Cisco ASA anyconnect с разделением прав через AD

Добрый день.
Была необходимость предоставить доступ через vpn внутрь компании, при этом доступ должен быть для разных пользователей свой. Было решено, сделать разграничение по группам. В AD были созданы группы, куда добавили пользователей. В зависимости от того, в какую группу был добавлен пользователь, у него зависело куда он имеет доступ. Настройка под катом 🙂

Вот собственно настройка Cisco ASA для моего случая
ip local pool VPDN-POOL-TPG 192.168.200.2-192.168.200.127 mask 255.255.255.0

access-list VPN-for-TPG standard permit 192.168.0.0 255.255.0.0
access-list VPN-for-TPG standard permit 10.10.0.0 255.255.0.0
access-list VPN-for-TPG standard permit 10.1.0.0 255.255.0.0
access-list VPN-for-TPG standard permit 10.12.0.0 255.255.0.0
access-list VPN-for-TPG standard permit 10.0.0.0 255.255.248.0

tunnel-group DefaultWEBVPNGroup general-attributes
address-pool VPDN-POOL-TPG
authentication-server-group MyRADIUS
default-group-policy WEB-VPN
password-management password-expire-in-days 10

group-policy ACCESS-VPN-TPG-3 internal
group-policy ACCESS-VPN-TPG-3 attributes
wins-server value 192.168.9.113 192.168.9.129
dns-server value 192.168.9.113 192.168.9.129
vpn-simultaneous-logins 1
vpn-idle-timeout 120
vpn-session-timeout 300
vpn-filter value Access-Support
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-for-TPG
default-domain value domain.ru
address-pools value VPDN-POOL-TPG
webvpn
filter none
html-content-filter none
anyconnect keep-installer installed
storage-objects value credentials

group-policy ACCESS-VPN-TPG-2 internal
group-policy ACCESS-VPN-TPG-2 attributes
wins-server value 192.168.9.113 192.168.9.129
dns-server value 192.168.9.113 192.168.9.129
vpn-simultaneous-logins 1
vpn-idle-timeout 120
vpn-session-timeout 300
vpn-filter value Access-Files
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-for-TPG
default-domain value domain.ru
address-pools value VPDN-POOL-TPG
webvpn
filter none
html-content-filter none
anyconnect keep-installer installed
storage-objects value credentials

group-policy ACCESS-VPN-TPG-1 internal
group-policy ACCESS-VPN-TPG-1 attributes
wins-server value 192.168.9.113 192.168.9.129
dns-server value 192.168.9.113 192.168.9.129
vpn-simultaneous-logins 1
vpn-idle-timeout 120
vpn-session-timeout 300
vpn-filter value Access-Terminal
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-for-TPG
default-domain value domain.ru
address-pools value VPDN-POOL-TPG
webvpn
filter none
html-content-filter none
anyconnect keep-installer installed
storage-objects value credentials

group-policy ACCESS-VPN-TPG-4 internal
group-policy ACCESS-VPN-TPG-4 attributes
wins-server value 192.168.9.113 192.168.9.129
dns-server value 192.168.9.113 192.168.9.129
vpn-simultaneous-logins 1
vpn-idle-timeout 120
vpn-session-timeout 300
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-for-TPG
default-domain value domain.ru
address-pools value VPDN-POOL-TPG
webvpn
filter none
html-content-filter none
anyconnect keep-installer installed
storage-objects value credentials

group-policy WEB-VPN internal
group-policy WEB-VPN attributes
wins-server value 192.168.9.113 192.168.9.129
dns-server value 192.168.9.113 192.168.9.129
vpn-simultaneous-logins 1
vpn-idle-timeout 120
vpn-session-timeout 300
vpn-tunnel-protocol ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-for-TPG
default-domain value domain.ru
address-pools value VPDN-POOL-TPG
webvpn
url-list value Servers
filter none
html-content-filter none
anyconnect keep-installer installed
customization value DfltCustomization
storage-objects value credentials

vpn-filter — в данном параметре указывается access-list, который используется для группы, где указано, куда он может попасть.
VPDN-POOL-TPG — указан пул адресов из которого пользователю выдается ip-адрес.
vpn-tunnel-protocol ssl-clientless — говорит о том, что группа пользователей может войти только через браузер
vpn-tunnel-protocol ssl-client ssl-clientless — говорит о том, что группа пользователей может войти через браузер или Cisco anyconnect
VPN-for-TPG — в данном access-list’е прописывается сети, который будут маршрутизироваться через vpn подключение, остальные сети у пользователя будет работать через его провайдера.
url-list — показывает список ссылок при входа на web-портал, на которым можно будет пройти не использую anyconnect, а сразу с портала. Список необходимо заранее создать с помощью команды import webvpn url-list.
ACCESS-VPN-TPG-4 — у данной группы, права администраторские, поэтому мы ей ничего не ограничиваем.

Описывать настройку Radius сервера не буду (в данном случае используется Microsoft Network Policy Server NPS), покажу только что надо добавить, чтобы Radius передавал правильно группу

Документация FreeBSD, Linux, Cisco

Сайт для заметок, статей. Чтобы самому не забыть, ну и может кому-нибудь поможет

Добавить комментарий Отменить ответ