forum.opennet.ru - "Настройка AnyConnect Client VPN" (4)

"Настройка AnyConnect Client VPN"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка AnyConnect Client VPN"	+/–
Сообщение от LinaSan (ok), 28-Фев-24, 07:07
Добрый день. Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную сеть, который будет отказывать в установлении соединения по условию. Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости клиентской части. Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? Заранее спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

openconnet, Аноним (1), 16:38 , 29-Фев-24, (1)
который будет отказывать в установлении соединения по условию Что значит будет о, Тимофей (??), 16:56 , 29-Фев-24, (2)

Вероятно ТС нужен Host Scan или DART в составе AnyConnect Или что-то подобное П, Andrey (??), 09:07 , 01-Мрт-24, (3)

Если внутри сети есть домен, то можно поднять RADIUS-сервер В терминах windows , RussianSuperAdmin (ok), 08:21 , 04-Мрт-24, (4)

Сообщения [Сортировка по времени | RSS]

1. "Настройка AnyConnect Client VPN" +/–

Сообщение от Аноним (1), 29-Фев-24, 16:38

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
openconnet

Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка AnyConnect Client VPN" +/–

Сообщение от Тимофей (??), 29-Фев-24, 16:56

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
который будет отказывать в установлении соединения по условию.
Что значит будет отказывать? По каким условиям?

Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка AnyConnect Client VPN" +/–

Сообщение от Andrey (??), 01-Мрт-24, 09:07

>> Добрый день.
>> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
>> сеть, который будет отказывать в установлении соединения по условию.
>> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
>> клиентской части.
>> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
>> Заранее спасибо!
> который будет отказывать в установлении соединения по условию.
> Что значит будет отказывать? По каким условиям?
Вероятно ТС нужен Host Scan или DART в составе AnyConnect. Или что-то подобное.
Позволяет проверять версию ОС, наличие необходимых патчей, софта (антивирусы и т.д) и на основе этого или разрешать полный доступ в сеть или ограничивать/отклонять.
Но сформулировано конечно не по-русски.
Можно только посоветовать читать сайт циски.

Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка AnyConnect Client VPN" +/–

Сообщение от RussianSuperAdmin (ok), 04-Мрт-24, 08:21

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server.
Туда нужно отдать группы пользователей, которым разрешен вход через vpn.
ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер.
Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка AnyConnect Client VPN"	+/–
Сообщение от Аноним (1), 29-Фев-24, 16:38
> Добрый день. > Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную > сеть, который будет отказывать в установлении соединения по условию. > Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости > клиентской части. > Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? > Заранее спасибо! openconnet
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Настройка AnyConnect Client VPN"	+/–
Сообщение от Тимофей (??), 29-Фев-24, 16:56
> Добрый день. > Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную > сеть, который будет отказывать в установлении соединения по условию. > Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости > клиентской части. > Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? > Заранее спасибо! который будет отказывать в установлении соединения по условию. Что значит будет отказывать? По каким условиям?
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Настройка AnyConnect Client VPN"	+/–
	Сообщение от Andrey (??), 01-Мрт-24, 09:07
	>> Добрый день. >> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную >> сеть, который будет отказывать в установлении соединения по условию. >> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости >> клиентской части. >> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? >> Заранее спасибо! > который будет отказывать в установлении соединения по условию. > Что значит будет отказывать? По каким условиям? Вероятно ТС нужен Host Scan или DART в составе AnyConnect. Или что-то подобное. Позволяет проверять версию ОС, наличие необходимых патчей, софта (антивирусы и т.д) и на основе этого или разрешать полный доступ в сеть или ограничивать/отклонять. Но сформулировано конечно не по-русски. Можно только посоветовать читать сайт циски.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Настройка AnyConnect Client VPN"	+/–
Сообщение от RussianSuperAdmin (ok), 04-Мрт-24, 08:21
> Добрый день. > Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную > сеть, который будет отказывать в установлении соединения по условию. > Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости > клиентской части. > Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? > Заранее спасибо! Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server. Туда нужно отдать группы пользователей, которым разрешен вход через vpn. ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер. Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.
Ответить \| Правка \| Наверх \| Cообщить модератору