Cisco аналог для linux

Обновлено: 06.07.2024

Наиболее популярные альтернативы и аналоги Cisco AnyConnect для Windows, Mac, Linux, Android, iPhone и др.

OpenVPN

OpenVPN - это полнофункциональное решение SSL VPN с открытым исходным кодом, которое поддерживает широкий спектр конфигураций, включая удаленный доступ, VPN-соединения «точка-точка», безопасность Wi-F.

ShrewSoft VPN Client

Shrew Soft VPN Client - бесплатный клиент VPN удаленного доступа IPsec для операционных систем Windows 2000, XP, Vista и Windows 7 (версии x86 и amd64) и для операционных систем на базе FreeBSD, NetBS.

WireGuard

WireGuard - чрезвычайно простая, но быстрая и современная VPN, которая использует современную криптографию. Он нацелен быть более быстрым, простым, компактным и более полезным, чем IPSec, избегая при .

sshuttle

sshuttle: где прозрачный прокси встречает VPN, отвечает sshsshuttle - единственная программа, которая решает следующий общий случай: ваш клиентский компьютер (или маршрутизатор) - это Linux, FreeBSD и.

Shimo

Shimo поддерживает все основные протоколы VPN, которые в настоящее время доступны: широко используемый CiscoVPN, очень безопасный OpenVPN и все стандартные IPSec-соединения. Он также обрабатывает прот.

OpenConnect

Клиент VPN, совместимый с Cisco AnyConnect VPN Client (теперь это решение Cisco AnyConnect Secure Mobility Solution) и заменителем исходного кода для официального клиента Cisco Linux. Основные возможн.

OpenConnect GUI

OpenConnect GUI - это графический клиент OpenConnect для систем Microsoft Windows (или любая другая система Qt и OpenConnect). OpenConnect - это VPN-клиент, который использует TLS и DTLS для безопасно.

FortiClient Endpoint Protection

Приложение FortiClient включает в себя следующие функции: SSLVPN: позволяет создать безопасный SSL VPN-интерфейс «Web Mode» между вашим яблочным устройством и FortiGate. Ваше соединение будет полность.

OpenVPN Finder

Этот простой инструмент находит бесплатные серверы OpenVPN для вас и позволяет вам загружать конфигурационный файл OVPN. Расширение написано поверх проекта Academic Experiment Project Gateway VPN, кот.

VPNC Front End

Front End для VPNC, VPN-клиент командной строки для оборудования Cisco VPN. Известно, что этот клиент работает на: Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008 и Windows 7. Он п.

IBM Endpoint Manager

Приложение IBM Endpoint Manager Mobile Client позволяет безопасно подключать ваше устройство iOS к сети вашей организации для получения электронной почты, рекомендуемых приложений и других сервисов. К.

Pulse Secure

Pulse Secure предлагает бесшовный, безопасный доступ из любого места, любое устройство с централизованным управлением и видимостью. Комплексная Enterprise Mobility - VPN, NAC, Mobile SolutionsPulse Se.

Aerohive ID Manager

ID Manager Управление доступом к самообслуживанию с поддержкой облачных вычислений. Identifier ManagerAerohive - это первая система управления доступом к корпоративному персоналу, которая позволяет ис.

Tangoe Mobile

Вам больше не нужно звонить в ИТ, чтобы подключить ваш новый iPhone, iPad или iPod touch к вашей корпоративной инфраструктуре. Используя Tangoe Mobile, вы можете самостоятельно аутентифицировать, разр.

У cisco есть пакет с клиентом anyconnect для linux. Только совсем не обязательно пользоваться их официальным клиентом, когда можно просто установить пакет из проверенно репозитория, и не захломлятять систему. Так что если вам нужно просто подключиться к cisco vpn под linux, но не критично использование официального cisco vpn клиента, то эта заметка для вас.

Установка

Добавляем подключение

Нажимаем на апплет network-manager в панеле, и выбираем "Соединения VPN":

Network Manager - создание нового подключения

Network Manager - создание нового подключения

В окне сетевых подключений создаем новое подключение. Нажимаем "Добавить":

Network Manager - список подключений

Network Manager - список подключений

В выпадающем списке выбираем "Cisco AnyConnect-совместимая VPN (openconnect)":

Network Manager - список подключений

Network Manager - список подключений

Теперь настраиваем само подключение.

Network Manager - настройка openconnect подключения

Network Manager - настройка openconnect подключения

В моем случае не используется никакой сертификат. Авторизация происходит по логину/паролю, поэтому я указал только имя подключения и шлюз. Логин и пароль будет запрошен при подключении, там же его можно будет сохранить. Если у вас используется сертификат или нужно указать какие-то дополнительные параметры, то это необходимо сделать именно в этом окне.

Для подключения снова нажимаем на апплет network-manager, и выбираем наше новое подключение:

Network Manager - выбор VPN подключения

Network Manager - выбор VPN подключения

Если для аутентификации не используется ни какой сертификат, будет запрошен логин и пароль:

image

Недавно я столкнулся с проблемой выбора среды для изучения некоторых фич маршрутизаторов Cisco. Раньше я пользовался GNS3, а сейчас решил посмотреть, что изменилось в мире. Как выяснилось, прогресс шагнул далеко вперёд. Погружаясь в пучину статей и форумов, я обнаружил что огромное количество информации из них уже устарело. Чтобы не запутаться в многообразии ПО, я сделал себе небольшую шпаргалку (актуальность — март 2020 г.). Теперь я хочу выложить её на суд общественности. Во-первых, чтобы не пропадала (мне кажется, кому-то это может пригодиться, так как в одном месте я упоминания всех средств разом так и не нашёл). Во-вторых, возможно, в комментариях мне укажут на ошибки в описаниях и это позволит улучшить обзор.

Итак, если у вас нет под рукой «железного» коммутатора/маршрутизатор(а/ов) для подготовки к экзаменам/отработки фич перед внедрением/повышения квалификации, то скорее всего вас выручат:

1. Симуляторы

Этот класс программного обеспечения имитирует работу оригинального ПО, но им не является. ПО симулятора содержит существенные упрощения и предназначено только для воспроизведения внешнего поведения исследуемого объекта. Симуляторы обладают собственным набором багов, производительностью и реализуют не весь функционал. Поэтому, в основном их применяют на низких ступенях обучения. Искушённым специалистам они не подойдут. Но начинающим – самое то.

1.1. Cisco Packet Tracer (CPT)

Самый известный симулятор для Cisco. В Интернет (и на Хабре в частности) есть очень много материалов, посвящённых работе с ним. Этот инструмент хорошо знаком тем, кто изучает Cisco на официальных курсах производителя. Позволяет составлять достаточно сложные сети из коммутаторов Catalyst 2960, ISR (Integrated Service Router), симуляторов ПК и нескольких других, менее значительных элементов. Текущая версия 7.3. Надо отметить, что CPT развивается существенно медленнее технологий своего производителя. Так, например, там вы не найдете никакой современной линейки типа Catalyst 9200, но при этом там присутствуют такие динозавры как Catalyst 2950, который добросовестно имитирует подключение без Auto-MDI, 3560 и даже неуправляемый концентратор (не путайте с коммутатором).

Кстати, в Cisco ASA есть команда packet-tracer, которая позволяет проверить настройки межсетевого экрана. Так вот, она никакого отношения к Packet Tracer не имеет.

1.2. Boson NetSim

Представляет собой некий сборник лабораторных работ, сгруппированный по темам экзамена. Как можно наблюдать по скриншотам, интерфейс состоит из нескольких секций: описание задачи, карта сети, в левой части находится список всех лаб. Закончив работу, можно проверить результат и узнать все ли было сделано. Есть возможность создания собственных топологий, с некоторыми ограничениями. [1]
Пожалуй, на этом с симуляторами всё.

2. Эмуляторы

Эмуляторы – это программы, предназначенные для запуска оригинального или слегка изменённого программного обеспечения на x86 или x64 платформе (в данном случае). Работа эмуляторов гораздо ближе к работе реального оборудования, нежели работа симуляторов. Хотя и тут могут быть небольшие отличия. Рассмотрим наиболее распространённые эмуляторы сетевых устройств Cisco.

2.1. Dynamips + Dynagen

Эмулятор маршрутизаторов Cisco, который может работать в Windows, Linix и Mac OS X. Распространяется по лицензии GNU GPLv2 (чего нельзя сказать об образах, которые он использует). Позволяет запускать виртуальную машину с оригинальным образом ОС от старых маршрутизаторов семейств 1700, 3725, 7200 и некоторых других. Позволяет имитировать интерфейсы Ethernet и вымирающие ATM и Serial. При этом Dynamips не может работать с прошивками коммутаторов, так как их ОС ориентированы на использование ASIC, которые во множестве встречаются в коммутаторах и очень сложно имитируются на x86 системах.

Впервые Dynamips был опубликован в 2005 году. Его разрабатывал Christophe Fillot. Однако, уже в 2007 году, на версии 0.2.8 он бросил этот проект. Википедия пишет, что существует версия 0.2.15 от 2015 г., но страница с пруфом недоступна. Для Dynamips существовал консольный фронтенд Dynagen.

Операционная система Cisco IOS очень консервативна, поэтому некоторые фичи вы сможете без проблем изучать даже на таком старом ПО. Однако, есть проблема с образами ОС: официально приобрести IOS для 7200 и других уже давно нельзя, ибо пребывают они в состоянии не только End of Sale (29.09.2012), но и Last Date of Support (30.09.2017) [2]. Поэтому легально использовать Dynamips нельзя. Хотя вряд ли можно считать ущерб для компании Cisco от такого использования хоть сколько-нибудь значимым для инициации преследования, но всё может быть.

2.2. IOU/IOL + WebIOL

Следующий эмулятор это Cisco IOS on UNIX – IOU и его вариация Cisco IOS on Linux – IOL. Представляет собой двоичный исполняемый файл, содержащий операционную систему L3 коммутатора Catalyst (L2IOU, да L2 – это не опечатка) или многофункционального маршрутизатора — ISR (L3IOU), скомпилированную производителем для запуска в UNIX/Linux. IOU характеризуется очень низким потреблением ресурсов (относительно других эмуляторов). И в отличии от Dynamips он может запускать ПО для коммутаторов. Для IOL существует официальный графический фронтенд WebIOL (не путать с неофициальным iou-web [3]), который позволяет формировать из устройств сложные сетевые топологии.

Проблема в том, что IOU разработан Cisco Systems для внутреннего использования, поэтому он доступен только сотрудникам и партнёрам. Несмотря на это, в Интернет есть инструкции по его скачиванию и установке. Однако следует помнить, что это нелегально.

К сожалению, мне не удалось найти информацию о том, развивается ли сейчас IOL или его вытеснили образы для QEMU и VMWare, о которых речь пойдёт далее. Если кто-то знает о судьбе IOU, прошу поделиться пруфами для улучшения этого абзаца.

2.3. Виртуальные машины для QEMU/VMWare/…

В соответствии с общим трендом на виртуализацию (и виртуализацию сетевых функций в частности – NFV, Network Functions Virtualization) сама Cisco Systems всё больше и больше продуктов выпускает в виде т.н. Virtual Appliance или, проще говоря, обычных виртуальных машин, предназначенных для запуска в распространённых гипервизорах: QEMU, VMWare, Hyper-V и др.

Так, например, в виде виртуальных машин доступны следующие продукты.

  • ASAv (Cisco Adaptive Security Virtual Appliance) – хорошо всем знакомый, но немножко устаревший, МСЭ Cisco ASA. Теперь и в виртуалке.
  • NGFWv и NGIPSv (Cisco Firepower – Next Generation Firewall и Intrusion Prevention System) – новое поколение устройств безопасности.
  • IOS XRv – версия IOS-XR для маршрутизаторов операторского класса. Такая штука может заменить Quagga или что-нибудь по мощнее.
  • CSR1000v (Cloud Service Router) – маршрутизатор с ОС IOS-XE. Специализируется на VPN, MPLS, VXLAN, контроле трафика и т.д. Предназначена для размещения в облаке.
  • NX-OSv – ещё один коммутатор/маршрутизатор, на этот раз под ОС IOS-NX, которая используется в «железках» Cisco Nexus. Также ориентирована на решение задач в ЦОД.
  • Nexus 1000v – специальная версия виртуального Nexus, предназначенная для обслуживания кластера виртуальных машин Hyper-V или VMWare. Причём это специфическая виртуальная машина, поддерживающая подключение распределённых и, опять же, виртуальных модулей. [4] Поставляется вместе со средствами виртуализации.
  • Cisco Nexus Titanum – устаревшая виртуальная машина с NX-OS, предназначенная для внутреннего использования в Cisco.
  • Так же другие популярные продукты ISE, WLC, MSE/CMX и др. уже доступны в виде виртуальных машин.
  • IOSvL2 – виртуальный образ маршрутизирующего коммутатора.
  • IOSv – виртуальный образ маршрутизатора Cisco.

Ещё не следует путать (а их даже google и Яндекс иногда путают в выдаче) уже рассмотренный L2IOU и IOSvL2. Это разные программные продукты. [5]

3. Виртуальные лаборатории

Одна виртуальная машина – это хорошо, но компьютерная сеть – это всё-таки совокупность независимых узлов. Поэтому, зачастую, возникает потребность запустить несколько эмулированных устройств и заставить их взаимодействовать как единое целое. Сделать это вручную возможно, но такой подход затруднителен. Поэтому существуют программные продукты, которые позволяют автоматизировать создание виртуальных сетевых окружений и снабдить его графическим интерфейсом. Отдельного устоявшегося термина для них нет, поэтому здесь будем называть их виртуальными лабораториями.

3.1. Cisco VIRL

VIRL уже включает в себя учебные версии образов IOSv, IOSvL2, IOS XRv, NX-OSv, CSR1000v, ASAv. Так же в него могут быть добавлены сторонние виртуальные машины других сетевых производителей.

Для работы с VIRL используется собственный GUI клиент VM Maestro.

3.2. GNS3

Следующая виртуальная лаборатория это GNS (Graphical Network Simulator). Первая версия GNS появилась в 2007 году и представляла собой графический интерфейс для Dynamips, написанный на Qt. В 2014 году проект был сильно переработан (по утверждениям разработчиков он сохранил в себе только 5% кода) и появился GNS3. Причём «3» это не совсем версия, а скорее название. Актуальная версия GNS3: 2.2. Теперь GNS3 позволяет запускать не только образы Dynamips, но и QEMU, а также взаимодействовать с IOU и другими виртуальными машинами. Приложение является «толстым», т.е. запускается непосредственно на машине, на которой находится. Для эмуляции устройств оно может использовать виртуальные машины, расположенные на этом же хосте или удалённо. Поддерживается работа в Linux, Windows и Mac OS X. Большим плюсом GNS3 является возможность использования тех же инструментов, что и для работы с реальным «железом»: PuTTY, SecureCRT, Wireshark и др.

Несмотря на то, что сам продукт бесплатный, на его сайте есть магазин, где приторговывают софтом (образами), учебными материалами и просто сувенирами.

3.3. iou-web → UNetLab → EVE-NG

Ну и наконец, на сладкое, у меня в обзоре осталась виртуальная лаборатория EVE-NG (The Emulated Virtual Environment – Next Generation). Её история началась с того, что в 2012 г. Andrea Dainese опубликовал неофициальный веб-интерфейс для IOL: iou-web. Затем он научил свою лабораторию работать с другими эмуляторами и таким образом в 2014 г. появилась UNetLab. А в 2017 Alain Degreffe создал форк проекта UNetLab, который назвал EVE-NG. У автора исходного UNetLab тоже были большие планы на развитие проекта и выпуск второй версии [3], однако постепенно он забросил эту идею: «Don’t ask for UNetLab2 and go with GNS3, VIRL or EVE-NG» — написал он по итогу. Таким образом, EVE-NG является единственной актуальной веткой продукта. Текущая версия: 2.0
EVE-NG по своему функционалу очень похожа на GNS3: почти такой же набор эмуляторов и поддержка аналогичных образов устройств (и точно так же поддерживается много производителей помимо Cisco). Однако, отличается форма распространения и интерфейс: EVE-NG представляет собой виртуальную машину, которую можно запустить у себя на рабочем месте или на выделенном сервере. Управление лабораторией осуществляется из браузера (в виртуальной машине, помимо прочего, встроен веб-сервер). Точно так же, как и GNS3, EVE-NG поставляется без образов и их необходимо раздобыть (в смысле «купить», конечно же) и загрузить в лабораторию самостоятельно. Использование веб-интерфейса делает лабораторию кроссплатформенной. Так же виртуальная машина по определению проста в развёртывании и избавлена от сложных программных зависимостей (распространяется в формате OVF – Open Virtualization Format и прекрасно воспроизводится в бесплатном (для частного использования) VMWare Player. Несмотря на изоляцию среды в виртуальной машине, для работы с ней тоже можно использовать PuTTY, SecureCRT, Wireshark и др.

EVE-NG поддерживает многопользовательскую работу с лабораторией. В том числе в разных ролях. Например, студент, собирающий лабу, и присматривающий за ним преподаватель.
EVE-NG распространяется под собственной лицензией в бесплатной общественной (community) и платных профессиональной или обучающей версиях [7]. Платная версия отличается ролевой моделью (в бесплатной есть только одна роль администратора), ограничением по числу узлов на лабораторию – 1024 (в бесплатной – 63) и др.

4. Бонус: удалённая лаборатория производителя

Developer ориентирован на программистов, решающих задачи сетевой автоматизации, поэтому представленные топологии достаточно просты. Их задача – дать возможность «пощупать» API железа. Но несмотря на простоту топологий, в некоторых случаях такой инструмент может дать то, чего не даст виртуальная лаборатория. Например, мне вчера удалось познакомиться с командной строкой железного Cisco 9000 и веб-интерфейсом Cisco WLC 9800. А dCloud знакомит с новыми продуктами.

Подключение к лаборатории в большинстве случаев осуществляется через фирменный VPN-клиент от Cisco — AnyConnect. Т.е. ваша машина оказывается в сети песочницы. А это значит, что удалённую лабораторию вы можете объединить… с локальным GNS3[8] или EVE-NG!

Заключение

В заключении хочу обобщить сказанное небольшой схемой (а то маленькая шпаргалка разрослась в большую портянку и это при том, что я очень поверхностно описал только самые главные особенности инструментов):

Сделайте работу с VPN проще и безопаснее с помощью усовершенствованной технологии удаленного доступа Cisco AnyConnect Secure Mobility Client. Это программное обеспечение основано на предыдущих предложениях Cisco AnyConnect VPN Client, чтобы улучшить взаимодействие VPN с большинством ноутбуков и смартфонов, включая ноутбуки, использующие Microsoft Windows 7.

Альтернативы для Cisco AnyConnect

601

OpenVPN - это полнофункциональное решение SSL VPN с открытым исходным кодом.

Скриншот 1 программы OpenVPN

OpenVPN - это полнофункциональное решение SSL VPN с открытым исходным кодом, которое поддерживает широкий спектр конфигураций, включая удаленный доступ, межсетевые VPN-соединения, безопасность Wi-Fi и решение удаленного доступа масштаба предприятия с балансировкой нагрузки, отработкой отказа и точной настройкой контроля доступа.

20

Быстрый, современный, безопасный VPN-туннель.

WireGuard - это чрезвычайно простая, но быстрая и современная VPN, в которой используется самая современная криптография. Она нацелена на то, чтобы быть быстрее, проще, экономнее и полезнее, чем IPSec, избегая при этом большой головной боли. Она намерена быть значительно более производительной, чем OpenVPN. WireGuard спроектирован как VPN общего назначения для работы как на встроенных интерфейсах, так и на суперкомпьютерах, подходящих для множества различных обстоятельств.

18

VPN-клиент Shrew Soft - это бесплатный VPN-клиент удаленного доступа IPsec для Windows 2000, XP, Vista.

Скриншот 1 программы ShrewSoft VPN Client

VPN-клиент Shrew Soft VPN - это бесплатный VPN-клиент удаленного доступа IPsec для операционных систем Windows 2000, XP, Vista и Windows 7 (версии x86 и amd64), а также для операционных систем на основе FreeBSD, NetBSD и Linux.

6

Это GUI-клиент для OpenConnect VPN, альтернатива Cisco AnyConnect с открытым исходным кодом.

Скриншот 1 программы OpenConnect GUI

OpenConnect GUI - это графический клиент OpenConnect для систем Microsoft Windows (или любой другой системы, на которой работают Qt и OpenConnect). OpenConnect - это VPN-клиент, который использует TLS и DTLS для безопасного установления сеанса и совместим с протоколом Cisco AnyConnect SSL VPN.

Что в этом списке?

В списке находится программы которые можно использовать для замены Cisco AnyConnect.

Это аналоги похожие по функционалу на Cisco AnyConnect, которые заменяют программу частично или полностью. Этот список содержит 4 замены.

С помощью пользователей мы собираем каталог похожих друг на друга программ, чтобы вы могли подобрать альтернативу и скачать их. На сайте можно скачать популярные программы для Windows, Mac Os, Android и iPhone

При разработке приложения вы разворачиваете промежуточные версии на контуре внутри своей компании. Но у вашего заказчика может быть свой контур за VPN. Это усложняет CI CD.

Сегодня мы разберемся, как подключиться к Cisco VPN используя openconnect.

Openconnect

OpenConnect – это открытое приложение для подключения к виртуальным частным сетям с реализацией подключений точка-точка, которое изначально было написано в качестве замены проприетарного клиента Cisco AnyConnect SSL VPN.

Причиной для разработки OpenConnect послужила серия недостатков, обнаруженных в решении Cisco под Linux:

  • отсутствие поддержки архитектур отличных от i386 (для платформ Linux)
  • отсутствие интеграции с NetworkManager
  • отсутствие грамотной поддержки форматов пакетов RPM и DEB
  • невозможность работы в качестве непривилегированного пользователя
  • закрытость кода и др.

По какой-то причине у меня не получилось настроить соединение через AnyConnect, зато получилось через openconnect 😄

Также вам может понадобиться vpn-slice, который есть только для openconnect. Речь о vpn-slice пойдет дальше.

Все манипуляции проводятся на CentOS 7. Для начала устанавливаем openconnect.

После этого вы уже можете подключиться к vpn

Часто в корпоративных организациях используется прокси, тогда поможет флаг -P . При этом флаг -b после успешного соединения убирает его в фон, чтобы вы могли продолжать пользоваться сервером.

Нужно будет ввести данные для входа в VPN, после чего вы успешно подключитесь. Но есть одна проблема.

Для отключения от VPN используйте эту команду:

Перезапись resolv.conf

Ваш файл /etc/resolv.conf будет перезаписан. Из-за этого мы потеряли доступ к сети и выход в интернет.

Эту проблему решает библиотека vpn-slice. Установить ее проще всего через pip3.

Вы должны установить vpn-slice как root, потому что openconnect или vpnc должны будут иметь возможность вызывать vpn-slice во время работы как root. Например для изменения /etc/hosts

После этого можно подключиться к впн, при этом указав нужные хосты.

  • 21.16.41.48 – ip нужного вам сервера за vpn.
  • 21.16.41.49 – второй нужный вам сервер.

Таким образом мы подключились к VPN, и получили доступ только не обходимым нам серверам.

Непрерывное подключение к Cisco AnyConnect VPN

Мне нужно было поддерживать почти непрерывное VPN-соединение с сервером с другого сервера. Сервер 1 был частью сети, которая обеспечивала защищенный доступ VPN к внешним соединениям через Cisco Anyconnect.

Для этого я использую OpenConnect для подключения к серверу и сценарий bash для непрерывной проверки соединения и, если он отключен, для повторного подключения.

Обратите внимание, что в приведенном ниже подходе пароль vpn хранится в виде открытого текста в файле sh, что представляет потенциальную угрозу безопасности. Сценарий должен быть заблокирован, чтобы пользователи без авторизации не могли просматривать его содержимое.

Следовательно, этот подход может быть подходящим только для сервера, которые строго управляются или не доступны другим пользователям.

Создадим скрипт, который:

  1. Подключится к VPN;
  2. Каждые n секунд проверяет, подключен ли он
  3. Подключается к VPN, если соединение прервано

В приведенном ниже примере мы создадим сценарий vpn.sh.

Не забудьте заменить переменные в строке 15 на свои.

Используйте свою команду sudo openconnect для подключения. Выше приведена команда для примера, возможно она вам не подойдет.

Давайте хотя бы заблокируем этот файл, чтобы он был доступен для чтения только root:

Запуск скрипта в фоновом режиме.
Как только вы отладите свой скрипт, вы можете запустить его как фоновый скрипт:

Остановка фонового скрипта.
Используйте ps , чтобы найти PID сценария VPN и процесса openconnect:

Читайте также: