Настройка Cisco VPN

Настроить взаимодействие между Cisco VPN и RADIUS Proxy можно двумя способами:

  • Через командную строку ASA CLI (Adaptive Security Appliance Command Line Interface) для управления сетевыми устройствами Cisco ASA.
  • Через графический интерфейс ASDM (Adaptive Security Device Manager) для управления устройствами Cisco ASA, включая настройку VPN-подключений.

Выберите способ настройки и выполните шаги по инструкции.

Настройка через ASA CLI

  1. Создайте объект RadiusProxy сервера.

    # Radius-servers — название группы серверов
    aaa-server Radius-servers protocol radius
    # 192.1.0.2 — ip-адрес сервера, где установлен RadiusProxy
    aaa-server Radius-servers (Inside) host 192.1.0.2
    # 1812 — порт, на котором работает RadiusProxy
    authentication-port 1812
    # 60 — количество секунд ожидания пользовательской аутентификации
    timeout 60
    # secret — sharedSecret компонента RadiusProxy из настроек конфигурации
    key secret
    # Передача пароля по PAP
    no mschapv2-capable
    exit

  2. Настройте аутентификацию через группу серверов RADIUS.

    # DefaultWEBVPNGroup — VPN группа для аутентификации
    tunnel-group DefaultWEBVPNGroup general-attributes
    # Radius-servers — группа серверов, созданная на шаге 1
    authentication-server-group Radius-servers

Настройка через ASDM

Шаг 1. Откройте настройки VPN

  1. Выберите в меню «Configuration».
  2. Перейдите в раздел «Remote Access VPN».

Шаг 2. Добавьте сервер с RADIUS Proxy

  1. Выберите «AAA/Local Users» → «AAA Servers Groups» и нажмите на кнопку «Add».
  2. Укажите:
    • AAA Server Group — Название группы серверов. Можно использовать своё.
    • Protocol — RADIUS.
  3. Нажмите «OK».
  4. Выберите созданную группу серверов.
  5. В разделе «Servers in the Selected Group» нажмите «Add».
  6. Укажите:
    • Interface Name — интерфейс, который имеет доступ до сервера с RADIUS Proxy.
    • Server Name or IP Address — IP-адрес сервера, на котором установлен RADIUS Proxy.
    • Timeout — время ожидания пользовательской аутентификации. Рекомендуемое значение — 60 (секунд).
    • Server Authentication Port — порт, на котором принимает запросы RADIUS Proxy. По умолчанию — 1812.
    • Server Accounting Port — оставить по умолчанию.
    • Server Secret Key — shared secret RADIUS Proxy.
    • Microsoft CHAPv2 Capable — оставить пустым.
  7. Нажмите «ОК».

Шаг 3. Назначьте группу серверов для VPN-группы

  1. Выберите «Network (Client) Access» → «Secure Client Connection Profiles».
  2. В разделе «Connection Profiles» выберите нужный профиль и нажмите на кнопку «Edit».
  3. В разделе «Authentication» в поле «AAA Server Group» выберите созданную группу серверов.

    Если для заданного VPN профиля в качестве аутентификации использовался не ААА-сервер (графа «Method» в разделе «Authentication»), выберите один из методов аутентификации:

    • AAA — аутентификация только через RADIUS Proxy.

    • AAA and certificate — аутентификация через RADIUS Proxy и проверка пользовательского сертификата.


  4. Нажмите «ОК».

Шаг 4. Примените настройки

Нажмите на кнопку «Apply».