Удаленный доступ VPN с маршрутизатора Cisco
-
Здравствуйте,
я пытаюсь настроить VPN для удаленного доступа на маршрутизаторе Cisco. Я могу настроить RA на брандмауэре Cisco и могу настроить соединение «сайт-сайт» на брандмауэре и маршрутизаторе Cisco.
Кто-нибудь может порекомендовать мне какой-нибудь документ? Все, что я нашел до сих пор, не сработало.
https://www.cisco.com/c/en/us/support/docs/security/flexvpn/200555-FlexVPN-AnyConnect-IKEv2-Remote-Access.html
Мне нужно настроить RA с IKEv2/IPsec и еще один с SSL.
Есть какие-нибудь советы? -
Да, просроченный сертификат приведет к возникновению проблемы. Вы можете использовать самоподписанные сертификаты, но в браузере или приложении может появиться предупреждение, поскольку они не будут считаться надежными. https://www.cisco.com/c/en/us/td/docs/ios/ios_xe/sec_secure_connectivity/configuration/guide/2_xe/sec_secure_connectivity_xe_book/sec_cert_enroll_pki_xe.html#wp1049943
-
@Ab26
обе конфигурации IKEv2 и SSL-VPN выглядят неверными. Вы не можете использовать аутентификацию PSK с RAVPN (как настроено в профиле IKEv2), а конфигурация SSL-VPN неполная. Я бы еще раз прочитал руководства и начал заново: SSL-VPN —
https://www.cisco.com/c/en/us/support/docs/security/secure-client/222812-configure-anyconnect-ssl-vpn-on-c8000v-w.html IKEv2 —
https://www.cisco.com/c/en/us/support/docs/security/flexvpn/200555-FlexVPN-AnyConnect-IKEv2-Remote-Access.html Я бы использовал OpenSSL для создания ЦС, подписания сертификата маршрутизатора и импорта корневого сертификата ЦС на клиентские компьютеры.
https://integratingit.wordpress.com/2019/01/14/openssl-ca-for-vpn-authentication/ -
@Ab26 О каком маршрутизаторе идет речь? Имеет ли этот маршрутизатор лицензии для Client VPN?
-
Это Cat 8000v. У меня есть лицензия Network Essentials. Я настроил VPN «сайт-сайт» на этом маршрутизаторе. Мне также нужно настроить RA.
-
Вы ознакомились с этим руководством: https://www.cisco.com/c/en/us/support/docs/security/secure-client/222812-configure-anyconnect-ssl-vpn-on-c8000v-w.html
-
Да, я это сделал. Не могу понять, в чем может быть проблема. Я провел отладку, но не могу получить никаких журналов ни для IKEv2, ни для SSL. Если я включаю HTTP и пытаюсь подключиться через «Cisco Secure Client», то получаю журналы по SSL. Таким образом, порт SSL не заблокирован.
-
ebug crypto ssl condition client username <username>
debug crypto ssl aaa
debug crypto ssl aggr-auth message
debug crypto ssl aggr-auth packets
debug crypto ssl tunnel errors
debug crypto ssl tunnel events
debug crypto ssl tunnel packets
debug crypto ssl package Для SSL VPN необходимо иметь сертификат, готовый на маршрутизаторе. -
все еще нет журналов
![:confused_face:]
У меня есть просроченный сертификат, который я скопировал со старого маршрутизатора. Как вы думаете, это может быть причиной? Если да, могу ли я попробовать самоподписанный сертификат? А как насчет того, который поставляется автоматически с маршрутизатором, могу ли я его использовать?
-
Спасибо, Флавио! Я попробовал самоподписанный сертификат, который автоматически генерируется маршрутизатором (сертификат PKI). Однако в журналах видно, что сертификат недействителен. Вот журналы Cisco Secure Client (AnyConnect): 10:52:45 PM Установление связи с X.X.X.X
10:52:51 PM Попытка подключения не удалась.
10:52:55 PM Попытка подключения не удалась.
10:52:59 PM Попытка подключения не удалась.
10:53:04 PM Попытка подключения не удалась.
10:53:08 PM Попытка подключения не удалась.
10:53:12 Попытка подключения не удалась.
10:53:16 Попытка подключения не удалась.
10:53:20 Попытка подключения не удалась.
10:53:20 Нет действительных сертификатов для аутентификации.
10:53:25 Попытка подключения не удалась. Вот журналы отладки с маршрутизатора: 23
февраля 2026 г., 23:08:39.388 CET: CRYPTO-SSL: Ошибка обработки приложения: 14 23
февраля 2026 г. 23:08:40.740 CET: CRYPTO-SSL: процесс sslvpn получил событие контекстной очереди
23 февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: значение клиента: vpn 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: значение типа: init 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: версия: 5.1.14.145 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: device_id: win 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: group_access: https://X.X.X.X 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: успешный анализ XML: 0 23
февраля 2026 г. 23:08:43.895 CET: AGGR-PACK: <?xml version="1.0" encoding="UTF-8"?>
<config-auth client="vpn" type="init" aggregate-auth-version="2">
<version who="vpn">5.1.14.145</version>
<device-id computer-name="New PC" device-type="PC Type" platform-version="10.0.26200 " unique-id="XXX" unique-id-global="XXX">win</device-id>
<mac-address-list>
<mac-address public-interface="true">28-95-29-92-2d-54</mac-address></mac-address-list>
<group-select>ONE-MFA</group-select>
<group-access>https://X.X.X.X</group-accMSG 00020
TRUNCATED****MSG 00020 CONTINUATION #01ess>
<capabilities>
<auth-method>multiple-cert</auth-method>
<auth-method>single-sign-on</auth-method>
<auth-method>single-sign-on-v2</auth-method>
<auth-method>single-sign-on-external-browser</auth-method></capabilities>
</config-auth> -
Вам необходимо экспортировать сертификат и установить его на стороне клиента, а также убедиться, что клиент правильно настроен для доверия к сертификату.
-
Я экспортировал сертификат из маршрутизатора, затем импортировал его на ПК, установил в доверенные сертификаты, перезапустил ПК, но, к сожалению, это не помогло. Я по-прежнему получаю ту же ошибку.
-
@Ab26 Попробуйте использовать действительный сертификат. Воспользуйтесь бесплатным сервисом Let´s Encrypt. https://letsencrypt.org/
-
Вопрос: если я импортирую просроченный сертификат на новый маршрутизатор, сертификат не будет работать вообще?
Я все еще могу использовать его на старом маршрутизаторе. -
@Ab26,
какой метод аутентификации вы настроили — настроили ли вы сертификат для аутентификации клиента? Пожалуйста, предоставьте соответствующую конфигурацию для проверки. -
Я настроил 2 типа: IKE/IPsec и SSL. Не уверен, что моя конфигурация полная и правильная. crypto ikev2 authorization policy CLIENT_VPN
pool VPN_POOL
netmask 255.255.255.128
include-local-lan
route set access-list CLIENT_VPN_SUBNETS
!
crypto ikev2 profile CLIENT_VPN
match identity remote address 0.0.0.0
match identity remote key-id $AnyConnectClient$
identity local dn
authentication remote pre-share key XXX
authentication local pre-share key XXX
pki trustpoint SELF_SIGNED_CERT
virtual-template 1
!
interface Virtual-Template1 type tunnel
vrf forwarding frontdoor
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!----------------------------------------------------------------------------------------------------- crypto ssl policy SSL_POLICY
pki trustpoint SELF_SIGNED_CERT sign
ip interface GigabitEthernet1/1 port 443
!
crypto ssl profile SSL_PROFILE
match policy SSL_POLICY
aaa authorization group user-pass list LOCAL
authentication remote user-pass
virtual-template 2
!Профиль неполный (ДОЛЖЕН иметь соответствующую политику и настроенную политику авторизации SSL)
!
интерфейс Virtual-Template2 тип vpn
vrf пересылка frontdoor
ip unnumbered Loopback0
ip mtu 1400
ip tcp adjust-mss 1300
!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти