Настройка Cisco ASA для аутентификации через Indeed NPS RADIUS Extension
Автор Oleg Akifyev, Last modified by Vladislav Fomichev на 13 ноября 2023 04:14 PM

Рассмотрим пример настройки двухфакторной аутентификации для доступа к Cisco ASA с использованием модуля Indeed NPS RADIUS Extension.

Для корректной работы нам понадобится:

1. Первичная настройка сети Cisco ASA

Входим в консоль ASA и получаем привилегированные права командой en, при необходимости задаем enable пароль:

Рисунок 1. Вход в консоль ASA
Рисунок 1. Вход в консоль ASA

Далее нам необходимо настроить внутренний сетевой интерфейс для подключения к Cisco ASDM из локальной сети. Для этого мы будем использовать ip адрес 192.168.20.253, находящийся в нашей локальной сети.

Входим в режим конфигурации командой conf t и настраиваем интерфейс Management 0/0:

interface management 0/0 - выбираем интерфейс Cisco ASA (management 0/0)
ip address 192.168.20.253 255.255.255.0 - указываем ip адрес и маску локальной сети (192.168.20.253 255.255.255.0)
nameif inside - указываем имя для интерфейса  (inside)
no shutdown - включаем интерфейс
Exit - выходим из режима настройки интерфейса
http server enable - включаем доступ для подключения через ASDM
http 0 0 inside - предоставляем доступ для подключения ASDM через inside интерфейс 
route inside 0 0 192.168.20.1 - задаем шлюз 192.168.20.1 для интерфейса inside
wr mem - сохраняем изменения


Рисунок 2. Конфигурация management интерфейса

В результате у нас появляется доступ к веб интерфейсу Cisco ASA по адресу https://192.168.20.253.


Рисунок 3. Веб интерфейс Cisco ASA

Приступаем к загрузке Cisco ASDM: нажимаем кнопку Install ASDM Launcher и вводим заданный ранее enable пароль (поле логин оставляем пустым). 

Для работы Cisco ASDM требуется Java, которую можно скачать нажава Install Java Web Start.

2. Настройка Cisco ASA через ADSM

Запускаем Cisco ADSM и подключаемся к inside интерфейсу Cisco ASA по заданному ранее IP адресу https://192.168.20.253. В качестве пароля используем enable пароль.


Рисунок 4. Cisco ASDM Launcher

2.1 Добавление сетевого интерфейса для доступа к внешней сети

Переходим во вкладку Configuration (1) и в Device Setup выбираем Interfaces (2). В результате откроется окно редактирования интерфейсов.


Рисунок 5. Окно редактирования сетевых интерфейсов

Настроим интерфейс для доступа Cisco ASA к внешней сети (в нашем случае адрес внешней сети 213.148.81.0) - в предложенном списке редактируем необходимый интерфейс:

Interface Name: out
Enable Interface: checked
IP Address: 213.148.81.253
Subnet Mask: 255.255.255.0


Рисунок 6. Настройка внешнего интерфейса

Применяем настройки Apply (1) и сохраняем конфигурацию в память (2).


Рисунок 7. Сохранение настроек

2.2 Настройка AnyConnect VPN

Настройку VPN мы произведем с помощью VPN Wizard. Запускаем AnyConnect VPN Wizard через меню Wizard - VPN Wizards.


Рисунок 8. AnyConnect VPN Wizard

Вводим имя профиля подключения и выбираем внешний (out) интерфейс.


Рисунок 9. Connection Profile

Создаем самоподписанный сертификат. Для этого нажимаем кнопку Manage (Рисунок 10), добавляем сертификат кнопкой Add (Рисунок 11) и создаем новый самоподписанный сертификат (Рисунок 12)


Рисунок 10. VPN Protocols


Рисунок 11. Manage Identity Certificates


Рисунок 12. Add Identity Certificate

Добавляем дистрибутив Cisco AnyConnect чтобы пользователи могли скачивать AnyConnect через веб интерфейс: нажимаем кнопку Add (Рисунок 13), затем кнопку Upload (Рисунок 14), Browse Local Files и загружаем выбранный файл кнопкой Upload (Рисунок 15).


Рисунок 13. Client Images


Рисунок 14. Add AnyConnect Client Image


Рисунок 15. Upload Image

В качестве метода аутентификации выбираем Radius сервер (инструкция по развертыванию Radius сервера). Создаем новую AAA Server Group (Рисунок 16) и вводим данные Radius сервера (Рисунок 17). В списке AAA Server Group Details кнопкой Edit (рисунок 18) открываем на редактирование созданную группу увеличиваем значение timeout до 30-60 секунд и изменяем порты на прослушиваемые Radius сервером. По умолчанию для Server Authentication Port используется порт 1812 и для Server Accounting Port порт 1813 (Рисунок 19).


Рисунок 16. Создание новой AAA Server Group


Рисунок 17. Добавление Radius сервера


Рисунок 18. Редактирование группы


Рисунок 19. Редактирование портов

Создаем пул неиспользуемых в локальной сети ip адресов, которые будут доступны для VPN клиентов:


Рисунок 20. Создание нового пула адресов


Рисунок 21. Настройка пула адресов

Вводим адрес DNS сервера:


Рисунок 22. Настройка DNS

На остальных шагах настройки Wizard VPN оставляем значения по умолчанию и завершаем настройку нажатием кнопки Finish:


Рисунок 23. Завершение настроек

3. Подключение к VPN

На удаленном клиентском ПК переходим на веб интерфейс внешнего интерфейса (out) Cisco ASA. В нашем случае внешнему интерфейсу задан ip адрес 213.148.81.253, поэтому переходим на адрес https://213.148.81.253 и авторизуемся под доменной учетной записью.


Рисунок 24. Подключение к внешнему интерфейсу

При условии наличия настроенной двухфакторной аутентификации средствами Indeed AM и присутствия  на сервере Radius необходимой политики авторизации (инструкция), также появится запрос на аутентификацию через Indeed NPS RADIUS Extension:


Рисунок 25. Запрос на аутентификацию Indeed NPS RADIUS Extension

После успешного подключения скачиваем по предложенной веб лаунчером ссылке дистрибутив VPN AnyConnect и устанавливаем его.


Рисунок 26. Ссылка на дистрибутив VPN AnyConnect

Завершив установку VPN AnyConnect мы сможем подключиться к VPN. Для этого в Трее или меню Пуск находим иконку приложения VPN AnyConnect, запускаем его и вводим внешний адрес Cisco ASA. 


Рисунок 27. Подключение к VPN через VPN AnyConnect

Далее вводим данные доменной учетной записи, выполняем аутентификацию через Indeed NPS RADIUS Extension (при условии наличия необходимых настроек - инструкция) и подключаемся к внутренней сети VPN.


Рисунок 28. Ввод доменной учетной записи в VPN AnyConnect


Рисунок 29. Аутентификация через Indeed NPS RADIUS Extension в VPN AnyConnect


Рисунок 30. Соединение установлено

(6 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: