетов в системе, чтобы сервер мог передавать их между интерфейсами, для этого в /etc/sysctl.conf найдем и раскомментируем (либо добавим) строку:

net.ipv4.ip_forward = 1Затем перечитаем настройки командой:

sysctl -pSSL чувствительна к еще одному важному параметру — совпадении времени между клиентом и сервером, поэтому сразу настроим его синхронизацию с вышестоящими NTP-серверами. Для этого мы будем использовать стандартную службу systemd-timesyncd, откроем конфигурационный файл /etc/systemd/timesyncd.conf, раскомментируем параметр NTP и укажем в нем через пробел сервера времени:

NTP=0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org Перезапустим службу:

systemctl restart systemd-timesyncdИ проверим ее статус:

systemctl status systemd-timesyncd

Состояние синхронизации можно проверить командой:

timedatectl
Из вывода первой команды мы можем видеть, что система инициировала синхронизацию с сервером 0.pool.ntp.org, а вторая сообщает, что системные часы синхронизированы, служба NTP активна.

Теперь можно установить сам сервер OpenConnect:

apt update
apt install ocserv

После установки проверяем статус службы:

systemctl status ocserv
В выводе команды нас интересует параметр в строке Loaded следующий после пути к файлу юнита, если там стоит enabled, то автозагрузка службы включена и ничего делать не нужно, в противном случае добавим ее в автозагрузку командой:

systemctl enable ocserv

Дальнейшие действия зависят от того, какой тип сертификата вы решите использовать, мы рекомендуем использовать сертификаты от Let’s Encrypt.

Получение сертификатов от Let’s Encrypt

Для работы с Let’s Encrypt нам понадобится доменное имя. Большинство современных компаний имеют свой сайт, а значит и домен, поэтому создать еще один поддомен для VPN-сервера не составит никакого труда, либо доменное имя можно купить, это недорого, от 199 руб. в зоне RU, при том, что домен всегда пригодиться.

Мы, для примера, будем использовать вымышленное доменное имя ocserv.horns-and-hooves.lab одной небезызвестной вымышленной компании.

Сначала поставим certbot:

apt install certbot

Затем получим бесплатный сертификат для нашего домена:

certbot certonly -d ocserv.horns-and-hooves.lab —standalone

При первом запуске вам потребуется ввести рабочий адрес электронной почты и принять условия использования сервиса. Для успешной работы certbot у вас должен быть открыт порт 80 TCP. Все сертификаты Let’s Encrypt выдаются сроком на 90 дней и certbot будет их автоматически продлять, единственное что нам остается сделать, это настроить перезапуск сервера OpenConnect после получения нового сертификата.

Для этого откроем etc/letsencrypt/renewal/ocserv.horns-and-hooves.lab.conf и добавим в секцию [renewalparams] следующую строку:

post_hook = systemctl restart ocserv

Современное SSL/TLS шифрование немыслимо без совершенной прямой секретности — PFS, поэтому создадим файл с параметрами Диффи-Хеллмана:

openssl dhparam -out /etc/ocserv/dh.pem 3072

На этом настройка работы с Let’s Encrypt закончена, можно переходить к настройке OpenConnect.

Создание самоподписанного сертификата

Если вы по каким-либо причинам не хотите использовать Let’s Encrypt, то можете выпустить самоподписанный сертификат. Вопреки распространенному мнению, самоподписанные сертификаты ни в чем не уступают «настоящим» и за безопасность соединения можете не беспокоиться. Но для них становится актуальным вопрос доверия, чтобы системы доверяли вашему сертификату вам придется установить на них сертификат вашего CA как доверенный корневой сертификат.

Установим пакет инструментов certtool:

apt install gnutls-bin

Наличие своего CA диктует особые требования по безопасности, закрытый ключ центра сертификации не должен быть доступен третьим лицам, так как при его компрометации компрометируются все выпущенные сертификаты. Поэтому хранить его мы будем в домашней директории root и никто, кроме суперпользователя не будет иметь туда доступ.

Прежде всего изменим маску системы, что автоматически обеспечит нужные права на создаваемые объекты:

umask 077Затем создадим директорию для хранения файлов СА и перейдем в нее:

mkdir /root/pki
cd /root/pki

Создадим шаблон для корневого сертификата CA:

nano ca.tmpl

И внесем в него следующий текст:

cn = «H&H CA»
organization = «Horns & Hooves Inc»
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key

В поле cn вводим имя нашего удостоверяющего центра, в поле organization — название организации, expiration_days — срок действия сертификата, в нашем случае 10 лет.

Затем создадим шаблон сертификата сервера:

nano server.tmpl

И внесем в него текст:

cn = «ocserv.horns-and-hooves.lab»
organization = «Horns & Hooves Inc»
serial = 2
expiration_days = 3650
signing_key
encryption_key
tls_www_server
dns_name = «ocserv.horns-and-hooves.lab» Где cn — имя сервера, указываем доменное имя, organization — название организации, expiration_days — срок действия сертификата, снова 10 лет, dns_name — FQDN сервера и если в cn можно в принципе вписать все что угодно, то в этой опции должно быть именно полное доменное имя сервера, по которому вы будете к нему подключаться.

Если вместо домена вы используете IP-адрес, то замените эту опцию на:

ip_address = «x.x.x.x»Также можете сочетать обе опции. Хотя использовать IP-адреса в SSL-шифровании считается дурным тоном.

Теперь создадим ключевую пару CA:

certtool —generate-privkey —outfile ca.key
certtool —generate-self-signed —load-privkey ca.key —template ca.tmpl —outfile ca.pem

Закрытый ключ ca.key является секретным и никогда не должен покидать пределы этого расположения.

Теперь создадим ключевую пару сервера:

certtool —generate-privkey —outfile server.key
certtool —generate-certificate —load-privkey server.key —load-ca-certificate ca.pem —load-ca-privkey ca.key —template server.tmpl —outfile server.pem

А также файл параметров Диффи-Хеллмана:

certtool —generate-dh-params —outfile dh.pem

Затем скопируем нужные ключи и сертификаты в конфигурационную директорию OpenConnect:

cp ca.pem server.key server.pem dh.pem /etc/ocserv/

Также скопируем корневой сертификат CA в директорию обычного пользователя (в нашем случае это andrey) и сделаем его владельцем файла:

cp ca.pem ~andrey/ca.crt
chown andrey:andrey ~andrey/ca.crt

Затем вернем маску к нормальному состоянию:

umask 022

Самоподписанный сертификат создан, можно переходить к настройке сервера.

Настройка OpenConnect VPN-сервера

OpenConnect предлагает достаточно широкие возможности, но всему свое время, ниже мы рассмотрим самую простую конфигурацию, которую можно использовать для удаленного доступа или выхода в интернет с аутентификацией по логину и паролю. Все настройки сосредоточены в файле /etc/ocserv/ocserv.conf, все опции будут приведены в порядке следования в файле.

Прежде всего закомментируем опцию:

#auth = «pam»

И приведем к следующему виду опцию:

auth = «plain[passwd=/etc/ocserv/ocserv.passwd]»

Этим мы включаем аутентификацию по логину и паролю для пользователей перечисленных в файле ocserv.passwd, вас не должна смущать опция plain, аутентификация производится после установления защищенного SSL-соединения и безопасности данных ничего не угрожает.

Следующие опции задают порты, на которых принимает соединения OpenConnect, можете изменить их, но практического смысла в этом нет, так как SSL VPN должен быть максимально похож на обычный HTTPS, в этих целях можно отключить UDP, но лучше это делать на клиенте.

tcp-port = 443
udp-port = 443

Ниже указываем пути к ключевой паре сервера:

server-cert = /etc/ocserv/server.pem
server-key = /etc/ocserv/server.key

Затем к файлу параметров Диффи-Хеллмана:

dh-params = /etc/ocserv/dh.pem

И к корневому сертификату CA:

ca-cert = /etc/ocserv/ca.pem

Если вы получили сертификат от Let’s Encrypt, то измените значение опций на следующие:

server-cert = /etc/letsencrypt/live/ocserv.horns-and-hooves.lab/fullchain.pem
server-key = /etc/letsencrypt/live/ocserv.horns-and-hooves.lab/privkey.pem

Опцию ca-cert следует закомментировать:

#ca-cert

Следующие параметры задают максимальное количество подключений к серверу и количество одновременных подключений с одними и теми же учетными данными, установите их исходя из собственных потребностей:

max-clients = 16
max-same-clients = 2

Затем раскомментируйте опции отвечающие за сжатие трафика:

compression = true
no-compress-limit = 256

А теперь одна из самых интересных опций, отвечающая за предлагаемый клиентам набор шифров, в Debian 11 он выглядит следующим образом:

tls-priorities = «NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128»

В целом настройка нормальная, отключены слабые SSL 3.0 и RC4, включена прямая совершенная секретность (по согласованию), но лучше выставить более современные настройки, отключив все версии SSL и TLS ниже TLS 1.2:

tls-priorities = «NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-ALL:+VERS-TLS1.2:-ARCFOUR-128»

Теперь о безопасности, OpenConnect умеет отслеживать попытки подбора паролей и успешно блокировать их, за это отвечают следующие опции:

max-ban-score = 80
ban-reset-time = 300
ban-points-wrong-password = 10
ban-points-connection = 1

Система построена на принципе подсчета очков, за каждый неправильный ввод пароля начисляется сразу 10 очков, это задано опцией ban-points-wrong-password, а при каждом успешном коннекте убирается только одно очко, это задано в опции ban-points-connection, порог, при котором происходит бан и его время задается в max-ban-score и ban-reset-time.

По умолчанию порог в 80 очков, может показаться что это много. Но давайте посмотрим, как работает система: после 8 неудачных попыток входа пользователь будет заблокирован на 5 минут (300 сек), при каждой последующей попытке бан будет снова и снова продлеваться. Чтобы получить шанс на еще один неправильный ввод пароля, после 8 неудачных попыток, потребуется 10 раз успешно аутентифицироваться на сервере.

После этого перейдем к сетевым настройкам, прежде всего зададим диапазон адресов для выдачи клиентам:

ipv4-network = 10.30.1.0/24Если мы хотим завернуть в туннель все DNS-запросы, то следует указать опции:

tunnel-all-dns = true
dns = 8.8.8.8
dns = 8.8.4.4

Смысл настройки понятен, все запросы будут направлены на серверы, указанные в параметре dns.

Но чаще встречается иная ситуация, когда нужно направить запросы к отдельным DNS-зонам на собственные DNS-сервера, причем зона может быть в несуществующей зоне типа local или office. Тогда конфигурируем DNS иным образом:

dns = 192.168.72.100
dns = 192.168.72.101
split-dns = office.local

Здесь в опции dns мы указываем локальные сервера в сети офиса, а в split-dns — зоны, запросы к которым следует направлять указанным серверам. Каждый параметр можно указывать несколько раз.

Теперь о маршрутизации, OpenConnect умеет передавать на клиента маршрутную информацию. Если мы хотим завернуть весь трафик в туннель укажите:

route = default

Эта опция автоматически активирует:

tunnel-all-dns = true

Вне зависимости от того, что указано в конфиге.

Если же нам нужно обеспечить доступ в сеть за VPN-сервером, то укажем эту сеть в опции:

route = 192.168.72.0/24

Таких опций можно указать несколько, по количеству сетей.

Также интересна опция no-route, она позволяет создать исключение в правилах маршрутизации, скажем вы можете завернуть в туннель все сети 192.168.0.0/16 и исключить оттуда подсеть:

no-route = 192.168.100.0/24Остальные опции можно оставить без изменения, сохраняем файл конфигурации и перезапускаем службу.

systemctl restart ocserv

Сервер успешно установлен и настроен, можно переходить к созданию пользователей и настройке клиентов. Обратите внимание, что для работы сервера нужно открыть порты 443 TCP и 443 UDP.

Создание пользователей OpenConnect

Для создания клиентов воспользуемся утилитой ocpasswd:

ocpasswd -c /etc/ocserv/ocserv.passwd ivanov

Если файл не существует, то при первом выполнении команды он будет создан.

Для блокировки пользователя используйте:

ocpasswd -c /etc/ocserv/ocserv.passwd -l ivanov

Для разблокировки:

ocpasswd -c /etc/ocserv/ocserv.passwd -u ivanov

Для удаления пользователя выполните команду:

ocpasswd -c /etc/ocserv/ocserv.passwd -d ivanov

Файл с паролями читается динамически, перезапуск сервера после операций с пользователями не нужен.

Настройка клиента OpenConnect в Windows

Если вы используете самоподписанный сертификат, то прежде всего следует скачать с сервера корневой сертификат CA — ca.crt и щелкнув на него два раза установить в хранилище Локальный компьютер — Доверенные корневые центры сертификации.

Затем следует скачать и установить официальный клиент OpenConnect, это не должно вызвать каких-либо затруднений. Запускаем приложение и выпадающем меню напротив поля Server выбираем New Profile.

В поле Gateway прописываем адрес нашего сервера с явным указанием протокола: https://ocserv.horns-and-hooves.lab

Больше никаких настроек не требуется, при подключении потребуется указать только логин и пароль. Просто? Да, при необходимости с подключением справится средней руки пользователь, особенно если снабдить его подробной инструкцией.

При желании можете открыть свойства подключения и установить там дополнительные опции:

Например, вы можете отключить протокол UDP, чтобы совсем никак не отличаться от HTTPS-трафика, либо настроить работу через прокси, при это используются системные настройки прокси-сервера.

Настройка клиента Cisco AnyConnect в Windows

Для самоподписанного сертификата также установите корневой сертификат CA, как это сделать — написано в предыдущем разделе. Затем следует получить и установить клиент Cisco AnyConnect, проще всего это сделать через магазин Windows.

После установки можно открыть одноименное приложение, но особого смысла делать этого нет, при нажатии на кнопку Manage VPN вы попадете в стандартную системную оснастку для управления VPN-подключениями.

Можно сразу пойти туда и создать новое подключение, все что вам необходимо — это выбрать поставщика услуг VPN AnyConnect и указать адрес сервера через https://.

Управление подключением также происходит стандартными инструментами. Это может быть удобнее для пользователей, так как не нужно запускать сторонний клиент. Единственное, что можно посмотреть в родном приложении — это параметры установленного подключения.

При этом никаких дополнительных действий при использовании обоих клиентов делать не нужно, они сами выполняют настройку сетевых параметров клиента, например, прописывают маршруты до указанных сетей. Пользователь может быстро и просто настроить подключение и сразу же начать работу с ресурсами удаленной сети.

Настройка клиента OpenConnect в Linux

И снова начнем с самоподписанного сертификата, будем считать, что он скачан и находится в домашней директории пользователя. Обратите внимание — расширение сертификата обязательно должно быть .crt.

Откроем консоль и повысим права пользователя до root, в Ubuntu это можно сделать командой:

sudo -sВ Debian, если не установлен sudo:

su —

Затем создадим директорию для корневых сертификатов нашего предприятия, название может быть произвольным:

mkdir /usr/share/ca-certificates/H&HИ скопируем в нее сертификат:

cp ~andrey/ca.crt /usr/share/ca-certificates/H&H/ca-ocserv.crt

Где ~andrey означает домашнюю директорию пользователя andrey, также мы переименовали сертификат при копировании, дав ему более понятное имя.

Теперь установим его в хранилище корневых сертификатов:

dpkg-reconfigure ca-certificates

В первом окне укажите что вы доверяете новым сертификатам:

Во втором не забудьте выбрать добавленный нами сертификат:

Если вы используете Let’s Encrypt, то производить описанные выше действия не нужно.

Затем установим клиент OpenConnect и плагин для NetworkManager:

apt install network-manager-openconnect-gnome

Точнее мы устанавливаем только плагин, все остальные пакеты, включая клиент, будут установлены по зависимостям.

Теперь можно создать новое подключение средствами NetworkManager.

Все, что вам понадобится указать в настройках — это адрес сервера в поле Шлюз.

Затем вам останется только ввести логин и пароль при подключении, а также, по желанию, установить флаг Save passwords. На красный восклицательный знак и 404 ошибку можете не обращать внимания.

И хотя мы рассматривали в качестве примера Ubuntu, процесс настройки в иных дистрибутивах будет аналогичный, если там используется NetworkManager. Более того, во многих системах, например, Kubuntu, ROSA или Simply Linux плагин для поддержки OpenConnect уже установлен.

Виртуальные частные сети VPN

Virtual private network — именно так расшифровывается аббревиатура VPN. Всем кто собирается работать в области шифрования и защиты информации в современных сетях, нужно знать и понимать принцип работы данной технологии.

Ее суть в том, чтобы создать виртуальный канал, на основе сети общего пользования, который бы использовался для передачи данных, и соответствовал всем необходимым параметрам безопасности, схожим по этим показателям с выделенным каналом связи.

Для начала, давайте посмотрим, какие реализации этой технологии существуют:

• Внутрикорпоративные сети VPN — если территориально сегменты сети одной компании, расположены в дали друг от друга, для их соединения используется один VPN канал — зашифрованное соединение между двумя сегментами.
• Межкорпоративные сети VPN — в том случае, если разные организации имеют необходимость обмениваться информацией, между ними их сетями создается VPN канал.
• VPN-сети удаленного доступа — данным тип виртуального канала используется в том случае, если необходимо подключить отдельный компьютер (чаще всего домашний), в общую корпоративную сеть.

Все три типа VPN соединений, представлены на рисунке ниже:

Что необходимо для построения VPN сети

Если нам необходимо соединить два сегмента сети посредством шифрованного VPN туннеля, то нам понадобятся два маршрутизатора Cisco Systems, с соответствующими платами расширения и версией программного обеспечения IoS. Проще говоря — нам нужны два маршрутизатора, которые способны работать с технологиями VPN и IPsec. Используя их, мы создаем и настраиваем шифрованный канал, таким образом, реализуя безопасную передачу данных между двумя сетевыми сегментами.

В том случае, если мы хотим создать частное VPN подключение, чтобы соединить домашний компьютер с корпоративной сетью, нам понадобится программный VPN клиент. Его необходимо запустить, настроить соответствующим образом, и с его помощью подключиться к корпоративной сети. В ней, в свою очередь, должен стоять соответствующим образом настроенный маршрутизатор.

VPN сети на основе IPsec

Технология Ip security — безопасная передача данных по протоколу IP, или сокращенно IPsec, включает в себя набор протоколов и стандартов, которые используются для защиты передаваемых данных. Для создания зашифрованного VPN канала, мы выбираем подходящие технологии IPsec, и на выходе получаем безопасное соединение.

Давайте рассмотрим основные составляющие.

Шифрование в IPsec

В основе процесса шифрование в технологии IPsec лежит использование математических формул и алгоритмов. По сути, объяснять их подробно нет необходимости, нужно лишь понять принцип их работы. Схематично он выглядит следующим образом:

Давайте посмотрим, какие этапы шифрование здесь отображены:

• Этап 1 — имеется VPN сеть. Устройство, которое отправляет данные, использует формулу для шифрования, подставляя в нее ключ шифрования и все необходимые данные
• Этап 2 — данные, которые были зашифрованы, помешаются в новый ip пакет, в котором присутствуют все необходимые данные для пересылки по VPN каналу
• Этап 3 — данный пакет пересылается через защищенное соединение
• Этап 4 — на основе выбранной формулы шифрования, устройство получатель раскодирует полученные данные, и сможет использовать их по назначению

Данные этапы универсальны, разница лишь в используемых алгоритмах шифрования:

Передача ключей шифрования в IPsec

На данный момент, для обмена ключами шифрования между устройствами cisco, используется алгоритм Диффи-Хеллмана — DH. На основе этого алгоритма, два устройства, между которыми настроек безопасный VPN туннель, динамически генерируют ключи шифрования, и передают их по сети.

Основной параметр в данном алгоритме, разрядность ключа в битах.

• Алгоритм DH-1 — ключ 768 бит
• Алгоритм DH-2 — ключ 1024 бит
• Алгоритм DH-3 — ключ 1536 бит

Целостность данных и процесс аутентификации в IPsec

Для прохождения процедуры аутентификации, устройство отправитель рассчитывает небольшое уникальное число, по определенным математическим формулам. Результат называет хеш-кодом, который помещается в передаваемый зашифрованный пакет. Устройство получатель в свою очередь расшифровывает пакет, и сравнивает значение хеш-кода. Если он соответствует действительности, значит отправка произошла из доверенного места, а данные достоверны и надежны.

Настройка IPsec VPN туннеля на маршрутизаторе cisco

Давайте попробуем настроить VPN на маршрутизаторе.

IKE

Настройка ISAKMP Policy

Router-primer(config)#crypto isakmp enable
Router-primer(config)#crypto isakmp policy 110
Router-primer(config-isakmp)#authentication pre-share
Router-primer(config-isakmp)#encryption 3des
Router-primer(config-isakmp)#group 2
Router-primer(config-isakmp)#hash md5
Router-primer(config-isakmp)#lifetime 36000

Pre-shared key

Настройка ключей шифрования

Router-primer(config)#crypto isakmp key 0 password address 192.168.10.10

Отправляющее устройство передает параметры шифрования, а получатель сравнивает их, и при совпадении инициирует соединение.

transform set

Настраиваем IPsec transform set

Router-primer(config)#crypto ipsec transform-set SNRS esp-des
Router-primer(cfg-crypto-trans)#mode tunnel
Router-primer(cfg-crypto-trans)#end

Crypto map

Настраиваем crypto map
Router-primer(config)#crypto map SNRS-MAP 10 ipsec-isakmp
Router-primer(config-crypto-map)#match address 101
Router-primer(config-crypto-map)#set transform-set SNRS
Router-primer(config-crypto-map)#set peer 192.168.10.10

и включаем его на интерфейсе

Router-primer(config-if)#crypto map SNRS-MAP

Списки контроля доступа

Настраиваем ACL

Router-primer(config)#ip access-list extended 101
Router-primer(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255

Способ первый. Тоннельные интерфейсы.

Подходит в тех случаях, когда тоннель создается между двумя маршрутизаторами Cisco. Прост и удобен в настройке и использовании. Важно напомнить, что внешние адреса постоянны и статически выдаются провайдером связи в обоих способах.
Создадим виртуальный тоннель, который будет использоваться для прохождения трафика между площадками.

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
crypto ipsec df-bit clear
crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Ключ шифрования должен быть одинаковым на обоих маршрутизаторах. Рекомендую сделать его не менее 50 символов так, чтобы в него  входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра 0 стоит не просто так, а обозначает, что ключ вводится в незашифрованном виде, и ее трогать не следует. При просмотре конфигурации 0 может (но необязательно) измениться на 7 и ключ будет записан в зашифрованном виде. Например
R-MAIN#sh run
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
Это не значит, что он изменился, а значит, что он отображается(!) в зашифрованном виде.
Обратите внимание, что в каждом офисе мы указываем внешний адрес соседней площадки.

Шаг 3. Создание тоннельных интерфейсов

На каждом маршрутизаторе создаем виртуальный тоннельный интерфейс.
В главном офисе:
R-MAIN(config)#
interface Tunnel1
description Link to R-BRANCH
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet 0/0
tunnel destination 2.2.2.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.1 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 0/0 — собственный внешний интерфейс маршрутизатора
tunnel destination 2.2.2.2 —  внешний адрес маршрутизатора дополнительного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Важно!
Если после ввода последних 2ух строк у вас появились сообщения об ошибках и маршрутизатор не  принимает эти команды, то удалите профиль шифрования командой
no crypto ipsec profile VTI_PROF
На Вашем маршрутизаторе с текущей версией операционной системы IOS не получится воспользоваться этим способом. Переходите к способу 2.

В дополнительном офисе
R-BRANCH(config)#
interface Tunnel1
description Link to R-MAIN
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet 4
tunnel destination 1.1.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.2 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 4  — собственный внешний интерфейс маршрутизатора
tunnel destination 1.1.1.2 —  внешний адрес маршрутизатора главного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Если все 3 шага выполнены корректно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой.
R-MAIN# sh inter tun 1
Tunnel1 is up, line protocol is up

Шаг 4. Проверка работы VPN тоннеля

Проверяем работоспособность тоннеля запустив ping до соседнего адреса тоннеля. Например из головного офиса:
R-MAIN#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/17/20 ms
Дополнительно убеждаемся, что пакеты проходят именно через защищенный тоннель командой sh cry ips sa peer 2.2.2.2
R-MAIN#sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
Последние две строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил и расшифровал. Эти счетчики будут срабатывать каждый раз, когда какой-либо пакет будет проходить по тоннелю между нашими маршрутизаторами.

Шаг 5. Маршрутизация

Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации на каждом устройстве.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 10.0.0.2
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 10.0.0.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Способ второй. Универсальный

Подходит, когда требуется сделать тоннель между маршрутизатором и Cisco ASA или любым другим устройством, поддерживающим ipsec vpn, не обязательно Cisco.  Настройки параметров шифрования, ключей, маршрутизации на другом стороне будут одинаковы по сути, но различны по командам/отображению. Для простоты и лучшего понимания рассмотрим пример с теми же двумя маршрутизаторами, которые были рассмотрены выше.

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
crypto ipsec df-bit clear
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Задаем ключ шифрования. Он будет одинаковым для обоих участников защищенного тоннеля. Рекомендую сделать его не менее 50 символов так, чтобы в него  входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра 0 стоит не просто так, обозначает, что ключ вводится в первозданном виде, и ее трогать не следует. При просмотре конфигурации 0 может измениться (но необязательно) на 7 и ключ будет записан в ином виде. Например
R-MAIN#sh run
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
Это не значит, что он изменился, а значит, что он отображается в зашифрованном виде.
Обратите внимание, что в каждом офисе указывается внешний адрес соседней площадки.

Шаг 3. Объекты шифрования

Указываем трафик, который подлежит шифрованию. В нашем случае – это трафик между сетью 192.168.10.0 /24 головного офиса и сетью 192.168.20.0 /24 дополнительного офиса. Для этого создаем соответствующий список доступа на каждой площадке:
В головном офисе
R-MAIN(config)#
Ip access-list extended ACL_CRYPTO_DO
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
В дополнительном офисе
R-BRANCH(config)#
Ip access-list extended ACL_CRYPTO_MAIN
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Шаг 4. Политика шифрования

На каждой площадке создаем политику шифрования (crypto map), в которой указываем все правила и параметры шифрования
В головном офисе
R-MAIN(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_DO
В дополнительном офисе:
R-BRANCH(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_MAIN
После этого crypto map должны быть привязана к внешнему интерфейсу.
В головном офисе
R-MAIN(config)#
Interface FastEthernet0/1
crypto map CRYPTO_MAP
В дополнительном офисе:
R-BRANCH(config)#
Interface Fa 4
crypto map CRYPTO_MAP

Шаг 5. Маршрутизация

Для того чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации для каждого устройства. Удаленные сети должны быть доступны через шлюзы провайдеров сети Интернет.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 1.1.1.1
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 2.2.2.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Шаг 6. Проверка работы тоннеля

Проверяем работоспособность тоннеля, запустив ping с одного устройства внутри локальной сети до одного из адресов соседней площадки. Например, из головного офиса до какого-то компьютера из сети дополнительного офиса:
R-MAIN#ping 192.168.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/17/20 ms
После этого убеждаемся, что пакеты проходят именно через тоннель
R-MAIN#sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
Указанные строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил. Эти счетчики будут срабатывать каждый раз, когда какой-либо трафик будет проходить между нашими маршрутизаторами.
Этот способ чаще требует вмешательства со стороны администратора для внесения изменений в конфигурации устройств и требует больше внимательности при настройке. Степень защищенности трафика одинакова в обоих приведенных способах.

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.

Table Of Contents

Cisco IOS SSL VPN

Cisco IOS SSL VPN links on Cisco.com

Create SSL VPN

Persistent Self-Signed Certificate

Welcome

SSL VPN Gateways

User Authentication

Configure Intranet Websites

Add or Edit URL

Customize SSL VPN Portal

SSL VPN Passthrough Configuration

User Policy

Details of SSL VPN Group Policy: Policyname

Select the SSL VPN User Group

Select Advanced Features

Thin Client (Port Forwarding)

Add or Edit a Server

Learn More about Port Forwarding Servers

Full Tunnel

Locating the Install Bundle for Cisco SDM

Enable Cisco Secure Desktop

Common Internet File System

Enable Clientless Citrix

Summary

Edit SSL VPN

SSL VPN Context

Designate Inside and Outside Interfaces

Select a Gateway

Context: Group Policies

Learn More About Group Policies

Group Policy: General Tab

Group Policy: Clientless Tab

Group Policy: Thin Client Tab

Group Policy: SSL VPN Client (Full Tunnel) Tab

Advanced Tunnel Options

Learn More About Split Tunneling

DNS and WINS Servers

Context: HTML Settings

Select Color

Context: NetBIOS Name Server Lists

Add or Edit a NetBIOS Name Server List

Add or Edit an NBNS Server

Context: Port Forward Lists

Add or Edit a Port Forward List

Context: URL Lists

Add or Edit a URL List

Context: Cisco Secure Desktop

SSL VPN Gateways

Add or Edit a SSL VPN Gateway

Packages

Install Package

Cisco IOS SSL VPN Contexts, Gateways, and Policies

How Do I…

How do I verify that my Cisco IOS SSL VPN is working?

How do I configure a Cisco IOS SSL VPN after I have configured a firewall?

How do I associate a VRF instance with a Cisco IOS SSL VPN context?

Cisco IOS SSL VPN

Cisco IOS SSL VPN provides Secure Socket Layer (SSL) VPN remote-access connectivity from almost any Internet-enabled location using only a web browser and its native SSL encryption. This enables companies to extend their secure enterprise networks to any authorized user by providing remote-access connectivity to corporate resources from any Internet-enabled location.

Cisco IOS SSL VPN also enables access from noncorporate-owned machines, including home computers, Internet kiosks, and wireless hotspots, where an IT department cannot easily deploy and manage the VPN client software necessary for IPsec VPN connections.

There are three modes of SSL VPN access: clientless, thin-client and full-tunnel client. Cisco SDM supports all three. Each mode is described below:

•Clientless SSL VPN—Clientless mode provides secure access to private web resources and will provide access to web content. This mode is useful for accessing most content that you would expect to use within a web browser, such as intranet access, and online tools that employ a web interface.

•Thin Client SSL VPN (port-forwarding Java applet)—Thin Client mode extends the capability of the cryptographic functions of the web browser to enable remote access to TCP-based applications such as POP3, SMTP, IMAP, Telnet, and SSH.

•Full Tunnel Client SSL VPN—Full tunnel client mode offers extensive application support through its dynamically downloaded SSL VPN client software for Cisco IOS SSL VPN. With the Full tunnel Client for Cisco IOS SSL VPN, we delivers a lightweight, centrally configured and easy-to-support SSL VPN tunneling client that allows network layer connectivity access to virtually any application.

Cisco IOS SSL VPN Contexts, Gateways, and Policies describes how the components of a Cisco IOS SSL VPN configuration work together.

Click Cisco IOS SSL VPN links on Cisco.com for links to Cisco IOS SSL VPN documents.

Cisco IOS SSL VPN links on Cisco.com

This help topic lists the current links that provide the most useful information on Cisco IOS SSL VPN.

The following link provides access to documents that describe Cisco IOS SSL VPN. Return to this link from time to time for the latest information.

www.cisco.com/go/iosSSLVPN

The following link explains how to configure a AAA server using the RADIUS protocol for Cisco IOS SSL VPN.

http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a00805eeaea.html#wp1396461

Create SSL VPN

You can use Cisco IOS SSL VPN wizards to create a new Cisco IOS SSL VPN or to add new policies or features to an existing Cisco IOS SSL VPN.

Click Cisco IOS SSL VPN to get an overview of the features that Cisco SDM supports. Cisco IOS SSL VPN Contexts, Gateways, and Policies describes how the components of a Cisco IOS SSL VPN configuration work together.

Click Cisco IOS SSL VPN links on Cisco.com for links to Cisco IOS SSL VPN documents.

Prerequisite Tasks

AAA and certificates must be configured on the router before you can begin a Cisco IOS SSL VPN configuration. If either or both of these configurations are missing, a notification appears in this area of the window, and a link is provided that enables you to complete the missing configuration. When all prerequisite configurations are complete, you can return to this window and start configuring Cisco IOS SSL VPN.

Cisco SDM enables AAA without user input. Cisco SDM can help you generate public and private keys for the router, and enroll them with a certification authority to obtain digital certificates. See Public Key Infrastructure for more information. Alternatively, you can configure a persistent self-signed certificate that does not require approval by a CA. For more information on the persistent self-signed certificate feature, see the information at this link:

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008040adf0.html#wp1066623

Make sure that the entire URL is present in the link field in your browser.

Create a new SSL VPN

Select this option to create a new Cisco IOS SSL VPN configuration. This wizard enables you to create a Cisco IOS SSL VPN with one user policy and a limited set of features. After you complete this wizard, you can use the other wizards to configure addition policies and features for the Cisco IOS SSL VPN. You can return to this wizard to create additional Cisco IOS SSL VPN configurations.

When you use Cisco SDM to create the first Cisco IOS SSL VPN configuration on a router, you create a Cisco IOS SSL VPN context, configure a gateway, and create a group policy. After you complete the wizard, click Edit SSL VPN to view the configuration and familiarize yourself with how Cisco IOS SSL VPN components work together. For information that will help you understand what you see, click Cisco IOS SSL VPN Contexts, Gateways, and Policies.

Add a new policy to an existing SSL VPN for a new group of users

Select this option to add a new policy to an existing Cisco IOS SSL VPN configuration for a new group of users. Multiple policies allow you to define separate sets of capabilities for different groups of users. For example, you might define a policy for engineering, and a separate policy for sales.

Configure advanced features for an existing SSL VPN

Select this option to configure additional features for an existing Cisco IOS SSL VPN policy. You must specify the context under which this policy is configured.

Launch the selected task button

Click to begin the configuration that you selected. You will receive a warning message if you cannot complete the task that you chose. If there is a prerequisite task that you need to complete, you will be told what it is and how to complete it.

Persistent Self-Signed Certificate

You can provide the information for a persistent self-signed certificate in this dialog. Using the information that you provide, the HTTPS server will generate a certificate that will be used in the SSL handshake. Persistent self-signed certificates remain in the configuration even if the router is reloaded, and are presented during the SSL handshake process. New users must manually accept these certificates, but users who have previously done so do not have to accept them again if the router was reloaded.

For more information on the persistent self-signed certificate feature, see the information at this link:

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008040adf0.html#wp1066623

Make sure that the entire URL is present in the link field in your browser.

Name

Cisco SDM places the name Router_Certificate in this field. You can change the name if you want to do so. This corresponds to the subject name that would be used in a certificate request.

Length of RSA Key

Cisco SDM places the value 512 in this field. You can specify a longer key, such as 1024, if you want to do so. The key length should be a multiple of 64.

Subject

Provide the information for the fields in the subject area. For more information on these fields, see the information in Other Subject Attributes.

Generate Button

After providing the information in this window, click Generate to have the router create the persistent self-signed certificate.

Welcome

The Welcome window for each wizard lists the tasks that the wizard enables you to complete. Use this information to ensure that you are using the correct wizard. If you are not, click Cancel to return to the Create SSL VPN window and choose the wizard that you want to use.

When you provide all the information asked for by the wizard, the Summary window displays the information that you provided. To see the Cisco IOS CLI commands that you are delivering to the router, click Cancel to leave the wizard, and go to Edit > Preferences, and check Preview commands before delivering to router. Then restart the wizard and provide the information that it asks for. When you deliver the configuration to the router, an additional window is displayed that allows you to view the Cisco IOS CLI commands you are delivering.

SSL VPN Gateways

A Cisco IOS SSL VPN gateway provides the IP address and the digital certificate for the SSL VPN contexts that use it. You can provide the information for a gateway in this window, and the information that will allow users to access a portal.

IP Address and Name Fields

Use these fields to create the URL that users will enter to access the Cisco IOS SSL VPN portal. The IP address list contains the IP addresses of all configured router interfaces, and all existing Cisco IOS SSL VPN gateways. You can use the IP address of a router interface if it is a public address that the intended clients can reach, or you can use another public IP address that the clients can reach.

If you use an IP address that has not already been used for a gateway, you create a new gateway.

Allow Cisco SDM access through IP Address Checkbox

Check if you want to continue to access Cisco SDM from this IP address. This checkbox appears if you entered the IP address you are currently using to access Cisco SDM.

Note If you check this checkbox, the URL that you must use to access Cisco SDM changes after you deliver the configuration to the router. Review the information area at the bottom of the window to learn which URL to use. Cisco SDM places a shortcut to this URL on the desktop of your PC that you can use to access Cisco SDM in the future.

Digital certificate

If you are creating a new gateway, select the digital certificate that you want the router to present to clients when they log in to the gateway. If you chose the IP address of an existing gateway, the router will use the digital certificate configured for that gateway, and this field is disabled.

Information area

When you provide the information in the IP Address and Name fields, this area contains the URL that users will enter. You must provide this URL to the users for whom you are creating this Cisco IOS SSL VPN.

If you checked Allow Cisco SDM access through IP address, the URL that you must use in the future to access Cisco SDM is shown in this area. Cisco SDM places a shortcut to this URL on the desktop of your PC after you deliver the Cisco IOS SSL VPN configuration to the router.

User Authentication

Use this window to specify how the router is to perform user authentication. The router can authenticate Cisco IOS SSL VPN users locally, or it can send authentication requests to remote AAA servers.

External AAA server Button

Click if you want the router to use an AAA server to authenticate Cisco IOS SSL VPN users. The router will use the AAA servers that are listed in this window. If there are no AAA servers configured, you can configure them in this window. To use this option, there must be at least one AAA server configured on the router.

Locally on this router Button

Click if you want the router to authenticate users itself. The router will authenticate each user displayed in this window. If no users are configured on the router, you can add users in this window.

First on an external AAA server and then locally on this router Button

Click if you want the router to authenticate using a AAA server first, and if authentication fails, to attempt local authentication. If the user is not configured on either a configured AAA server or locally on the router, authentication for that user fails.

Use the AAA authentication method list Button

Click if you want the router to use a method list for authentication. A method list contains the authentication methods that should be used. The router attempts the first authentication method in the list. If authentication fails, the router tries the next method in the list and continues until the user is authenticated, or until it reaches the end of the list.

AAA servers configured for this router List

This list contains the AAA servers that the router uses to authenticate users. If you choose to authenticate users with AAA servers, this list must contain the name or IP address of at least one server. Use the Add button to add information for a new server. To manage AAA configurations on the router, leave the wizard, click Additional Tasks, and then click the AAA node in the Additional Tasks tree. This list does not appear if you have chosen Locally on this router.

Create user accounts locally on this router

Enter the users that you want the router to authenticate in this list. Use the Add and Edit buttons to manage the users on the router. This list does not appear if you chose External AAA server.

Configure Intranet Websites

Configure groups of intranet websites that you want users to have access to in this window. These links will appear in the portal that the users of this Cisco IOS SSL VPN see when they log in.

Action and URL List Columns

If you are adding a policy to an existing Cisco IOS SSL VPN context, there may be URL lists present in the table that is displayed. Check Select if you want to use a displayed URL list for the policy.

To create a new list, click Add and provide the required information in the dialog displayed. Use the Edit and Delete keys to change or remove URL lists in this table.

Add or Edit URL

Add or edit the information for a Cisco IOS SSL VPN link in this window.

Label

The label appears in the portal that is displayed when users log in to the Cisco IOS SSL VPN. For example, might use the label Payroll calendar if you are providing a link to the calendar showing paid holidays and paydays.

URL Link

Enter or edit the URL to the corporate intranet website that you want to allow users to visit.

Customize SSL VPN Portal

The settings that you make in this portal determine the appearance of the portal. You can select among the predefined themes listed, and obtain a preview of the portal as it would appear if that theme were used.

Theme

Select the name of a predefined theme.

Preview

This area shows what the portal looks like with the selected theme.You may want to preview several themes to determine which one you want to use.

SSL VPN Passthrough Configuration

In order for users to be able to connect to the intranet, access control entries (ACE) must be added to firewall and Network Access Control (NAC) configurations to permit SSL traffic to reach the intranet. Cisco SDM can configure these ACE for you, or you can configure them yourself by going to Firewall and ACL > Edit Firewall Policy/ACL and making the necessary edits.

If you are working in the Cisco IOS SSL VPN wizard, click Allow SSL VPN to work with NAC and Firewall if you want Cisco SDM to configure these ACEs. Click View Details to view the ACEs that Cisco SDM would create. An entry that Cisco SDM adds might look like this example:

permit tcp any host 172.16.5.5 eq 443

If you are editing a Cisco IOS SSL VPN context, Cisco SDM displays the affected interface and ACL that is applied to it. Click Modify to allow Cisco SDM to add entries to the ACL to allow SSL traffic to pass through the firewall. Click Details to view the entry that Cisco SDM adds. The entry will be one similar to the one already shown.

User Policy

This window allows you to choose an existing Cisco IOS SSL VPN and add a new policy to it. For example, you might have created a Cisco IOS SSL VPN named Corporate, and you want to define intranet access for a new group of users that you name Engineering.

Select existing SSL VPN

Choose the Cisco IOS SSL VPN for which you want to create a new group of users. The policies already configured for that Cisco IOS SSL VPN are displayed in a box under the list. You can click any of them to display the details of the policy. See Details of SSL VPN Group Policy: Policyname for more information.

Name of new policy

Enter the name that you want to give the new group of users. The area below this field lists the group policies that already exist for this Cisco IOS SSL VPN.

Details of SSL VPN Group Policy: Policyname

This window displays the details of an existing Cisco IOS SSL VPN policy.

Services

This area lists the services, such as URL mangling, and Cisco Secure Desktop, that this policy is configured for.

URLs exposed to users

This area lists the intranet URLs exposed to users who are governed by this policy.

Servers exposed to users

This area displays the IP addresses of the port forwarding servers that this policy is configured to use.

WINS servers

This area displays the IP addresses of the WINS servers that this policy is configured to use.

Select the SSL VPN User Group

Choose the Cisco IOS SSL VPN and associated user group for which you want to configure advanced services in this window.

SSL VPN

Choose the Cisco IOS SSL VPN that the user group is associated with from this list.

User Group

Choose the user group for which you will configure advanced features. The contents of this list is based on the Cisco IOS SSL VPN that you chose.

Select Advanced Features

Choose the features that you want to configure in this window. The wizard will display windows that allow you to configure the features that you choose.

For example, if you click Thin Client (Port Forwarding), Cisco Secure Desktop, and Common Internet File System (CIFS), the wizard will display configuration windows for these features.

You must choose at least one feature to configure.

Thin Client (Port Forwarding)

Remote workstations must sometimes run client applications to be able to communicate with intranet servers. For example Internet Mail Access Protocol (IMAP) or Simple Mail Transfer Protocol (SMTP) servers may require workstations to run client applications in order to send and receive e-mail. The Thin-Client feature, also known as port forwarding, allows a small applet to be downloaded along with the portal so that a remote workstation can communicate with the intranet server.

This window contains a list of the servers and port numbers configured for the intranet. Use the Add button to add a server IP address and port number. Use the Edit and Delete buttons to make changes to the information in this list and to remove information for a server.

The list that you build appears in the portal that clients see when they log in.

Add or Edit a Server

Add or edit server information in this window.

Server IP Address

Enter the IP address or hostname of the server.

Server port on which service is listening

Enter the port the server is listening on for this service. This may be a standard port number for the service, such as port number 23 for Telnet, or it may be a nonstandard port number for which a Port-to-Application Map (PAM) has been created. For example if you changed the Telnet port number on the server to 2323, and you created a PAM entry for that port on that server, you would enter 2323 in this window.

Port on Client PC

Cisco SDM enters a number in this field, beginning with the number 3000. Each time you add an entry, Cisco SDM increments the number by 1. Use the entries that Cisco SDM has placed in this field.

Description

Enter a description for the entry. For example, if you are adding an entry that enables users to telnet to a server at 10.10.11.2, you could enter «Telnet to 10.10.11.2.» The description you enter appears on the portal.

Learn More

Click this link for more information. You can view that information now by clicking Learn More about Port Forwarding Servers.

Learn More about Port Forwarding Servers

Port forwarding enables a remote Cisco IOS SSL VPN user to connect to static ports on servers with private IP addresses on the corporate intranet. For example, you can configure port forwarding on a router to give remote users Telnet access to a server on the corporate intranet. To configure port forwarding, you need the following information:

•The IP address of the server.

•The static port number on the server.

•The remote port number for the client PC. In the dialog, Cisco SDM supplies a port number that is safe to use.

To allow users to use Telnet to connect to a server with the IP address 10.0.0.100 (port 23) for example, you would create a port mapping entry with the following information:

Server IP address: 10.0.0.100

Server port on which user is connecting: 23

Port on client PC: Cisco SDM-supplied value. 3001 for this example.

Description: SSL VPN Telnet access to server-a. This description will be on the portal.

When the client’s browser connects to the gateway router, a portal applet is downloaded to the client PC. This applet contains the server’s IP address and static port number, and the port number that the client PC is to use. The applet does the following:

•Creates a mapping on the client PC that maps traffic for port 23 on 10.0.0.100 to the PC’s loopback IP address 127.0.0.1, port 3001.

•Listens on port 3001, IP address 127.0.0.1

When the user runs an application that connects to port 23 on 10.0.0.100, the request is sent to 127.0.0.1 port 3001. The portal applet listening on that port and IP address gets this request and sends it over the Cisco IOS SSL VPN tunnel to the gateway. The gateway router forwards it to the server at 10.0.0.100, and sends return traffic back to the PC.

Full Tunnel

Full tunnel clients must download the full tunnel software and obtain an IP address from the router. Use this window to configure the IP address pool that full tunnel clients will draw from when they log in and to specify the location of the full tunnel install bundle.

Note If the software install bundle is not already installed, there must be sufficient memory in router flash for Cisco SDM to install it after you complete this wizard.

Enable Full Tunnel Checkbox

Check to allow the router to download the full tunnel client software to the user’s PC, and to enable the other fields in this window.

IP Address Pool

Specify the IP address pool that full tunnel clients will draw from. You can enter the name of an existing pool in the field, or you can click the button to the right of the field and choose Select an existing IP pool to browse the list of pools, Choose Create a new pool and complete the dialog that is displayed to create a new pool. The address pool that you choose or create must contain addresses in the corporate intranet.

Keep the Full Tunnel Client software installed on client’s PC Checkbox

Check if you want the Full Tunnel software to remain on the client’s PC after they have logged off. If you do not check this checkbox, clients download the software each time they establish communication with the gateway.

Install Full Tunnel Client Checkbox

Check if you want to install the full tunnel client software at this time. You can also install the client software when editing this Cisco IOS SSL VPN.

The full tunnel client software must be installed on the router so that clients can download it to establish full-tunnel connectivity. If the Full Tunnel software was installed along with Cisco SDM, the path to it automatically appears in the Location field, as shown in Example 19-1.

Example 19-1 Full Tunnel Package Installed on Router

flash:sslclient-win-1.0.2.127.pkg

In Example 19-1, the Full Tunnel install bundle is loaded in router flash. If your router’s primary device is a disk or a slot, the path that you see will start with diskn or slotn.

If this field is empty, you must locate the install bundle so that Cisco SDM can load it onto the router primary device, or download the software install bundle from Cisco.com by clicking on the Download latest… link at the bottom of the window. This link takes you to the following web page:

http://www.cisco.com/cgi-bin/tablebuild.pl/sslvpnclient

Note You may need a CCO username and password in order to obtain software from Cisco software download sites. To obtain these credentials, click Register at the top of any Cisco.com webpage and provide the information asked for. Your userid and password will be e-mailed to you.

Click Locating the Install Bundle for Cisco SDM to learn how to locate the Full Tunnel software install bundle, and supply a path to it for Cisco SDM to use.

Advanced Button

Click to configure advanced options such as split tunneling, split DNS, and client Microsoft Internet Explorer settings.

Locating the Install Bundle for Cisco SDM

Use the following procedure to locate software install bundles for Cisco SDM so that it can use that location in the Cisco IOS SSL VPN configuration, or, if necessary, load the software onto the router.

Note You may need a CCO username and password in order to obtain software from Cisco software download sites. To obtain these credentials, click Register at the top of any Cisco.com webpage and provide the information asked for. Your userid and password will be e-mailed to you.

Step 1 Look at the Location field. If the path to the install bundle is in that field, no further action need be taken. Cisco SDM configures the router to download the software from that location. Example 19-2 shows a path to a software install bundle.

Example 19-2 Full Tunnel Package Installed on Router

flash:sslclient-win-1.0.2.127.pkg

Step 2 If the Location field is empty, click the … button to the right of the field to specify the location of the software.

Step 3 If the software is installed on the router, choose Router File System and then browse for the file.

If the software is on your PC, choose My Computer and browse for the file.

Cisco SDM places the router file system or PC path you specified in the Location field.

Step 4 If the software is not on the router or on your PC, you must download it to your PC, and then provide the path to the file in this field.

a. Click the Download latest… link in the window. You are connected to the download page for the software you want.

b. There may be software packages available for Cisco IOS platforms and other platforms on the web page that appears. Double-click the latest version of the software that you want to download for Cisco IOS platforms, and provide your CCO username and password when prompted to do so.

c. Download the package to the PC.

d. In the Cisco IOS SSL VPN wizard, click the … button to the right of the Location field, choose My Computer in the Select Location window that is displayed, and navigate to the directory in which you placed the file.

e. Select the install bundle file then click OK in the Select Location window. Cisco SDM places that path in the Location field. examples shows an install bundle located on the PC’s desktop.

Example 19-3 Full Tunnel Package Installed on Router

C:\Documents and Settings\username\Desktop\sslclient-win-1.1.0.154.pkg

Cisco SDM installs the software onto the router from the PC directory that you specified when you deliver the configuration to the router by clicking Finish.

Enable Cisco Secure Desktop

The router can install Cisco Secure Desktop on the user PC when the user logs in to the Cisco IOS SSL VPN. Web transactions can leave cookies, browser history files, e-mail attachments, and other files on the PC after the user logs out. Cisco Secure Desktop create a secure partition on the desktop and uses a Department of Defense algorithm to remove the files after the session terminates.

Install Cisco Secure Desktop

Clients must download the Cisco Secure Desktop software install bundle from the router. If this software was installed along with Cisco SDM, the path to it automatically appears in the Location field as shown in Example 19-4.

Example 19-4 Cisco Secure Desktop Package Installed on Router

flash:/securedesktop-ios-3.1.0.29-k9.pkg

In Example 19-4, the Cisco Secure Desktop install bundle is loaded in router flash. If your router’s primary device is a disk or a slot, the path that you see will start with diskn or slotn.

If this field is empty, you must locate the install bundle so that Cisco SDM can load it onto the router primary device, or download the software install bundle from Cisco.com by clicking the Download latest… link at the bottom of the window. This link takes you to the following web page:

http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop

Note You may need a CCO username and password in order to obtain software from Cisco software download sites. To obtain these credentials, click Register at the top of any Cisco.com webpage and provide the information asked for. Your userid and password will be e-mailed to you.

Click Locating the Install Bundle for Cisco SDM to learn how to locate the Cisco Secure Desktop software install bundle, and supply a path to it for Cisco Cisco SDM to use.

Common Internet File System

Common Internet File System (CIFS) allows clients to remotely browse, access, and create files on Microsoft Windows-based file servers using a web browser interface.

WINS Servers

Microsoft Windows Internet Naming Service (WINS) servers maintain the database that maps client IP addresses to their corresponding NetBIOS names. Enter the IP addresses of the WINS servers in your network in this box. Use semicolons (;) to separate addresses.

For example, to enter the IP addresses 10.0.0.18 and 10.10.10.2, you enter 10.0.0.18;10.10.10.2 in this box.

Permissions

Specify the permissions to grant to users.

Enable Clientless Citrix

Clientless Citrix allows users to run applications such as Microsoft Word or Excel on remote servers in the same way that they would run them locally, without the need for client software on the PC. The Citrix software must be installed on one or more servers on a network that the router can reach.

Citrix Server

To create a new list, click Add and provide the required information in the dialog displayed. Use the Edit and Delete keys to change or remove URL lists in this table.

Summary

This window displays a summary of the Cisco IOS SSL VPN configuration that you have created. Click Finish to deliver the configuration to the router, or click Back to return to a wizard window to make changes.

To see the CLI commands that you are delivering to the router, go to Edit > Preferences, and check Preview commands before delivering to router.

Edit SSL VPN

The Edit SSL VPN window allows you modify or create Cisco IOS SSL VPN configurations. The top portion of the tab lists the configured Cisco IOS SSL VPN contexts. The bottom portion displays details for that context.

Click Cisco IOS SSL VPN to get an overview of the Cisco IOS SSL VPN features that Cisco SDM supports.

Click Cisco IOS SSL VPN links on Cisco.com for links to Cisco IOS SSL VPN documents.

Click Cisco IOS SSL VPN Contexts, Gateways, and Policies for a description of how the components of a Cisco IOS SSL VPN configuration work together.

SSL VPN Contexts

This area displays the Cisco IOS SSL VPN contexts configured on the router. Click a context in this area to display the detailed information for it in the lower part of the window. Add a new context by clicking Add and entering information in the dialog displayed. Edit a context by selecting it and clicking Edit. Remove a context and its associated group policies by selecting it and clicking Delete.

You can enable a context that is not in service by choosing it and clicking Enable. Take a context out of service by choosing it and clicking Disable.

The following information is displayed for each context.

Name

The name of the Cisco IOS SSL VPN context. If you created the context in the Cisco IOS SSL VPN wizard, the name is the string that you entered in the IP Address and Name window.

Gateway

The gateway that the context uses contains the IP address, and digital certificate that the Cisco IOS SSL VPN context will use.

Domain

If a domain has been configured for the context, it is displayed in this column. If a domain is configured, users must enter that domain in the web browser to access the portal.

Status

Contains icons for quick status identification.

Administrative Status

Textual description of status.

•In Service—Context is in service. Users specified in policies configured under the context can access their Cisco IOS SSL VPN portal.

•Not in Service—Context is not in service. Users specified in policies configured under the context cannot access their Cisco IOS SSL VPN portal.

Sample Display

The following table shows a sample Cisco IOS SSL VPN contexts display.

Details about SSL VPN Context: Name

This area displays details about the context with the name name that you selected in the upper part of the window. You can modify the settings that you see by clicking Edit in the top part of the window.

SSL VPN Context

Use this window to add or edit a Cisco IOS SSL VPN context.

Name

Enter the name of a new context, or choose the name of an existing context to edit it.

Associated Gateway

Select an existing gateway, or click Create gateway to configure a new gateway for the context. The gateway contains the IP address and digital certificate is used for this context. Each gateway requires a unique public IP address.

Domain

If you have a domain for this context, enter it in this field. Cisco IOS SSL VPN users will be able to use this domain name when accessing the portal, instead of an IP address. An example is mycompany.com.

Authentication List

Choose the AAA method list to be used to authenticate users to this context.

Authentication Domain

Enter the domain name that is to be appended to the username before it is sent for authentication. This domain must match the domain used on the AAA server for the users that will be authenticated for this context.

Enable Context Checkbox

Check if you want the context to be enabled when you finish configuring it. You do not have to return to this window to disable it if you enable it here. You can enable and disable individual contexts in the Edit SSL VPN tab.

Maximum Number of Users

Enter the maximum number of users that should be allowed to use this context at one time.

VRF Name

Enter the VPN Routing and Forwarding (VRF) name for this context. This VRF name must have already been configured on the router.

Default Group Policy

Select the policy that you want to use as the default group policy. The default group policy will be used for users who have not been included in any policy configured on the AAA server.

Designate Inside and Outside Interfaces

An ACL that is applied to an interface on which a Cisco IOS SSL VPN connection is configured may block the SSL traffic. Cisco SDM can automatically modify the ACL to allow this traffic to pass through the firewall. However, you must indicate which interface is the inside (trusted) interface, and which is the outside (untrusted) interface for Cisco SDM to create the Access Control Entry (ACE) that will allow the appropriate traffic to pass through the firewall.

Check Inside if the listed interface is a trusted interface, and check Outside if it is an untrusted interface.

Select a Gateway

Select an existing gateway from this window. This window provides you with the information you need to determine which gateway to select. It displays the names and IP addresses of all gateways, the number of contexts each is associated with, and whether the gateway is enabled or not.

Context: Group Policies

This window displays the group policies configured for the chosen Cisco IOS SSL VPN context. Use the Add, Edit, and Delete buttons to manage these group policies.

For each policy, this window shows the name of the policy and whether the policy is the default group policy. The default group policy is the policy assigned to a user who has not been included in another policy. You can change the group policy by returning to the Context window and selecting a different policy as the default.

Click a policy in the list to view details about the policy in the lower part of the window. For a description of these details, click the following links

Group Policy: General Tab

Group Policy: Clientless Tab

Group Policy: Thin Client Tab

Group Policy: SSL VPN Client (Full Tunnel) Tab

Click here to learn more

Click the link in the window for important information. To get to that information from this help page, click Learn More About Group Policies.

Learn More About Group Policies

Cisco IOS SSL VPN group policies define the portal and links for the users included in those policies. When a remote user enters the Cisco IOS SSL VPN URL they have been given, the router must determine which policy the user is a member of so that it can display the portal configured for that policy. If only one Cisco IOS SSL VPN policy is configured on the router, it can authenticate users locally or using a AAA server, and then display the portal.

However, if more than one policy is configured, the router must rely on a AAA server to determine which policy to use each time a remote user attempts to log in. If you have configured more than one Cisco IOS SSL VPN group policy, you must configure at least one AAA server for the router, and you must configure a policy on that server for each group of users for which you created a Cisco IOS SSL VPN policy. The policy names on the AAA server must be the same as the names of the group policies configured on the router, and they must be configured with the credentials of the users who are members of the group.

For example, if a router has been configured with local authentication for Bob Smith, and only the group policy Sales has been configured, there is only one portal available to display when Bob Smith attempts to log in. However, if there are threeCisco IOS SSL VPN group policies configured, Sales, Field, and Manufacturing, the router cannot, by itself, determine which policy group Bob Smith is a member of. If a AAA server is configured with the proper information for those policies, the router can contact that server, and receive the information that Bob Smith is a member of the group Sales. The router can then display the correct portal for the Sales group.

For information on how to configure the AAA server, see the «Configuring RADIUS Attribute Support for SSL VPN» section in the SSL VPN Enhancements document at the following link:

http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a00805eeaea.html#wp1396461

Group Policy: General Tab

When creating a new group policy, you must enter information in each field of the General tab.

Name

Enter a name for the group policy, for example Engineering, Human Resources, or Marketing.

Timeouts

For Idle Timeout, enter the number of seconds that the client can remain idle before the session is terminated.

For Session Timeout, enter the maximum number of seconds for a session, regardless of the activity on the session.

Make this the default group policy for context Checkbox

Check if you want to make this the default group policy. The default group policy is the policy assigned to a user who is not included in another policy. If you check this checkbox, this policy will be shown as the default policy in the Group Policy window.

Group Policy: Clientless Tab

Clientless Citrix allows users to run applications on remote servers in the same way that they would run them locally, without client software needing to be installed on the remote systems using these applications. The Citrix software must be installed on one or more servers on a network that the router can reach.

Enter information if you want Cisco IOS SSL VPN clients to be able to use Clientless Citrix.

Clientless Web Browsing

Select one or more URL lists that you want to display in the portal that the users in this group will see. If you want to examine a URL list, choose a name from the list and click View. URLs in the list that you specify will be displayed in the portal.

If you want to restrict users to URLs in the list, and prevent them from entering additional URLs, click Hide URL bar in the portal page.

Enable CIFS

Choose this option if you want to allow group members to browse files on MS Windows servers in the corporate network. You must specify the WINS server list that will enable the appropriate files to be displayed to these users. To verify the contents of a WINS server list, choose the list and click View.

Click Read to allow group members to read files. Click Write to allow group members to make changes to files.

To make this feature available, configure at least one WINS server list for this Cisco IOS SSL VPN context.

Group Policy: Thin Client Tab

Make settings in this tab if you want to configure Thin Client, also known as port forwarding, for members of this group.

Click Enable Thin Client (Port Forwarding) and specify a port forward list to enable this feature. At least one port forward list must be configured for the Cisco IOS SSL VPN context under which this group policy is configured. Click View to examine the port forwarding list you have chosen.

Group Policy: SSL VPN Client (Full Tunnel) Tab

Make setting in this tab if you want to enable the group members to download and use full-tunnel client software.

Note You must specify the location of the Full Tunnel client software by clicking Packages in the SSL VPN tree, specifying the location of the install bundle, and then clicking Install.

Enable Full Tunnel connections by choosing Enable from the list. If you want to require Full Tunnel connections, choose Required. If you choose Required, Clientless and Thin Client communication will work only if the Cisco IOS SSL VPN client software is successfully installed on the client PC.

IP address pool from which clients will be assigned an IP address

Clients who establish Full Tunnel communication are assigned IP addresses by the router. Specify the name of the pool, or click the … button to create a new pool from which the router can assign addresses.

Keep full-tunnel client software installed on client’s PC Checkbox

Check if you want the Full Tunnel software to remain on the client’s PC after they have logged off. If you do not check this checkbox, clients download the software each time they establish communication with the gateway.

Renegotiate Key field

Enter the number of seconds after which the tunnel should be brought down so that a new SSL key can be negotiated and the tunnel can be reestablished.

ACL to restrict access for users in this group to corporate resources

You can choose or create an access list (ACL) that specifies the resources on the corporate network that group members will be restricted to.

Home page client should see when a web browser is opened with full tunnel software installed

Enter the URL to the home page that is to be displayed to full-tunnel clients in this group.

Dead Peer Detection Timeouts

Dead Peer Detection (DPD) allows a system to detect a peer that is no longer responding. You can set separate timeouts that the router can use to detect clients that are no longer responding, and servers that are no longer responding. The range for both is from 0 to 3600 seconds.

Configure DNS and WINS servers Button

Click to display the DNS and WINS Servers dialog, which allows you to provide the IP addresses of the DNS and WINS servers on the corporate intranet that clients should use when accessing intranet hosts and services.

Configure Advanced Tunnel Options Button

Click to display the Advanced Tunnel Options dialog, which allows you to configure tunnel settings for split tunneling, split DNS, and proxy server settings for clients using Microsoft Internet Explorer.

Advanced Tunnel Options

The settings that you make in this dialog allow you to control the traffic that is encrypted, specify the DNS servers on the corporate intranet, and specify the proxy server settings that are to be sent to client browsers.

Split Tunneling

Encrypting all tunnel traffic may take excessive system resources. Split tunneling allows you to specify the networks whose traffic should be encrypted, and exempt traffic destined for other networks from encryption. You can either specify which tunnel traffic is to be encrypted or you can specify the traffic that is not to be encrypted and allow the router to encrypt all other tunnel traffic. You can only build one list; included and excluded traffic are mutually exclusive.

Click Include traffic and use the Add, Edit, and Delete keys to build a list of destination networks whose traffic is to be encrypted. Or, click Exclude traffic and build a list of the destination networks whose traffic is not to be encrypted.

Click Exclude Local LANs to explicitly exclude from encryption client traffic destined for LANs that the router is connected to. If there are networked printers on these LANs, you must use this option.

Learn More About Split Tunneling.

Split DNS

If you want Cisco IOS SSL VPN clients to use the DNS server in the corporate network only to resolve specific domains, you can enter those domains in this area. They should be domains within the corporate intranet. Separate each entry with a semicolon and do not use carriage returns. Here is a sample list of entries:

yourcompany.com;dev-lab.net;extranet.net

Clients must use the DNS servers provided by their ISPs to resolve all other domains.

Browser Proxy Settings

The settings in this area are sent to client Microsoft Internet Explorer browsers with full tunnel connections. These settings have no effect if clients use a different browser.

Do not use proxy server

Click to instruct Cisco IOS SSL VPN client browsers not to use a proxy server.

Auto-detect proxy settings

Click if you want the Cisco IOS SSL VPN client browsers to auto detect proxy server settings.

Bypass proxy settings for local addresses

Click if you want clients connecting to local addresses to be able to bypass normal proxy settings.

Proxy Server

Enter the IP address of the proxy server and the port number for the service that it provides in these fields. For example, if the proxy server supports FTP requests, enter the IP address of the proxy server and port number 21.

Do not use proxy server for addresses beginning with

If you do not want clients to use proxy servers when sending traffic to specific IP addresses or networks, you can enter them here. Use a semicolon to separate each entry. For example, if you do not want clients to use a proxy server when connecting to any server in the 10.10.0.0 or 10.11.0.0 networks, enter 10.10;10.11. You can enter as many networks as you want.

DNS and WINS Servers

Enter the IP addresses for the corporate DNS and WINS servers that will be sent to Cisco IOS SSL VPN clients. Cisco IOS SSL VPN clients will use these servers to access hosts and services on the corporate intranet.

Provide addresses for primary and for secondary DNS servers and WINS servers.

Learn More About Split Tunneling

When a Cisco IOS SSL VPN connection is set up with a remote client, all traffic that the client sends and receives may travel through the Cisco IOS SSL VPN tunnel, including traffic that is not on the corporate intranet. This can degrade network performance. Split tunneling allows you to specify the traffic that you want to send through the Cisco IOS SSL VPN tunnel and allow other traffic to remain unprotected and be handled by other routers.

In the Split Tunneling area, you can specify the traffic to include in the Cisco IOS SSL VPN and exclude all other traffic by default, or you can specify the traffic to exclude from the CCisco IOS SSL VPN and include all other traffic by default.

For example, suppose that your organization uses the 10.11.55.0 and the 10.12.55.0 network addresses. Add these network addresses to the Destination Network list, then click the Include traffic radio button. All other Internet traffic, such as traffic to Google or Yahoo, would go direct to the Internet.

Or suppose it is more practical to exclude traffic to certain networks from the Cisco IOS SSL VPN tunnel. In that case, enter the addresses for those networks in the Destination Networks list, then click the Exclude traffic radio button. All traffic destined for the networks in the Destination Networks list is sent over nonsecure routes, and all other traffic is sent over the Cisco IOS SSL VPN tunnel.

If users have printers on local LANs that they want to use while connected to the Cisco IOS SSL VPN, you must click Exclude local LAN in the Split Tunneling area.

Note The Destination Network list in the Split Tunneling area may already contain network addresses. The traffic settings you make in the Split Tunneling area override any settings previously made for the listed networks.

DNS and WINS Servers

Enter the IP addresses for the corporate DNS and WINS servers that will be sent to Cisco IOS SSL VPN clients. Cisco IOS SSL VPN clients will use these servers to access hosts and services on the corporate intranet.

Provide addresses for primary and for secondary DNS servers and WINS servers.

Context: HTML Settings

The settings that you make in this window control the appearance of the portal for the selected Cisco IOS SSL VPN context.

Select theme

You can specify the appearance of the portal by selecting a predefined theme instead of by selecting each color yourself. When you select a theme, the settings for that theme are displayed in the fields associated with the Customize button.

Customize Button

Click if you want to select each color used in the portal and specify a login message and title. If you selected a predefined theme, the values for that theme are displayed in the fields in this section. You can change these values, and the values you enter are used in the portal for the selected context. Changes that you make in this window only affect the portal you are creating. They do not change the default values for the theme.

Login Message

Enter the login message that you want clients to see when their browsers display the portal. For example:

Welcome to the company-name network. Log off if you are not an 
authorized user.

Title

Enter the title that you want to give the portal. For example:

Company-name network login page

Background Color for Title

The default value for the background color that appears behind the title is #9999CC. Change this value by clicking the … button and selecting a different color.

Background Color for Secondary Titles

The default value for the background color that appears behind the title is #9729CC. Change this value by clicking the … button and selecting a different color, or by entering the hexadecimal value for a different color.

Text Color

The default value for the text color is white. Change this value by clicking the down arrow and selecting a different color.

Secondary Text Color

The default value for the secondary text color is black. Change this value by clicking the down arrow and selecting a different color.

Logo File

If you have a logo that you want to display on the portal, click the … button to browse for it on your PC. It is saved to router flash after you click OK, and will appear in the upper-left corner of the portal.

Preview Button

Click to see a preview of the portal as it will look with the predefined theme or custom values you have specified.

Select Color

Click Basic to select a predefined color, or click RGB to create a custom color.

Basic

Select the color that you want to use from the palette on the left. The color you select appears in the large square in the right side of the dialog.

RGB

Use the Red, Green, and Blue sliders in combination to create a custom color. The color you create appears in the large square in the right side of the dialog.

Context: NetBIOS Name Server Lists

View all the NetBIOS name server lists that are configured for the selected Cisco IOS SSL VPN context in this window. CIFS uses NetBIOS servers to display the corporate Microsoft Windows file system to Cisco IOS SSL VPN users.

Each name server list configured for the context is shown in the NetBIOS Name Server Lists area. Use the Add, Edit, and Delete buttons to manage these lists. Click a list name to view the contents of the list in the Details of NetBIOS Name Server area.

Add or Edit a NetBIOS Name Server List

Create or maintain a NetBIOS name server list in this window. You must enter a name for each list that you create, and provide the IP address, timeout and number of retries to attempt for each server in the list. One server in each list must be designated as the master server.

Each server in the list is displayed in this dialog, along with its master status, timeout, and retries values.

Add or Edit an NBNS Server

You must enter the IP address of each server, along with the number of seconds that the router is to wait before attempting to connect to the server again, and the number of times the router is to attempt to contact the server.

Check Make this server the master server if you want this server to be the first server that the router contacts on the list.

Context: Port Forward Lists

Configure the port forwarding lists for the selected context in this window. The lists can be associated to any group policy configured under the selected context. Port forward lists reveal TCP application services to Cisco IOS SSL VPN clients.

The upper part of the window displays the port forward lists configured for the selected context. Click a list name to display the details for the list in the lower part of the window.

The window displays the IP address, port number used, corresponding port number on the client, and a description if one was entered.

Add or Edit a Port Forward List

Create and maintain port forward lists in this window. Each list must be given a name, and contain at least one server entry. Use the Add, Edit, and Delete buttons to create, modify, and remove entries from the list.

Context: URL Lists

URL lists specify which links can appear on the portal for users in a particular group. Configure one or more URL lists for each context, then use the group policy windows to associate these lists with specific group policies.

The upper part of the window displays all the URL lists configured for the context. The lower part of the window displays the contents of the selected list. For each list, it displays the heading that is displayed at the top of the URL list, and each URL that is in the list.

Use the Add, Edit, and Delete buttons to create and manage URL lists.

Add or Edit a URL List

You must enter a name for each URL list, and heading text that will appear at the top of the URL list.

Heading text should describe the overall contents of the links in the list. For example, if a URL list provides access to the health plan web pages and insurance web pages, you might use the heading text Benefits.

Use the Add button to create a new entry for the list, and the Edit and Delete buttons to maintain the list. Each entry that you add appears in the list area.

Context: Cisco Secure Desktop

Cisco Secure Desktop encrypts cookies, browser history files, temporary files, and e-mail attachments that could create security problems if left unencrypted. After a Cisco IOS SSL VPN session is terminated, Cisco Secure Desktop removes the data using a Department of Defense sanitation algorithm.

Click Enable Cisco Secure Desktop to allow all users of this context to download and use Cisco Secure Desktop. This window displays a message if the install bundle for this software is not found on the router.

To load the install bundle for Cisco Secure Desktop on the router, click Packages in the Cisco IOS SSL VPN tree and follow the instructions in the window.

SSL VPN Gateways

This window displays the Cisco IOS SSL VPN gateways configured on the router and enables you to modify existing gateways and configure new ones. A Cisco IOS SSL VPN gateway is the user portal to the secure network.

SSL VPN Gateways

This area of the window lists the Cisco IOS SSL VPN gateways that are configured on the router. It shows the name and IP address of the gateway, the number of contexts configured to use the gateway, and the status of the gateway.

Click a gateway to view details about it in the lower part of the window. Enable a gateway that is Disabled by choosing it and clicking Enable. Take an enabled gateway out of service by choosing it and clicking Disable. To edit a gateway, select the gateway and click the Edit button. To remove a gateway, choose the gateway and click the Delete button.

Details of SSL VPN Gateway

This area of the window displays configuration details about the gateway selected in the upper part of the window, and the names of the Cisco IOS SSL VPN contexts that are configured to use this gateway.

For more information on gateway configuration details, click Add or Edit a SSL VPN Gateway. For more information on contexts, click SSL VPN Context.

Add or Edit a SSL VPN Gateway

Create or edit a Cisco IOS SSL VPN gateway in this window.

Gateway Name

The gateway name uniquely identifies this gateway on the router, and is the name used to refer to the gateway when configuring Cisco IOS SSL VPN contexts.

IP Address

Choose or enter the IP address that the gateway is to use. This must be a public IP address, and cannot be an address used by another gateway on the router.

Digital Certificate

Choose the certificate that is to be sent to Cisco IOS SSL VPN clients for SSL authentication.

HTTP Redirect Checkbox

Uncheck if you do not want HTTP redirect to be used. HTTP redirect automatically redirects HTTP requests to port 443, the port used for secure Cisco IOS SSL VPN communication.

Enable Gateway Checkbox

Uncheck if you do not want to enable the gateway. You can also enable and disable the gateway from the SSL VPN Gateways window.

Packages

This window enables you to obtain software install bundles that must be downloaded to Cisco IOS SSL VPN clients to support Cisco IOS SSL VPN features, and to load them on the router. You can also use this window to remove install bundles that have been installed.

Follow the steps described in the window to download the install bundles from Cisco.com to your PC, and then copy them from your PC to the router. If you need to obtain any of the install bundles, start with Step 1 by clicking on the link to the download site.

Note Access to these download sites requires a CCO username and password. If you don’t have a CCO username and password, you can obtain one by clicking Register at the top of any Cisco.com webpage, and completing the form that is displayed. Your username and password will be mailed to you.

If you have already loaded install bundles onto your PC or the router, complete steps 2 and 3 to specify the current location of the install bundles and copy them to router flash.

Click the … button in each section to specify the current location of the install bundle.

After you specify the current location, and where you want to copy it to in router flash, click Install.

After the bundles have been loaded onto the router, the window displays name, version, and build date information about the package. If an administration tool is available with the package, the window displays a button enabling you to run this tool.

The Cisco IOS SSL VPN client install bundle is available from the following link:

http://www.cisco.com/cgi-bin/tablebuild.pl/sslvpnclient

The Cisco Secure Desktop install bundle is available from the following link:

http://www.cisco.com/cgi-bin/tablebuild.pl/securedesktop

Install Package

Specify the current location of an install bundle by browsing for it in this window. If the install bundle is already located on the router, click Router and browse for it. If it is located on the PC, click My Computer and browse for it. When you have specified the current location of the install bundle, click OK.

The location will be visible in the Packages window.

Cisco IOS SSL VPN Contexts, Gateways, and Policies

Cisco SDM provides an easy way to configure Cisco IOS SSL VPN connections for remote users. However, the terminology used in this technology can be confusing. This help topic discusses the Cisco IOS SSL VPN terms used in Cisco SDM configuration windows and describes how Cisco IOS SSL VPN components work together. An example of using the Cisco IOS SSL VPN wizard and edit windows in Cisco SDM is also provided.

Before discussing each component individually, it is helpful to note the following:

•One Cisco IOS SSL VPN context can support multiple group policies.

•Each context must have one associated gateway.

•One gateway can support multiple contexts.

•If there is more than one group policy on the router, a AAA server must be used for authentication.

Cisco IOS SSL VPN Contexts

A Cisco IOS SSL VPN context identifies resources needed to support SSL VPN tunnels between remote clients and a corporate or private intranet, and supports one or more group policies. A Cisco IOS SSL VPN context provides the following resources:

•An associated Cisco IOS SSL VPN gateway, which provides an IP address that clients can reach and a certificate used to establish a secure connection.

•Means for authentication. You can authenticate users locally, or by using AAA servers.

•The HTML display settings for the portal that provides links to network resources.

•Port forwarding lists that enable the use of Thin Client applets on remote clients. Each list should be configured for use in a specific group policy.

•URL lists that contain links to resources in the corporate intranet. Each list should be configured for use in a specific group policy.

•NetBIOS Name Server lists. Each list should be configured for use in a specific group policy.

These resources are available when configuring Cisco IOS SSL VPN group policies.

A Cisco IOS SSL VPN context can support multiple group policies. A Cisco IOS SSL VPN context can be associated with only one gateway.

Cisco IOS SSL VPN Gateways

A Cisco IOS SSL VPN gateway provides a reachable IP address and certificate for one or more Cisco IOS SSL VPN contexts. Each gateway configured on a router must be configured with its own IP address; IP addresses cannot be shared among gateways. It is possible to use the IP address of a router interface, or another reachable IP address if one is available. Either a digital certificate or a self-signed certificate must be configured for gateways to use. All gateways on the router can use the same certificate.

Although one gateway can serve multiple Cisco IOS SSL VPN contexts, resource constraints and IP address reachability must be taken into account.

Cisco IOS SSL VPN Policies

Cisco IOS SSL VPN group policies allow you to accommodate the needs of different groups of users. A group of engineers working remotely needs access to different network resources than sales personnel working in the field. Business partners and outside vendors must access the information they need to work with your organization, but you must ensure that they do not have access to confidential information or other resources they do not need. Creating a different policy for each of these groups allows you provide remote users with the resources they need, and prevent them from accessing other resources.

When you configure a group policy, resources such as URL lists, Port Forwarding lists, and NetBIOS name server lists configured for the policy’s associated context are available for selection.

If there is more than one group policy configured on the router, you must configure the router to use a AAA server to authenticate users and to determine which policy group a particular user belongs to. Click Learn More About Group Policies for more information.

Example

In this example, a user clicks Create a new SSL VPN and uses the wizard to create the first Cisco IOS SSL VPN configuration on the router. Completing this wizard creates a new context, gateway, and group policy. The following table contains the information the user enters in each wizard window, and the configuration that Cisco SDM creates with that information.

permit tcp any host 172.16.5.5 eq 443

SSL VPN Policy Name	: policy_1

SSL VPN Gateway Name	: gateway_1

User Authentication Method List	:  Local

Full Tunnel Configuration

	SVC Status	: Yes

	IP Address Pool	: Pool_1

	Split Tunneling	: Disabled

	Split DNS	: Disabled

	Install Full Tunnel Client	: Enabled

When this configuration is delivered, the router has one Cisco IOS SSL VPN context named Asia, one gateway named gateway_1, and one group policy named policy_1. This is displayed in the Edit SSL VPN window as shown in the following table:

policy_1 provides the basic Cisco IOS SSL VPN service of URL mangling, and specifies that a full tunnel be established between clients and the router. No other features are configured. You can add features to policy_1, such as Thin Client and Common Internet File System by choosing Configure advanced features for an existing SSL VPN, choosing Asia and policy_1 in the Select the Cisco IOS SSL VPN user group window, then choosing the features in the Advanced Features window. Additional URL lists can also be configured in this wizard.

You can create a new group policy under context «Asia» by choosing Add a new policy to an existing SSL VPN for a new group of users.

You can customize settings and the policies configured for context Asia by choosing Asia in the context list and clicking Edit. The Edit SSL VPN Context Asia window displays a tree that allows you to configure more resources for the context, and to edit and configure additional policies. You can edit the settings for gateway_1 by clicking SSL VPN Gateways under the SSL VPN node, selecting gateway_1, then clicking Edit.

How Do I…

«How do I» topics explain common configuration tasks associated with this feature.

How do I verify that my Cisco IOS SSL VPN is working?

The best way to determine that a Cisco IOS SSL VPN context will provide the access that you configured for users is to configure yourself as a user, then attempt to access all the websites and services that the context is configured to provide for them. Use the following procedure as a guide in setting up this test.

Step 1 Ensure that credentials you can use are included in all appropriate policies on the AAA server.

Step 2 If you can do so, open a Cisco SDM session to the router so that you can monitor the Cisco IOS SSL VPN traffic that you will create. This must be done on a separate PC if the PC you use to test the Cisco IOS SSL VPN context is not in a network from which you can access Cisco SDM. Go to Monitor > VPN Status > SSL VPN.

Step 3 Enter the URL to each of the web portals that are configured for this Cisco IOS SSL VPN context. Determine that each page has the appearance that you configured for it, and that all links specified in the URL lists for the policy appear on the page.

Step 4 Test all links and services that should be available to users included in this policy. If any of the policies that you are testing provide for downloading Cisco Secure Desktop or the Full Tunnel client software, enter the URLs to the web portals for those policies and click the links that will require the download of this software. Determine that the software downloads properly and that you are able to access the services that a user should be able to access from these links.

Step 5 If you were able to establish a Cisco SDM session before you began testing, click the branch for the context that you are testing and observe the Cisco IOS SSL VPN traffic statistics in the Cisco IOS SSL VPN window.

Step 6 Based on the results of your tests, go back to Cisco SDM if necessary and fix any configuration problems you discovered.

How do I configure a Cisco IOS SSL VPN after I have configured a firewall?

If you have already configured a firewall, you can still use the Cisco IOS SSL VPN wizards in Cisco SDM to create Cisco IOS SSL VPN contexts and policies. Cisco SDM validates the Cisco IOS SSL VPN CLI commands that it generates against the existing configuration on the router. If it detects an existing firewall configuration that would have to be modified to allow Cisco IOS SSL VPN traffic to pass through, you are informed. You can allow Cisco SDM to make the necessary modifications to the firewall, or you can leave the firewall intact and make the changes manually by going to Configure > Firewall and ACL > Edit Firewall ACL and entering the permit statements that allow Cisco IOS SSL VPN traffic to pass through the firewall.

How do I associate a VRF instance with a Cisco IOS SSL VPN context?

VPN Routing and Forwarding (VFR) instances maintain a routing table and a forwarding table for a VPN. You can associate a VRF instance or name with a Cisco IOS SSL VPN context by going to Configure > VPN > SSL VPN > Edit SSL VPN. Select the context that you want to associate a VRF instance to and click Edit. Select the name of the VRF instance in the dialog displayed.

Note The VRF instance must already be configured on the router.