Cisco anyconnect mac os настройка

Обновлено: 08.07.2024

Внимание! С 15.09.2021 изменился способ двухфакторной аутентификации по умолчанию. Теперь вместо звонка второй фактор подтверждается через мобильное приложение Microsoft Authenticator. Приложение доступно для систем Android (Google Play) и iOS (App Store).

Для пользователей, использовавших аутентификацию по вызову (звонку), действует прежний способ проверки. Если Вы хотите изменить Ваш контактный номер телефона, воспользуйтесь инструкцией.

Чтобы сменить метод аутентификации, воспользуйтесь руководством по ссылке.

Также не забывайте , что при необходимости использования квалифицированной электронной подписи при удаленном подключении к рабочему месту носитель с электронной подписью необходимо забрать с собой , чтобы подключить его к домашнему компьютеру/ноутбуку.

Настройка двухфакторной аутентификации

Проверка второго фактора выполняется через мобильное приложение Microsoft Authenticator, которое доступно для систем Android (Google Play) и iOS (App Store). Установите данное приложение (рис. 1).

При первом входе нажмите «Принимаю» для принятия соглашения о конфиденциальности. Затем нажмите «Сканировать QR-код и выдайте необходимые системные разрешения для доступа к камере. Откроется интерфейс сканирования (рис. 2). Не закрывайте приложение!

После успешного входа Вы перейдете в настройку пользователя и Вам предложат выбрать метод аутентификации. Выберете "Мобильное приложение" и нажмите "Создать код активации" (рис. 4).

Вам предоставят URL-адрес и QR-код (рис. 5). Данный код будет действовать 10 минут с момента создания. Вернитесь к приложению Mircrosoft Authenticator.

Если отсканировать не удалось, введите код вручную (рис. 6).

После успешной регистрации Ваша учетная запись появиться в главном меню (рис. 7).

Настройка двухфакторной аутентификации через приложение завершена. Теперь Вы можете подключаться к своему рабочему компьютеру.

Установка приложения Cisco Anyconnect VPN Client

Для установления защищенного подключения к корпоративной сети Университета Вам необходимо использовать приложение для обеспечения удаленного доступа Cisco AnyConnect Secure Mobility Client. Его можно скачать по ссылке для ОС Windows и по ссылке для ОС macOS. Данное приложение доступно для систем Android и iOS. Выполните установку, если приложение уже установлено, пропустите данный пункт.

Подключение

Откройте установленное приложение Cisco AnyConnect Secure Mobility Client. В качестве сервера подключения укажите имя "vpn.utmn.ru" в поле, указанном на рис. 10, и нажмите кнопку «Connect».

Аутентификация

Для прохождения аутентификации Вам необходимо выбрать группу подключения "UTMN_MFA" и ввести данные Вашей корпоративной учетной записи в поля, представленные на рис. 11.

Приложение Microsoft Authenticator пришлет уведомление с просьбой подтвердить или отклонить вход (рис. 12).

После чего автоматически будет установлено защищенное подключение (рис. 13) и Вы сможете использовать корпоративные ресурсы Университета.

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описывается, как настроить клиент защищенного мобильного доступа Cisco AnyConnect Secure Mobility с помощью диспетчера устройств Cisco Adaptive Security Device Manager на многофункциональном устройстве обеспечения безопасности Cisco ASA с ПО версии 9.3(2).

Предварительные условия

Требования

Веб-пакет развертывания клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility необходимо загрузить на локальный компьютер, на котором имеется доступ ASDM к ASA. Загрузить клиентский пакет можно на веб-странице клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility. Веб-пакеты развертывания для различных операционных систем (ОС) можно загрузить на ASA одновременно.

Имена файлов веб-пакетов развертывания для различных ОС:

победа AnyConnect Г¦¦ 

- <версия>-k9.pkg

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

В этом документе представлены пошаговые инструкции по использованию мастера настройки AnyConnect Cisco в ASDM, позволяющего настроить клиент AnyConnect и включить раздельное туннелирование.

Раздельное туннелирование используется в случаях, когда необходимо туннелировать только определенный трафик, в отличие от ситуаций, в которых весь поток трафика, создаваемый клиентскими компьютерами, проходит через VPN, если она подключена. При использовании мастера настройки AnyConnect по умолчанию на ASA создается конфигурация tunnel-all. Раздельное туннелирование необходимо настраивать отдельно, о чем подробно рассказывается в разделе Разделенное туннелирование этого документа.

В этом примере конфигурации предполагается передавать трафик для подсети 10.10.10.0/24, которая является подсетью локальной сети за устройством ASA, по VPN-туннелю, а весь остальной трафик с клиентского компьютера передавать через его собственный канал в Интернете.

Информация о лицензии AnyConnect

Далее приведены некоторые ссылки на полезные сведения о лицензиях клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility:

Настройка

В этом разделе описывается настройка клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility на ASA.

Схема сети

Это топология, которая используется для примеров в данном документе:

Мастер настройки AnyConnect ASDM

Мастер настройки AnyConnect может использоваться для настройки клиента защищенного мобильного доступа AnyConnect Secure Mobility. Прежде чем продолжить, убедитесь, что пакет клиента AnyConnect загружен на флеш-накопитель или диск межсетевого экрана ASA.

Для того чтобы настроить клиент защищенного мобильного доступа AnyConnect Secure Mobility с помощью мастера настройки, выполните следующие действия:

Примечание. Этот сертификат является предоставляемым сертификатом серверной части. Если на ASA нет установленных сертификатов и необходимо создать самозаверенный сертификат, нажмите кнопку Manage (Управление).

Примечание. В данном примере настраивается аутентификация LOCAL. Это означает, что для аутентификации будет использоваться локальная база данных пользователей на ASA.

Установите флажок Exempt VPN traffic from network address translation (Не подвергать трафик VPN преобразованию сетевых адресов) и настройте интерфейсы LAN и WAN, которые будут использоваться в этом исключении:

Теперь настройка клиента AnyConnect завершена. Однако при настройке AnyConnect в мастере настройки политика раздельного туннелирования настраивается как Tunnelall по умолчанию. Для туннелирования только определенного трафика необходимо реализовать раздельное туннелирование.

Примечание. Если раздельное туннелирование не будет настроено, политика раздельного туннелирования будет унаследована от групповой политики по умолчанию (DfltGrpPolicy), которая по умолчанию установлена как Tunnelall. Это означает, что после подключения клиента по VPN весь трафик (включая трафик Интернета) передается по туннелю.

Только трафик, предназначенный для IP-адреса глобальной сети ASA (или внешнего IP-адреса), будет обходить туннелирование на клиентском компьютере. Это можно видеть в выходных данных команды route print на компьютерах Microsoft Windows.

Настройка раздельного туннелирования

Раздельное туннелирование — это функция, с помощью которой можно определить трафик для подсетей или хостов, который должен шифроваться. Сюда входит настройка списка контроля доступа (ACL), который будет связан с этой функцией. Трафик для подсетей или хостов, определенный в этом ACL, будет шифроваться в туннеле с клиентской стороны, и маршруты для этих подсетей устанавливаются в таблице маршрутизации ПК.

Для того чтобы перейти от конфигурации Tunnel-all к конфигурации Split-tunnel, выполните следующие действия:

После подключения маршруты для подсетей или хостов в ACL разделения добавляются в таблицу маршрутизации клиентского компьютера. На компьютерах Microsoft Windows это можно увидеть в выходных результатах команды route print. Следующим переходом для этих маршрутов будет IP-адрес подсети из пула IP-адресов клиента (обычно первый IP-адрес подсети):

На компьютерах MAC OS для просмотра таблицы маршрутизации компьютера введите команду netstat-r:

Загрузка и установка клиента AnyConnect

Существует два способа развертывания клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility на пользовательском компьютере:

Оба эти способа подробно описываются в последующих разделах.

Развертывание через Интернет

Примечание. Если используется Internet Explorer (IE), установка выполняется в основном через ActiveX, если не включено принудительное использование Java. Во всех остальных браузерах используется Java.

После входа на эту страницу должна начаться установка на клиентском компьютере, а клиент должен подключиться к ASA после завершения установки.

Примечание. Может быть запрошено разрешение на запуск ActiveX или Java. Необходимо дать разрешение, чтобы продолжить установку.

Автономное развертывание

Для того чтобы воспользоваться способом автономного развертывания, выполните следующие действия:

Примечание. После этого будет загружен ISO-образ установщика (такой как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

Конфигурация интерфейса командой строки CLI

В этом разделе представлена конфигурация интерфейса командой строки (CLI) для клиента защищенного мобильного доступа Cisco AnyConnect Secure Mobility в целях справки.

Проверка

Выполните следующие действия для проверки клиентского подключения и различных параметров этого подключения:

Совет: Сеансы можно дополнительно фильтровать с помощь других условий, таких как имя пользователя и IP-адрес.

Устранение неполадок

С помощью инструмента диагностики и создания отчетов (DART) AnyConnect можно собрать данные для поиска и устранения неполадок c установкой AnyConnect и проблем с подключением. Мастер DART используется на компьютере, на котором работает AnyConnect. DART собирает информацию журналов, информацию о состоянии и диагностическую информацию для анализа в Центре технической поддержки Cisco TAC, и для его запуска на клиентском компьютере не требуются права администратора.

Установка DART

Для установки DART выполните следующие действия:

Примечание. После этого будет загружен ISO-образ установщика (такой как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

Запуск DART

Перед запуском DART учтите следующие важные аспекты:

Запустите DART из меню «Пуск» на клиентском компьютере:

Можно выбрать режим Default (По умолчанию) или Custom (Пользовательский). Cisco рекомендует запускать DART в режиме по умолчанию, чтобы вся информация могла быть захвачена за один раз.

Конфигурация установки клиента Cisco AnyConnect и навыки изменения адреса по умолчанию

Cisco AnyConnect - это VPN-клиент, запущенный Cisco. В настоящее время существуют клиенты для таких операционных систем, как Windows, Android, iOS, OS X, Ubuntu и WebOS. Основная функция AnyConnect - облегчить сотрудникам безопасную работу на любом устройстве.

Конфигурация установки клиента Cisco AnyConnect и навыки изменения адреса по умолчанию

История обновлений

24 мая 2019 - Первый вариант

Расширенное чтение

Cisco AnyConnect Secure Mobility Client

Введение в Cisco AnyConnect

Нет необходимости в представлении

Конфигурация Cisco AnyConnect

При установке системы macOS устанавливается только компонент VPN, другие функции устанавливать не нужно.
Рекомендуется снять флажки как с macOS, так и с Windows. Block Connections to untrusted servers

Cisco AnyConnect изменяет адрес ссылки по умолчанию

Change Local Policy Parameters Manually

Step 1 Retrieve a copy of the AnyConnect Local Policy file (AnyConnectLocalPolicy.xml) from a client installation.

Table 1. Operating System and AnyConnect Local Policy File Installation Path Operating System

Step 2 Edit the parameter settings. You can either edit the AnyConnectLocalPolicy file manually, or use the VPN Local Policy editor, which is distributed with the AnyConnect Profile Editor installer.

Step 3 Save the file as AnyConnectLocalPolicy.xml and deploy the file to remote computers using a corporate software deployment system.

Step 4 Reboot the remote computers so that the changes to the local policy file take effect.

macOS

Обратите внимание на модификацию Китайские ноты

Windows

Обратите внимание на модификацию Китайские ноты

C: \ Users \ ваше имя пользователя \ AppData \ Local \ Cisco \ Cisco AnyConnect Secure Mobility Client в каталоге preferences.xml файл

C:\Users\wangao\AppData\Local\Cisco\Cisco AnyConnect Secure Mobility Client

Сразу хочу отметить, — не собираюсь устраивать холивар на счет того, что лучше — ASDM or console: на вкус и цвет все фломастеры разные…Я предпочитаю ASDM и настройки такого плана произвожу именно через нее. Поэтому статья будет насыщенна картинками (скринами)

Итак, приступим. Начнем с настройки LDAP сервера (в нашем случае это DC ActiveDirectory), для этого переходим в Configuration > DeviceManagement > Users/AAA > AAA Server Groups и создаем группу, назовем ее OFFICE, Protocol указываем LDAP

Configuration Cisco ASA AAA Server Groups

Для того, чтобы добавить сервер в созданную группу, нам необходимо предварительно создать LDAP Atribute Map. Для этого переходим в соответствующий раздел: Configuration > DeviceManagement > Users/AAA >LDAP Attribute Map и создаем новую карту: в нашем случае это Map Name: AD, Mapping of Attribute Name > LDAP Attribute Name: memberOf, Cisco Attribute Name: IETF-Radius-Class

LDAP Attribute Map

Теперь можно добавить сервер (настроить подключение к контроллеру домена), указываем интерфейс, через который будем подключаться, IP адрес DC, Server Type: Microsoft, Base DN, Naming Attribute: sAMAccountName, Login DN, Login Password, только что созданную карту LDAP Attribute Map: AD, Group Base DN:

AAA Server — Microsoft DC
Add AAA Server

После добавления сервера делаем проверку, проходим аутентификацию учетной записью AD:

Test AAA Server — Authentication

Теперь можно добавить сертификат удостоверяющего центра (используется Microsoft CA, в рамках статьи о его настройке рассказывать не буду, единственное о чем следует обязательно помнить: Cisco ASA не воспринимает сертификаты с Signature algorithm RSASSA-PSS, который Microsoft предлагает использовать по умолчанию. мы меняли на sha512RSA):

Identity Certificates Signature algorithm RSASSA-PSS — sha512

Переходим Configuration > DeviceManagement >Certificate Management > Identity Certificates и импортируем в формате PKCS12 (*.pfx сертификат + private key):

Identity Certificates Signature algorithm sha512RSA (ECDSA 521 bits)

С подготовительными действиями закончили, можно переходить к настройке профилей для AnyConnect VPN. Для примера, будем использовать 2 профиля, у которых будут разные IP Address Pools и соотв. ACL, Dynamic Access Policies, Group Policies и соответственно 2 группы ActiveDirectory. При подключении пользователей по ВПН используем политику «Туннелирование только указанных сетей», так называемый Split Tunneling, чтобы не гнать весь пользовательский траффик через впн. Но это «на любителя», может кому-то, наоборот, такое потребуется — последнее время это очень актуально ;)

Начнем с IP Address Pools, для этого переходим в Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools

Создадим пул адресов (сегмент) для администраторов (назовем, например VPN_Admins):

Address Assignment — Address Pools

Далее создадим политику (это основная часть настроеек профиля, в которой можно задат: протоколы, которые будут использоваться для туннелей, время доступа, количество одновременных логинов, закрыть доступы к определенным VLAN, выставить таймауты, задать DNS серверы, настроить Split Tunneling, клиентский файерволл и тд и тп) — в общем этой настройке следует уделить особое внимание! Итак, начнем: Configuration > Remote Access VPN > Network (Client) Access > Group Policies, Add Internal Group Policy

Все выставленные параметры сугубо индивидуальны — в нашем случае немного параноидальны Указаны протоколы, которые допускаются для создания туннеля (Tunneling Protocols), временной период для доступа по ВПН (Access Hours), количество одновременных подключений с одной учетной записью (Simultaneous Logins), максимальное время для сеанса и пр.:

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add Internal Group Policy

Следующая полезная настройка — вкладка Servers, в которой мы можем указать внутр. ДНС серверы, для пользователей ВПН AnyConnect, чтобы они могли обращаться к внутренним ресурсам по имени:

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy — Servers

Теперь перейдем к еще одной интересной опции — настройке Split Tunneling. Как я уже писал ранее — будем использовать политику «туннелирование только указанных сетей» (мы не заворачиваем в туннель весь траффик пользователей и разрешаем доступ к локальным ресурсам — опция «Local Lan Access» далее будет отдельно рассмотрена):

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > Split Tunneling >

Ранее мы указали к каким сетям\хостам мы разрешили доступ, теперь ограничим доступ к ним по протоколам\портам (еще один ACL):

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > AnyConnect Client > Client Firewall > Private Network Rule

В итоге, после подключения к впн AnyConnect клиентом, можно увидеть маршруты в сторону туннеля и правила файерволла:

AnyConnect Client > Route Details

AnyConnect Client > Firewall

Теперь можно перейти непосредственно к созданию профиля AnyConnect, переходим Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles >, Add AnyConnect Connection Profile

и указываем: Name, Aliases, далее Authentication Method (AAA and certificate), AAA Server Group, Client Address Pools, Group Policy — все созданное ранее!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Basic

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Advanced > Authentication > Username Mapping from Certificate

Когда профили настроили — мы уже можем подключаться, потому как будет отрабатывать политика по умолчанию DfltAccessPolicy для всех пользователей, прошедших аутентификацию (у нее самый высокий приоритет). Мы же хотим, чтобы для разных групп ActiveDirectory использовался свой профиль и отрабатывала своя групповая политика \ политика доступа. Поэтому, переходим: Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies и запрещаем DfltAccessPolicy (на самом деле не запрещаем, а делаем Terminate с уведомлением пользователя — хорошая диагностика того, что пользователь не включен в требую группу ActiveDirectory):

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies
Terminate connection from users who are not in the access group

После того, как политику по умолчанию запретили, — создадим новую:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes

где g_vpn_level_01 — созданная в ActiveDirectory группа безопасности, куда мы включаем необходимые админские учетки, для подключения по ВПН AnyConnect с профилем VPN-ADMINS:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes > Get AD Groups

ну и заключительный «штрих» — рекомендую сохранить созданный профиль в файл (полезно, например, для синхронизации профилей для StandBy unit при Failover конфигурации):

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

После того, как профиль сохранен — его можно немного «потюнинговать»: помните я говорил про опцию"Local Lan Access"? Она как раз здесь настраивается. А еще здесь же можно настроить выбор хранилища сертификатов; автообновление клиента AnyConnect; разрешить\запретить возможность подключения к компьютеру через рдп, при подключенном впн; указать версию протокола (IPv4 or IPv6 or both); параметры сертификатов и серверов; мобильные политики. В общем — есть, что «подкрутить» под ваши нужды!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile > Edit

Читайте также: