Настройка SSL VPN на Cisco Router

[tuttofatto]

Благодарю. Кратко и понятно.

[NAI]

Как у вас с загрузкой CPU при использовании AnyConnect на 881?

Запускал AnyConnect на 861. Скорость у клиента 200-300 кбайт\с и CPU Utilation 100%.Тот же EasyVPN летает на 3-5 клиентах и загрузка не поднимается выше 50-60%.
На складе валяется 881, вот и думаю менять или оно того не стоит.

[xamzaibnm]

Насчет скорости на клиенте не скажу, но CPU Utilitation и близко не 100%
Еще один нюанс, если на 881 обновите ios выше чем 15.3, то лицензия на SSL VPN будет уже включена в advsec, вот что говорит cisco:
IOS 15.3 and beyond — earlier versions offer Right to Use* licenses. Starting in 15.3(3)M, the SSLVPN feature is available after you boot into a securityk9 technology-package

[navion]

ЕМНИП, сам AnyConnect с версии 4.0 стоит немалых денег.

[navion]

1921 тоже ложится от SSLVPN. Можно настроить IKEv2 через AnyConnect с ручной установкой профайлов или встроенный в Windows клиент — там всё намного лучше, так как шифрование аппаратное.

[NAI]

Можно подробнее? В целом, всем устраивает EasyVPN, но он не поддерживается Win10.

[navion]

Инструкция есть на cisco.com. Профайл можно раздавать в архиве вместе с установщиком и он сам его подключит, но у меня так и не заработало разрешение подключаться из RDP, а виндовый клиент не подсасывает маршруты для split-tunnel.

[xamzaibnm]

На 8.1 easy работает, может на 10 тоже эта ссылка поможет https://habrahabr.ru/post/157807/

[NAI]

На 8.1 EasyVPN работает из коробки (пользователи не жаловались). С бубном можно поставить и на 10ку, но… после каждого апдейта MS чет допиливает и нужно искать новый бубен. Проще объяснить сотрудникам, что Win10 не поддерживается, чем писать многостраничные инструкции и телепатить «а почемуж у них там не включилось...»

[navion]

Чуть не забыл, IKEv2 с FlexVPN прекрасно сосуществуют, так что второй можно настроить только для страдальцев с десяткой и макосью.

[e1t1]

2 NAI — попробуйте Shrew, в отличие от родного можно запускать больше одного. На 10 тоже работает.

[NAI]

Спасибо, попробую. Правда проект не развивается с 2013 и нет гарантий, что MS его не выпилит из своей системы, как это происходит с EasyVPN («Данное приложение устарело и было удалено»)

[gosha-z]

У меня почему-то 4.x брыкался, пока не поставил «честные» сертификаты от того же Let's Encrypt. Брыкался даже со снятой галкой Block Connections to Untrusted Servers.

[NAI]

У меня стоит сертификат от WoSign (полученный еще в 15 году). Есть мнение, что так как в 800-серии нет аппаратной поддержки шифрования, длинна ключа в 256 бит и кладет CPU.

Как я понял, в 800-серия вообще все лежит на CPU, в отличии от ASA. Тыц Плюс с cisco (более актуальных данных не нашел)

[navion]

Вроде наоборот, в ASA (и ISR 4000) стоит мощный x86, а в ISR дохлый MIPS, который спасает лишь выделенный криптомодуль.