Pull to refresh

Comments 120

Он может работать в скрытом режиме…

Можно подробнее?
Иконки в статус-баре не будет и никакого взаимодействия с пользователем

Один из самых глючных клиентов с которым приходилось имеет дело. Я не знаю что оно делает с настройками сети, но половина приложений перестает нормально функционировать, начиная от моргающего рдп-клиента каждые 5 минут и заканчивая настольными приложениями которые перестают видеть сервера в сети, а то что оно само себя включает даже если останавливаешь сервис, ну вообще не серьезно.

Эксплуатирую его с первых релизов в разных режимах, разных организациях и конфигурациях — один из самых стабильных и функциональных VPN клиентов. У моих друзей также

Поддержу. По работе периодически использую. Проблем нет.
Я работаю удаленно уже лет 8, и должен сказать что Cisco AnyConnect — самый глючный VPN что я использовал. Доходило до того что приходилось ставить опен-сурс клиенты на винду (ShrewSoft VPN Client) чтобы добратся до сети клиента. Может конечно Cisco сейчас и подтянулась (ибо конкуренция жмет), но раньше этот клиент был «говном мамонта» имхо и впаривался этот клиент в довесок к сетевому оборудованию. Оно совершенно точно жестко глючило на девелоперских системах — там где постоянно меняеются таблицы роутинга, добавляются новые сетевые адаптеры (для виртуальных машин) и так далее. Рано или подзно в такой системе AnyConnect сносило мозг и он терял связь с реальностью (и таблицой роутинга).

Из последнего что реально понравилось — Pulse Secure. Заходило в сеть клиента в 1-2 клика. После классических VPN клиентов — как глоток свежего воздуха.

Год в новой компании, год использую AnyConnect на удаленке. Проблем вообще не наблюдается (MacBook Pro). После OpenVPN, которое использовалось 3 года в предыдущей компании и имело тенденцию останавливать работу на часы по крайней мере раз в месяц из-за каких-то собственных проблем, использование данного клиента просто незаметно и совершенно не доставляет хлопот.
Единственное, как мне кажется, автор погорячился с тем, что его можно легко и просто скачать… на сколько помню, надо проходить достаточно сложную регистрацию, или, что правильнее, — получить линк на скачивание от корпоративного пользователя в лице своей компании. (банально не помню проблем, но помню, что после обновления системы пришлось повозиться с получением инсталляшки, в конце концов dmg прислал сисадмин).
Ага, раньше действительно этот клинет еще и скачать просто так нельзя было, было за стеной паролей и логиной на сайте Ciscо (еще один огромный минус кмк). Но судя по всему что у конкурентов все качалось просто прямо с сайта они решили эту «фичу» закапать и теперь гугл находит клиента прямо на сайте Cisco — не прошло и 10ли лет хаха…
Ну, этот опыт установки датируется январем-февралем этого года, так что история не очень давняя, и проблема оставалась ))) Хотя для мобильной платформы действительно, проблем нет.
Ага, раньше действительно этот клинет еще и скачать просто так нельзя было, было за стеной паролей и логиной на сайте Ciscо (еще один огромный минус кмк)

Это до сих пор так, к сожалению (проверял буквально ПОЗАВЧЕРА)

Так получилось скачать? Вышла версия 4.8.03036 Помогите скачать, в интернетах нет нигде пока, кроме как на офф сайте…
У вас разные варианты «скачивания» есть — можно с сайта, можно при подключении к шлюзу, можно раскатать через системы управления ПО. А что касается регистрации, то не дело каждого пользователя регистрироваться на cisco.com — все-таки этот процесс должен быть регулируемым именно админом
можно при подключении к шлюзу

Особо актуально при использовании личных устройств, когда шлюз не обновлен (пример с 32-битным клиентом под мак)… Лучше уж (обращение к Cisco) — пожалуйста, сделайте клиента доступным для скачивания в открытую, свободно. На безопасности решений это не скажется. Тем более, что все равно можно скачать циско клиента через сторонние сайты (достаточно загуглить установочный файл)

может быть его просто не умеют готовить ваши сетевые инженеры?
Глючит стопудово. В целом вроде все работает, но попытался запустить докер-контейнер с npm, и фиг тебе — не может затянуть зависимости.
[1/4] Resolving packages…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
info There appears to be trouble with your network connection. Retrying…
error An unexpected error occurred: «registry.yarnpkg.com/@prisma-cms%2fcontext: ETIMEDOUT».

4 раза пробовал — результат один и тот же. Откулючил anyconnect, все запустилось с первого раза.

docker и впны — это вообще отдельная головная боль, не понимаю, что тут особенного в anyconnect

Я тоже не понимаю. Но говорю про факт — с anyconnect не подгружаются зависимости, что-то не так с сетью. Отключаю его, и все ОК.

Еще раз — если у Вас используется какой-нибудь OpenVPN, то Вы точно так же можете поймать проблемы с докером. Почему? Да потому что докер резервирует под себя отдельную сеть (172.xx.xx.xx). И контейнеры работают через этот бридж. Или еще хуже — если у Вас винда или мак, то докер так вообще в виртуальной машине работает и там с роутингом происходит просто ад. Какие решения могут быть? Ну, руками роутинг настраивать, перевешивать докер на отдельную подсеть, которая не имеет пересечений с vpn сетями, возможно — перейти с anyconnect на openconnect и отключить интернет через корп сеть…

ОК. Спасибо за разъяснения. Учту.

P.S. у меня ubuntu.

Совсем недавно прришлось с ним столкнуться и не понравилось только то, что вроде надо всего дна один "RDP IP" ходить и вся основная работа потом там, но он рубит всю локальную (домашнюю) сеть и весь трафик реально гонит через себя из за чего на пример запросы на поиск ранее обрабатывались 1-3 мс., а после подключения 50-200 т.к. образно через всю планету вертеться надо, ну вот зачем это сделано не понятно. В плане безопасности типа объясняют, там что проще проставить там СОВ на один адрес (копирование и т.п. по РДП там и так отключено сразу) и его контролировать или в итоге все запросы какие только могут идти от всего обрабатывать. А так по работе нареканий нет, работает вроде стабильно и все приложение.

его контролировать или в итоге все запросы какие только могут идти от всего обрабатывать.

плохая аргументация. Все равно весь внешний трафик TLS, без установки прокси и переподписывания сертификатов - ничего не перехватить. Лучше уж ставить локальные Endpoint Security и штуки вроде https://www.netskope.com/ Они на локальных машинах перехватывают трафик и шлют его на оконечные узлы напрямую, без VPN. Политики точно так же распределяются централизованно с единой консоли администратора

Так все зависит от настроек. Можно сделать так, чтобы локальная сетка не рубилась

Нельзя. В смысле в больших организациях это блокируется на уровне конфигурации циско клиента, а он тащит ее с сервера. Ну, в этом есть логика, чтобы пользователь не мог обойти их. Наверное, можно как-то с админскими правами (если они есть) поменять таблицу маршрутизации, но не факт, что сработает

Можно попробовать OpenConnect, если админы не сильно закрутили политики.

Ну тогда это не проблема продукта :-) Всего лишь нюанс конкретной организации

Когда Эниконнект перестанет трогать чужие роуты, вычищая постоянно всё, кроме своих? Надоело для подключения какого-нибудь Вайргарда отключать циско-впн.
Неа, не пробовали. А он поддерживается в ASA 5500?

Ну и в целом — хочется не по приложениям разделить «зоны влияния», а просто, чтобы непересекающиеся роуты разных туннелей мирно сосуществовали.
Именно ASA 5500? Или все-таки ASA 5500-X? Какая у вас модель железа и версия софта?
Нужна версия ПО ASA 9.3.1 и выше

Что касается 5510, то я бы рекомендовал подумать о переходе на более новую железку. Мы объявили окончание поддержки этой платформы в 2013-м году, а в 2018-м прекратили выпускать для нее обновления и оказывать поддержку.
вот поэтому я и не перейду на Cisco. Стоит себе железяка, работает. Все вроде хорошо. И вдруг — купите новую железку, нам надоело старую поддерживать. Не «обновите софт», а «купите железо». да ещё и за много денег :(

Какой-то странный подход. Лучше же, наверное, покупать железки с пожизненной гарантией, а то, что Вы при этом переплатите 300% — пофиг? Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна? И секурити апдейты не нужны — надо будет — новую железку купим?

Или покупать безымянных китайцев вообще без гарантии? А чо — она вообще нафиг не нужна?
Ну, вообще говоря, гарантия вам даст только замену устройства на рабочее. В течение 2 недель. В течение которых вы будете без железки.
В то время, как можно просто за те же деньги купить хоть четыре девайса подешевле, тех же Микротиков (с пожизненной лицензией на RouterOS), три из которых будут стоять горячим резервом.

Пожизненный бесплатный NBD? (кстати, оноразве тоженазывается «гарантия», ане расширенное сервисное обслуживание, или как-то так?) Ну, и сутки (а то и целую праздничную неделю) простоять без связи — тоже невесело, особенно по сравнению с горячим резервом за четверть той цены.

Тогда давайте не путать стандартную гарантию и сервисную поддержку. При покупке любых сложных технических изделий вы не получаете сразу замену (исключение бывают, но это политика отдельных магазинов), а его берут на диагностику, потом принимают решение и т.д. Срок замены может достигать 45 дней. По гарантии. У нас есть гарантия и условия ее предоставления. Есть техническая поддержка, которая в зависимости от уровня, подразумевает замену оборудования в режиме NBD в течение всего срока ее действия.
Так я и писал, что ориентироваться на гарантию на само железо смысла нет. На ту самую, которая до 45 дней. А вот на пожизненную поддержку софта (RouterOS) — есть.
Алексей, а можно немного побольше подробностей? Железо 5515X/5516X/5545X/5585X софт 9.6.4-36.

UPD. Немного не тот вариант. Это все работает для мобильных платформ. На десктопе может быть запущено более чем один VPN клиента, один из них это Anyconnect, а второй OpenVPN запущенный после Anyconnect. Так вот Anyconnect с радостью затирает роуты полученные OpenVPN клиентом.
Поставил openvpn и не знаю бед, дополнительные примочки тут выглядят как реклама, а вообще скоро vpn будет в шита в ядро линукс вот тогда и заживем
Если рассматривать только VPN-функциональность, то да. Но AnyConnect дает больше и именно для корпоративного применения
Поддерживаю. Был опыт перехода с Cisco VPN Client на Any Connect, и стабильность работы не в пользу последнего. Да, соглашусь, что функционал у Any Connect богаче, моет, стирает, есть готовит… Но для выполнения своего функционала мне старого-доброго VPN клиента хватает более чем.
Соглашусь с тем, что если речь идет только о шифровании трафика, то старого VPN Client хватало. Но мы то говорим как раз о том, что при удаленной работе функционал нужен чуть шире
Не лучшая реализация клиента (по моему мнению, как пользователя).
Сейчас используем массово (до 700 подключений)
1. Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.
2. Во время работы пропадает связь на порт RDP хотя пинги идут, при использовании другого впн клиента такого не наблюдается, админы говорят что отдельного фаервола нет — лечится переподключением впн клиента
Возможно, есть какие то преимущества если использовать на ноутбуке выдаваемом организацией сотруднику.
Крайне неудобен при использовании на личном ноутбуке.
Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.
Вот не знаю. У меня всегда клиент нужен — если не для VPN, то для проброса трафика до Umbrella, когда VPN не поднят, или для контроля сетевого доступа, если я в доверенной сети. Поэтому у него и нет просто кнопки «выключить».
У меня всегда клиент нужен

В том то и дело. Я работаю с личного ноутбука с несколькими оргацизациями, использую разные клиенты. И клиент от Cisco мне нужен 4-5 часов в неделю.
Учитывая, что политики в том числе маршрутизации настраивается админом сторонней организации меня на личном ноутбуке они чаще всего не устраивают. Например, не удалось объяснить (тикет в SD обрабатывается неделями) что заворачивать весь мой трафик через сеть организации мне совсем не удобно, оссобенно когда у меня окрыт гугл с документацией и SO, а часто и SO с Google Drive и почтовиками из внутренней сети заблокированны.
Пока использую такие клиенты от подрядчиков только из под виртуальных машин. Одна ВМ — один подрядчик. А все что нужно в интернете — из хостовой системы. Такая вот куча из… и палок. Удобство использования конечно не радует.

К сожалению, вот эта возможность использовать виртуалки и показывает театр безопасности, который творится. Кстати, даже если у клиента физ устройство и нет виртуалок, то где гарантия, что у него рядом второй ноут, например, не стоит. Т.е. эти меры с заворотом трафика абсолютно не страхуют от утечек данных… Ну, может разве что чутка их усложняют.

Ну согласитесь, что это не проблема AnyConnect, а настроек, сделанных на стороне из ваших заказчиков. Они могли настроить для вас split tunneling, но не стали по своим соображениям. AnyConnect-то позволял это сделать
Возможно я бы и согласился. Если бы у меня не было с чем сравнить. На том же OpenVPN возможность локально изменить настройки маршрутизации есть. И мне не приходится привлекать к этому сторонних исполнителей.
Если рассматривать каждый неудобный момент при использовании решений от Cisco не как недостаток (при конкурентном сравнении vpn решений), а как особенность значительно влияющую на безопасность, то, при обсуждении (клиента) эти преимущества и стоит обсуждать. В соседнем комментарии использовали фразу «театр безопасности». И, по моему мнению, эта фраза замечательно характеризует текущее состояние vpn-решений.
Ветку комментариев я начинал как мнение одного из пользователей клиента vpn. В большинстве организаций все же предлагают выбор какой клиент использовать. И, пока, в этом выборе решения от Cisco занимаю последние строчки. При этом, к сожалению, уже не обсуждаются какие то конкретные решения. Как только упоминается Cisco — сразу интересуйся наличием альтернатив.
  1. Регулярные пробемы при подключении, ошибка распознавания логин/пароль — пока решается повторными попытками подключения, при том что пароль вставляется из буфера обмена, администраторы до сих пор разбираются с ошибкой.

нет таких проблем — сколько с AnyConnect работал


Крайне неудобен при использовании на личном ноутбуке.

Терпимо. Все неудобства, которые есть — они как правило не из-за клиента, а из-за идиотских настроек корп файрволла и VPN с серверной стороны


Нет нормальной возможности остановить клиент когда он не нужен — пытается перезапуститься сервис, пытается перезапустится приложение в трее. Приходится отключать виртуальный сетевой адаптер в списке устройств.

На маке и линуксе все прекрасно

Не в рамках ветки. Возможно сможете что то посоветовать.
Я разрабатываю системы с веб-частью сразу на серверах заказчика. Сервера доступны только из локальной сети. Тестирование SPA требуется проводить и с мобильных и с десктопа (причем одновременно). Можно ли настроить soho-роутер (сейчас использую Microtik) для того чтобы одновременно пробросить несколько устройств в сеть за AnyConnect или Check Point Endpoint?
Приобретение старого Cisco адаптера рассматривать большого желания нет (лишняя железка, да и нет опыта настройки cisco-роутеров). Сейчас использую отдельную виртуалку на которой поднят шлюз, но это решение ложится когда админы а стороне заказчика начинаю играться с настройками маршрутизации.

не совсем понял вопроса.
Т.е. Вы хотите микротик использовать как впн-клиент или ЗА микротиком несколько машин, на каждой свой впн-агент?

Я хочу предоставить доступ для устройств из подсети за микротиком в подсеть за vpn. Cоединение с vpn хотелось бы настраивать только на microtik.

Нет, это так не работает. Вам придется себе выбивать Cisco IPsec, чтобы сделать сеть-сеть (пир-ту-пир) IPsec VPN

В Cisco AnyConnect встроен специальный роуминговый модуль

Подтверждаю — это скорее работает, чем нет

Тебе для личных целей, для московского офиса или для всей твоей компании? В первом и втором случае бесплатно. В третьем — надо решать через штаб-квартиру, но и это решаемо. Ты же знаешь :-)
После того как пришлось настраивать Firepower и несколько удаленных железок поумирали в процессе раскатки обновления с fmc… Пожалуй лучше остановлюсь на Forticlient.

Глючное говно этот ваш фортиклиент. Зато энтерпрайзненько. Возможно, что у меня biased мнение и мне просто сильно не повезло и ребята, с которыми я работал, не умеют форти настраивать. Но впечатления хуже, чем и от циски, и от бесплатных ркшений

Ставил any connect на centos 7. С гуём работает нормально. Без гуя — постоянно отваливается коннект через разные промежутки времени ( может 2 часа поработать, а может и пару секунд). Причину так и не нашел. Так и сижу со скриптом, который мониторит пинги и выполняет переподключение при необходимости. Такая вот ерунда...

Ну в списке официально поддерживаемых ОС Centos и нет же :-)
т.е. rhel-based не считается? )))
Ок, попробую на ubuntu 16.04 lts (как заявлено в документации к версии 4.4)
Официально не считается :-) Не тестировали и поэтому не можем отвечать за работоспособность. Понятно, что он будет работать, но могут быть нюансы, что и всплыло
Возможно ли добавить в ACL Split Tunneling FQDN для облачных сервисов? Иначе получается колбаса из подсетей.
Спасибо, но в реальности столкнулся с такой проблемой. Облачные сервисы зачастую используют динамические fqdn адреса по типу hhfhdsh2323asd.server.zoom.us. Возможно ли чтобы acl отрабатывал *.zoom.us например?

вряд ли — как он узнает, что записи изменились? Фильтрация же по IP работает, а не по. DNS

Насколько я знаю, asa резолвит fqdn в момент его добавления в конфиг и открывает динамические правила после этого. Для того, чтобы заработал например *.zoom.us, нужно чтобы asa умел зарезолвить хост в момент обращения.

это очень дорого с вычислительной точки зрения… и потенциально путь к граблям — если резолв будет кэшироваться на какое-то время

В случае Dynamic Split Tunnel резолв делается на стороне клиента и проблема не актуальна.
резолв то делается у клиента, но описать его нужно на асе
Я подумал что написал об этом в своей статье, а забыл. Дописал с примером.
Достаточно домен верхнего уровня указать чтобы все поддомены подпадали.
Да, есть возможность писать FQDN ACL. community.cisco.com/t5/security-documents/using-hostnames-dns-in-access-lists-configuration-steps-caveats/ta-p/3123480

Именно для облачных сервисов есть неплохая статья на community — community.cisco.com/t5/vpn/split-tunnel-webex-outlook365-zoom-skype/m-p/4049533#M270748

Мой коллега, Дмитрий Казаков, также написал статью здесь, на Хабре, с разбором этой темы. habr.com/ru/company/cisco/blog/493774

P.S: Есть важное уточнение — если вы используете домен верхнего уровня, все нижестоящие также идут в исключение, я попросил Диму про это в статье добавить подробнее.
Какая у Вас версия клиента? Все кейсы которые я нашел на сей счет связаны с версие AnyConnect 3.x, актуальная 4.х (текущая версия 4.8) не должна иметь таких проблем.
4.8.03036 с базовым модулем для VPN.
После перезагрузки в журнале «Cisco AnyConnect Secure Mobility Client» появилось 133 сообщения из которых лишь 17 несут хоть какую-то пользу, а остальные 116 содержат бессмысленный дебаг с именами функций от acvpnui и acvpnagent.
Про Engineering Debug Details, нашел его на двух машинах Win10 и Win7, после перезагрузки обе сгенерировали от 3-х до 4-х сообщений. Лог небольшой совсем. Полагаю надо обратиться в ТАС, вероятно они разберут с чем связаны непонятные ошибки. Возможно на этот баг наткнулись — CSCud51993.
А есть смысл тратить время?
В лучшем случае TAC создаст feature request, который никогда не будет выполнен (как для ветки 3.1), в худшем ответят что-то в духе «это нам нужно для вашей поддержки».

Оно пишет в логи про отсутствующие модули (на компьютерах установлен только core vpn) и окружение (нет IPv6, смарткарты, публичного IP и т.п.).
vpn-demo-1(config)# ssl cipher?

configure mode commands/options:
default Specify the set of ciphers for outbound connections
dtlsv1 Specify the ciphers for DTLSv1 inbound connections
dtlsv1.2 Specify the ciphers for DTLSv1.2 inbound connections
tlsv1 Specify the ciphers for TLSv1 inbound connections
tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections
tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections
vpn-demo-1(config)# sh ver

Cisco Adaptive Security Appliance Software Version 9.12(3)7
Этот функционал не ограничен моделью оборудования, это функция софта, я не зря вывод show version приложил.
Посмотрел, и всё таки это исключение из правил, баг.
На текущий момент да, в обозначенной серии этот баг не решен, вывод я предоставил с ASAv.
ASA 9.14 также не поддерживает DTLS 1.2 на 5506/5508/5516.
Этот AnyConnect пароль не может запомнить. Приходится каждый раз из 1Password копировать :-)

Согласен, выглядит глупо. Но зато… Как бы секурно, лол ))
Кстати, линуксовый клиент (openconnect) пароль сохраняет без проблем

Поэтому у нас все «линуксоиды» переходят на openconnect. И пароль сохраняет и сильно стабильнее работает. Ну и можно настроить разные DNS правила для разных доменов.
Ну а какой тогда смысл в средстве защиты, которое таким перестает быть, если любой желающий может зайти в корпоративную сетку под сохраненным паролем? У нас в компании так вообще MFA внедрили для AnyConnect, чтобы не только пароль вводить, но и второй фактор отрабатывал.
У нас тоже 2FA. Все очень просто: если пароль нельзя запомнить, его запишут на бумажке и приклеят к монитору.
Или надо проводить мероприятия по обучению пользователей умению выбирать запоминающиеся пароли :-)

Чушь. Лучший пароль — пароль, которого нет. Я уж не говорю о том, что я даже пережил бы привязку клиента к конкретному устройству или закрытому перечную устройств, лишь бы не применять лишний раз пароль. И, да, Вы правда верите, что пароль поможет в случае, если, например, машина работника протроянена и там установлены кейлоггеры-вредоносы? Или враг глядит через плечо?
MFA, кстати, у нас тоже есть — но от него больше фикция защиты, т.к. через смс. Начать с того, что СМС негарантированно доходят и это прям боль, а второе — лучше был бы способ через программу генерировать коды (это решает целый пласт проблем — от перехвата СМС и их недоставки и кончая аппаратными проблемами вроде "телефон сел, а впн нужен)".


Или надо проводить мероприятия по обучению пользователей умению выбирать запоминающиеся пароли :-)

фейспалм


p.s. зачастую пароль для VPN тот же самый доменный пароль, который годится для всех остальных корпоративных сервисов

Сгенерированные коды — это тоже пароли, только одноразовые :-) А использование одного пароля для VPN и домена — это скорее косяк системы ИБ
Видел жуткую схему с нечитаемыми логинами из генератора, правда мучаться приходилось только админам — пользователи входили по смарт-карте.
Накосячить можно даже при использовании идеального решения :-) Даже если его разработчик считает, что его нельзя использовать не так, всегда найдется кто-то, кто будет использовать его не так
AnyConnect — единственный известный мне VPN который имеет наглость подменять DNS трафик. Вот прям реально на клиенте смотрит на имя в DNS пакете и отвечает от имени сервера. Причём настолько «удачно», что даже не сразу разобрались, что это не сервер отвечает, а именно клиент. Вобщем openvpn оказался заметно удобнее в конфигурации и использовании.
Ой. openconnect конечно же. Ошибся
Вообще-то это стандартная функция, и зависит она не от клиента, а от VPN-шлюза. Реализована почти на любом VPN-шлюзе, претендующем на звание энтерпрайзного. Обычно называется DNS doctoring, DNS rewrite и т.д., нужна если вы используете NAT или split-tunneling.
Функционал инспектирования DNS doctoring позволяет устройству безопасности ASA перезаписывать (rewrite) DNS A-записи и PTR-записи.
DNS Rewrite нужен если:
  • Используется NAT64 или NAT 46, DNS-сервер во внешней сети. Тогда нужно делать конвертацию DNS-ответов между форматами DNS A-записей (для IPv4) и AAAA-записей (IPv6).
  • DNS-сервер во внешней сети, клиент во внутренней, требуется разрешать fully-qualified domain names для других хостов во внутренней сети (например, корпоративный веб-портал и т.д.).
  • DNS-сервер во внутренней сети и отвечает на запросы ответами с внутренними адресами, клиенты снаружи, и клиенты запрашивают fully-qualified domain names серверов, которые находятся во внутренней сети.

www.cisco.com/c/en/us/td/docs/security/asa/asa912/configuration/firewall/asa-912-firewall-config/nat-reference.html#ID-2091-0000048c

Только это все выглядит как сомнительный функционал.
Объясню.
Есть портал компании www.acme.org. Он доступен через публичную сеть по HTTPS протоколу и обеспечивает некий функционал. Зачем его заворачивать еще раз в VPN?
А если портал обеспечивает некий БАЗОВЫЙ функционал, а РАСШИРЕННЫЙ включается только при работе через корп. сеть с одним и тем же ДНС, то там начинаются чудеса в решете — т.к. сессии протухают, куки кривые и все прочие радости отличной архитектуры (да, это пример из жизни, причем очень сложно диагностируемый). А всего-то нужно было разные части портала разнести на разные домены (внешний и внутренний)…
Я уж не говорю, что если клиентская машина протроянена, то VPN-не-VPN — тут уже поздно пить Боржоми.


Несомненно, что VPN добавляет к защите. Но типичные реализации сетей… скорее создают неудобства.

Так Дмитрий уже давал ссылку на свою статью, где он описывал кейс, когда доступ на публичные порталы или облака не заворачиваются в VPN, а идут напрямую.

Если клиентская машина протроянена, то включаются иные механизмы защиты. VPN — это всего лишь защита канала, но никак не точек подключения к нему. Для защиты ПК и защиты корпсети нужны и иные решения применять. Это ж вроде и так понятно
когда доступ на публичные порталы или облака не заворачиваются в VPN, а идут напрямую.

тут немного другой кейс я описывал — когда вроде FQDN портала одинаковый, но из паблика он в "ограниченном" режиме, а из корп сети и VPN по "полноценному"

Ну у нас в Cisco таких сервисов много. Уточню, как у нас устроено. Возможно split tunelling + MFA решит проблему, если портал поддерживает MFA
При чём тут «сомнительный»? Оно либо работает, либо нет, разрешение имён либо корректно, либо нет. Если вам эта функция не нужна — просто настройте правильно VPN, DNS и инфраструктуру. То, о чём вы пишете, отношения к AnyConnect'у в любом случае не имеет.

я просто делюсь болью. К сожалению, зачастую я выступаю как пользователь инфры с минимальными возможностями по предложениям по ее улучшению. А любая мощная и потенциально полезная "фича" может быть как использована во благо, так и по не знанию или лени — неправильно и создавая неудобства (в лучшем случае) легальным пользователям.

Есть аппаратные пользовательские устройства Cisco с встроенным Anyconnect клиентом с авторизацией по зашитому в устройство сертификату? Не нашёл в RV160, к примеру, этого функционала.
Увы, AnyConnect не поддерживается на RV160 — только на RV34X. Посмотрите вот это описание — www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/1399-tz-best-practices-vpn.html Более того, Cisco практически не занимается пользовательскими устройствами. Наше оборудование ориентировано на организации, начиная с малого бизнеса
Исторически оч. странная позиция компании, когда в каком-то направлении нет нормального нижнего сегмента клиентского оборудования, в данном случае ориентированного на удаленный доступ сотрудников организаций неважно какого бизнеса. В RV130/160 могли бы и AnyConnect клиент запихать, для тех самых телеворкеров, технических препятствий там не видно, из препятствий только очень странный маркетинг.
Мы уже работали в нижнем сегменте, купив в свое время компанию Linksys. Опыт показал, что это не наша тема и Linksys был продан. Поэтому, увы, мы не можем реализовать в каждом нашем устройстве весь функционал, который мы умеем реализовывать. У каждого устройства есть своя сфера применения и свое предназначение, которое определяется на этапе проектирования. Если нужен удаленный доступ, то мы рекомендуем использовать немного иные модели устройств
The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server. This seems anything but secure to me, especially given their history of trivially-exploitable bugs.


Мне тут в связи со всеми удаленками пришлось пользоваться этим (через openconnect). Вот эта цитата из мануала к openconnect мне всё еще не дает покоя (с какой целью ему запускать что-то на моем личном компьютере)
Эээ, Cisco Secure Desktop — продукт, разработка которого была прекращена много лет назад. И это было решение класса контейнера ИБ, который загружался на компьютер пользователя и внутри которого и запускались разные приложения. Но данный подход мы признали неудачным много лет назад и этого продукта уже давно не существует
Однако при подключении без CSD wrapper я получаю вот такое «Error: Server asked us to run CSD hostscan.»
А что за openconnect? Может AnyConnect? Допускаю, что речь идет о функциональности Posture, то есть проверки выполнения на удаленном компьютере требования ИБ — наличие патчей, парольная политика, актуальный антивирус и т.п. Если проверка не проходит, то компьютер не пускается в сеть. Этот функционал может быть отключен.
www.infradead.org/openconnect/index.html вот этот openconnect (клиент для Cisco AnyConnect да). Цисковский клиент под моим дистрибутивом не завелся, официальная поддержка у вас вроде только под centos.

>Этот функционал может быть отключен.
Ну я так понимаю не со стороны клиента?
Ну так это не наше ПО. Я тогда не знаю, что он запускает и почему. Тут уже вопросы его разработчикам надо задавать.

Нет, все управление политиками делается на стороне шлюза.
Так запускает то оно как раз то что сервер запросил — CSD hotscan; как написано выше. Сервер то ваш как раз.
Не могу прокомментировать ситуацию с openconnect. Но отключается функция posture (hostscan) на шлюзе
Only those users with full accounts are able to leave comments. Log in, please.