Настройка Cisco VPN
Настроить взаимодействие между Cisco VPN и RADIUS Proxy можно двумя способами:
- Через командную строку ASA CLI (Adaptive Security Appliance Command Line Interface) для управления сетевыми устройствами Cisco ASA.
- Через графический интерфейс ASDM (Adaptive Security Device Manager) для управления устройствами Cisco ASA, включая настройку VPN-подключений.
Выберите способ настройки и выполните шаги по инструкции.
Настройка через ASA CLI
- Создайте объект RadiusProxy сервера.
# Radius-servers — название группы серверов aaa-server Radius-servers protocol radius # 192.1.0.2 — ip-адрес сервера, где установлен RadiusProxy aaa-server Radius-servers (Inside) host 192.1.0.2 # 1812 — порт, на котором работает RadiusProxy authentication-port 1812 # 60 — количество секунд ожидания пользовательской аутентификации timeout 60 # secret — sharedSecret компонента RadiusProxy из настроек конфигурации key secret # Передача пароля по PAP no mschapv2-capable exit - Настройте аутентификацию через группу серверов RADIUS.
# DefaultWEBVPNGroup — VPN группа для аутентификации tunnel-group DefaultWEBVPNGroup general-attributes # Radius-servers — группа серверов, созданная на шаге 1 authentication-server-group Radius-servers
Настройка через ASDM
Шаг 1. Откройте настройки VPN
- Выберите в меню «Configuration».
- Перейдите в раздел «Remote Access VPN».
Шаг 2. Добавьте сервер с RADIUS Proxy
- Выберите «AAA/Local Users» → «AAA Servers Groups» и нажмите на кнопку «Add».
- Укажите:
- AAA Server Group — Название группы серверов. Можно использовать своё.
- Protocol — RADIUS.
- Нажмите «OK».
- Выберите созданную группу серверов.
- В разделе «Servers in the Selected Group» нажмите «Add».
- Укажите:
- Interface Name — интерфейс, который имеет доступ до сервера с RADIUS Proxy.
- Server Name or IP Address — IP-адрес сервера, на котором установлен RADIUS Proxy.
- Timeout — время ожидания пользовательской аутентификации. Рекомендуемое значение — 60 (секунд).
- Server Authentication Port — порт, на котором принимает запросы RADIUS Proxy. По умолчанию — 1812.
- Server Accounting Port — оставить по умолчанию.
- Server Secret Key — shared secret RADIUS Proxy.
- Microsoft CHAPv2 Capable — оставить пустым.
- Нажмите «ОК».
Шаг 3. Назначьте группу серверов для VPN-группы
- Выберите «Network (Client) Access» → «Secure Client Connection Profiles».
- В разделе «Connection Profiles» выберите нужный профиль и нажмите на кнопку «Edit».
- В разделе «Authentication» в поле «AAA Server Group» выберите созданную группу серверов.
Если для заданного VPN профиля в качестве аутентификации использовался не ААА-сервер (графа «Method» в разделе «Authentication»), выберите один из методов аутентификации:
-
AAA — аутентификация только через RADIUS Proxy.
-
AAA and certificate — аутентификация через RADIUS Proxy и проверка пользовательского сертификата.
-
- Нажмите «ОК».
Шаг 4. Примените настройки
Нажмите на кнопку «Apply».
Дополнительные возможности
Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.
Работает только для RADIUS-прокси.
В файл «appsettigns.json» добавьте блок «AuthorizationConfiguration»:
"AuthorizationConfiguration": {
"AuthorizationStrategy" : "AllUsers" | "NoOneWithExceptions" | "AllUsersWithExceptions",
"AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
}
- AuthorizationStrategy — стратегия авторизации. Возможные значения:
- AllUsers — впускать всех пользователей.
- AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
- NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
- AdGroupExceptions — список групп.
После обновления «appsettings» нужно перезапустить RADIUS-прокси.
