Удаленный доступ VPN с маршрутизатора Cisco

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:41:04 GMT

Ab26 — Mon, 02 Mar 2026 12:41:04 GMT

Я настроил 2 типа: IKE/IPsec и SSL. Не уверен, что моя конфигурация полная и правильная. crypto ikev2 authorization policy CLIENT_VPN
pool VPN_POOL
netmask 255.255.255.128
include-local-lan
route set access-list CLIENT_VPN_SUBNETS
!
crypto ikev2 profile CLIENT_VPN
match identity remote address 0.0.0.0
match identity remote key-id $AnyConnectClient$
identity local dn
authentication remote pre-share key XXX
authentication local pre-share key XXX
pki trustpoint SELF_SIGNED_CERT
virtual-template 1
!
interface Virtual-Template1 type tunnel
vrf forwarding frontdoor
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!

----------------------------------------------------------------------------------------------------- crypto ssl policy SSL_POLICY
pki trustpoint SELF_SIGNED_CERT sign
ip interface GigabitEthernet1/1 port 443
!
crypto ssl profile SSL_PROFILE
match policy SSL_POLICY
aaa authorization group user-pass list LOCAL
authentication remote user-pass
virtual-template 2
!Профиль неполный (ДОЛЖЕН иметь соответствующую политику и настроенную политику авторизации SSL)
!
интерфейс Virtual-Template2 тип vpn
vrf пересылка frontdoor
ip unnumbered Loopback0
ip mtu 1400
ip tcp adjust-mss 1300
!

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:41:03 GMT

Rob Ingram — Mon, 02 Mar 2026 12:41:03 GMT

@Ab26,
какой метод аутентификации вы настроили — настроили ли вы сертификат для аутентификации клиента? Пожалуйста, предоставьте соответствующую конфигурацию для проверки.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:41:02 GMT

Ab26 — Mon, 02 Mar 2026 12:41:02 GMT

Вопрос: если я импортирую просроченный сертификат на новый маршрутизатор, сертификат не будет работать вообще?
Я все еще могу использовать его на старом маршрутизаторе.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:41:01 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:41:01 GMT

@Ab26 Попробуйте использовать действительный сертификат. Воспользуйтесь бесплатным сервисом Let´s Encrypt. https://letsencrypt.org/

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:41:00 GMT

Ab26 — Mon, 02 Mar 2026 12:41:00 GMT

Я экспортировал сертификат из маршрутизатора, затем импортировал его на ПК, установил в доверенные сертификаты, перезапустил ПК, но, к сожалению, это не помогло. Я по-прежнему получаю ту же ошибку.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:59 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:40:59 GMT

Вам необходимо экспортировать сертификат и установить его на стороне клиента, а также убедиться, что клиент правильно настроен для доверия к сертификату.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:58 GMT

Ab26 — Mon, 02 Mar 2026 12:40:58 GMT

Спасибо, Флавио! Я попробовал самоподписанный сертификат, который автоматически генерируется маршрутизатором (сертификат PKI). Однако в журналах видно, что сертификат недействителен. Вот журналы Cisco Secure Client (AnyConnect): 10:52:45 PM Установление связи с X.X.X.X
10:52:51 PM Попытка подключения не удалась.
10:52:55 PM Попытка подключения не удалась.
10:52:59 PM Попытка подключения не удалась.
10:53:04 PM Попытка подключения не удалась.
10:53:08 PM Попытка подключения не удалась.
10:53:12 Попытка подключения не удалась.
10:53:16 Попытка подключения не удалась.
10:53:20 Попытка подключения не удалась.
10:53:20 Нет действительных сертификатов для аутентификации.
10:53:25 Попытка подключения не удалась. Вот журналы отладки с маршрутизатора: 23
февраля 2026 г., 23:08:39.388 CET: CRYPTO-SSL: Ошибка обработки приложения: 14 23
февраля 2026 г. 23:08:40.740 CET: CRYPTO-SSL: процесс sslvpn получил событие контекстной очереди
23 февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: значение клиента: vpn 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: значение типа: init 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: версия: 5.1.14.145 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: device_id: win 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: group_access: https://X.X.X.X 23
февраля 2026 г. 23:08:43.895 CET: AGGR-MSG: успешный анализ XML: 0 23
февраля 2026 г. 23:08:43.895 CET: AGGR-PACK:

5.1.14.145
win

28-95-29-92-2d-54
ONE-MFA
https://X.X.X.XMSG 00020
TRUNCATED****MSG 00020 CONTINUATION #01ess>

multiple-cert
single-sign-on
single-sign-on-v2
single-sign-on-external-browser

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:57 GMT

Ab26 — Mon, 02 Mar 2026 12:40:57 GMT

все еще нет журналов
![:confused_face:]
У меня есть просроченный сертификат, который я скопировал со старого маршрутизатора. Как вы думаете, это может быть причиной? Если да, могу ли я попробовать самоподписанный сертификат? А как насчет того, который поставляется автоматически с маршрутизатором, могу ли я его использовать?

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:56 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:40:56 GMT

ebug crypto ssl condition client username
debug crypto ssl aaa
debug crypto ssl aggr-auth message
debug crypto ssl aggr-auth packets
debug crypto ssl tunnel errors
debug crypto ssl tunnel events
debug crypto ssl tunnel packets
debug crypto ssl package Для SSL VPN необходимо иметь сертификат, готовый на маршрутизаторе.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:55 GMT

Ab26 — Mon, 02 Mar 2026 12:40:55 GMT

Да, я это сделал. Не могу понять, в чем может быть проблема. Я провел отладку, но не могу получить никаких журналов ни для IKEv2, ни для SSL. Если я включаю HTTP и пытаюсь подключиться через «Cisco Secure Client», то получаю журналы по SSL. Таким образом, порт SSL не заблокирован.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:54 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:40:54 GMT

Вы ознакомились с этим руководством: https://www.cisco.com/c/en/us/support/docs/security/secure-client/222812-configure-anyconnect-ssl-vpn-on-c8000v-w.html

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:53 GMT

Ab26 — Mon, 02 Mar 2026 12:40:53 GMT

Это Cat 8000v. У меня есть лицензия Network Essentials. Я настроил VPN «сайт-сайт» на этом маршрутизаторе. Мне также нужно настроить RA.

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:52 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:40:52 GMT

@Ab26 О каком маршрутизаторе идет речь? Имеет ли этот маршрутизатор лицензии для Client VPN?

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:51 GMT

Rob Ingram — Mon, 02 Mar 2026 12:40:51 GMT

@Ab26
обе конфигурации IKEv2 и SSL-VPN выглядят неверными. Вы не можете использовать аутентификацию PSK с RAVPN (как настроено в профиле IKEv2), а конфигурация SSL-VPN неполная. Я бы еще раз прочитал руководства и начал заново: SSL-VPN —
https://www.cisco.com/c/en/us/support/docs/security/secure-client/222812-configure-anyconnect-ssl-vpn-on-c8000v-w.html IKEv2 —
https://www.cisco.com/c/en/us/support/docs/security/flexvpn/200555-FlexVPN-AnyConnect-IKEv2-Remote-Access.html Я бы использовал OpenSSL для создания ЦС, подписания сертификата маршрутизатора и импорта корневого сертификата ЦС на клиентские компьютеры.
https://integratingit.wordpress.com/2019/01/14/openssl-ca-for-vpn-authentication/

Reply to Удаленный доступ VPN с маршрутизатора Cisco on Mon, 02 Mar 2026 12:40:50 GMT

Flavio Miranda — Mon, 02 Mar 2026 12:40:50 GMT

Да, просроченный сертификат приведет к возникновению проблемы. Вы можете использовать самоподписанные сертификаты, но в браузере или приложении может появиться предупреждение, поскольку они не будут считаться надежными. https://www.cisco.com/c/en/us/td/docs/ios/ios_xe/sec_secure_connectivity/configuration/guide/2_xe/sec_secure_connectivity_xe_book/sec_cert_enroll_pki_xe.html#wp1049943