Настройка Cisco VPN

Настроить взаимодействие между Cisco VPN и RADIUS Proxy можно двумя способами:

• Через командную строку ASA CLI (Adaptive Security Appliance Command Line Interface) для управления сетевыми устройствами Cisco ASA.
• Через графический интерфейс ASDM (Adaptive Security Device Manager) для управления устройствами Cisco ASA, включая настройку VPN-подключений.

Выберите способ настройки и выполните шаги по инструкции.

Настройка через ASA CLI

1. Создайте объект RadiusProxy сервера.

   # Radius-servers — название группы серверов
   aaa-server Radius-servers protocol radius
   # 192.1.0.2 — ip-адрес сервера, где установлен RadiusProxy
   aaa-server Radius-servers (Inside) host 192.1.0.2
   # 1812 — порт, на котором работает RadiusProxy
   authentication-port 1812
   # 60 — количество секунд ожидания пользовательской аутентификации
   timeout 60
   # secret — sharedSecret компонента RadiusProxy из настроек конфигурации
   key secret
   # Передача пароля по PAP
   no mschapv2-capable
   exit

2. Настройте аутентификацию через группу серверов RADIUS.

   # DefaultWEBVPNGroup — VPN группа для аутентификации
   tunnel-group DefaultWEBVPNGroup general-attributes
   # Radius-servers — группа серверов, созданная на шаге 1
   authentication-server-group Radius-servers

Настройка через ASDM

Шаг 1. Откройте настройки VPN

1. Выберите в меню «Configuration».
   
   
2. Перейдите в раздел «Remote Access VPN».
   
   

Шаг 2. Добавьте сервер с RADIUS Proxy

1. Выберите «AAA/Local Users» → «AAA Servers Groups» и нажмите на кнопку «Add».
   
   
2. Укажите:
   • AAA Server Group — Название группы серверов. Можно использовать своё.
   • Protocol — RADIUS.
     
     
3. Нажмите «OK».
4. Выберите созданную группу серверов.
5. В разделе «Servers in the Selected Group» нажмите «Add».
   
   
6. Укажите:
   • Interface Name — интерфейс, который имеет доступ до сервера с RADIUS Proxy.
   • Server Name or IP Address — IP-адрес сервера, на котором установлен RADIUS Proxy.
   • Timeout — время ожидания пользовательской аутентификации. Рекомендуемое значение — 60 (секунд).
   • Server Authentication Port — порт, на котором принимает запросы RADIUS Proxy. По умолчанию — 1812.
   • Server Accounting Port — оставить по умолчанию.
   • Server Secret Key — shared secret RADIUS Proxy.
   • Microsoft CHAPv2 Capable — оставить пустым.
     
     
7. Нажмите «ОК».

Шаг 3. Назначьте группу серверов для VPN-группы

1. Выберите «Network (Client) Access» → «Secure Client Connection Profiles».
2. В разделе «Connection Profiles» выберите нужный профиль и нажмите на кнопку «Edit».
   
   
3. В разделе «Authentication» в поле «AAA Server Group» выберите созданную группу серверов.

   Если для заданного VPN профиля в качестве аутентификации использовался не ААА-сервер (графа «Method» в разделе «Authentication»), выберите один из методов аутентификации:

   • AAA — аутентификация только через RADIUS Proxy.

   • AAA and certificate — аутентификация через RADIUS Proxy и проверка пользовательского сертификата.

   
   
   

4. Нажмите «ОК».

Шаг 4. Примените настройки

Нажмите на кнопку «Apply».