VPN na routeru Cisco

aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 3:25

Ahoj,
máte prosím někdo zkušenosti s rozchozením VPN na routeru Cisco, ideálně typ RV345?
Koukal jsem na návod https://www.cisco.com/c/en/us/support/d ... #UserGroup a není mi jasné jak se vypořádat s bodem 12, kde se má nastavit Remote identifier. Jde o to, že IP odkud se budu do VPN hlásit, předem nevím - IP není fixovaná, takže je přidělována poskytovatelem internetu, poskytovatel může být pokaždé jiný, atd. Takže nevím co tam zadat a bez toho mě to samozřejmě nenechá uložit.

Ono by bylo nejlepší se připojovat přes VPN klient AnyConnect od Cisco, pak je konfigurace v routeru jednoduchá. V rámci routeru mam licenci na 2 současná připojení přes tohoto klienta. Nicméně bohužel se mi ho nepodařilo stáhnout - když jsem se přes nějaké nesmyslné registrace dopracoval, že už bych mohl konečně stahovat, tak měl to bloklo s odůvodněním, že musím mít s Cisco servisní smlouvu.

Další věc co mam nejasnosti jsou věci kolem identifikace v místní síti. Já mam adresu sítě 192.168.1.0 (základní VLAN na všech portech routeru, jiný tam nastavený nemam). Mam nastavené, že router nepustí do sítě zařízení s cizí MAC adresou, která není v routeru registrovaná. Pro každou MAC je nastavená fixní IP. V bezpečnosti je pak nastavená vazba mezi IP a MAC, tj. router pustí do sítě jen zařízení s registrovanou MAC a pod zadanou IP.
Co jsem koukal, tak je zvykem pro zařízení připojená přes VPN používat síť např. 10.10.100.0. Síť 192.168.1.0 mě ani router nenechá zadat. V souvislosti s tím mam dotazy:
- Když mam tedy nastavená výše uvedená bezpečnostní opatření pustí mě tedy router do sítě? Není mi totiž moc jasné, jak je to v tom případě přístupu přes VPN s MAC. Co používáme v práci FortiClient tak ten si dělá nějakou svou virtuální MAC. Co je vidět na straně routeru kam se hlásím, resp. té sítě, to samozřejmě nevím. Stejně tak nevím, jak to vypadá v případě TheGreenBow nebo jiného VPN klienta.
- Bude zařízení připojené přes VPN vidět na zařízení v síti 192.168.1.0, nebo je třeba nastavit nějaké proroutování?

Případně jestli někdo máte tip na nějaký dokument, ideálně od CIsco, co tyhle věci popisuje. K problému úplně nahoře jsem nic víc nenašel. K VPN celkově zase nacházím až moc obecné věci.

Díky
S pozdravem
Ing. Aleš Honsa
Uživatelský avatar
robokop
Site Admin
Příspěvky: 22371
Registrován: 10. 7. 2006, 12:12
Bydliště: Praha
Kontaktovat uživatele:

31. 5. 2020, 3:49

K tomu klientu, stahnout by mel jit, onehda jsem ho normalne stahoval
To co ty potrebujes je budto proroutovat ty site a nebo proxy-arp
Vsechna prava na chyby vyhrazena (E)
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 4:45

Jenomže mě už to stáhnout nejde - šel sjem touto cestou https://www.cisco.com/c/en/us/support/d ... ndows.html
S pozdravem
Ing. Aleš Honsa
Uživatelský avatar
pafik
Příspěvky: 2669
Registrován: 10. 2. 2013, 5:07
Bydliště: Praha 4

31. 5. 2020, 4:55

nechodilo by ti to s VPN klientem na ASA ? Toho bych ti mohl poskytnout.
Jeden by řekl, Cisco jako Cisco, ale znalý člověk řekne; právě, je to Cisco. :)
Možná by to za zkoušku stálo.
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 5:53

pafik píše: 31. 5. 2020, 4:55 nechodilo by ti to s VPN klientem na ASA ? Toho bych ti mohl poskytnout.
Jeden by řekl, Cisco jako Cisco, ale znalý člověk řekne; právě, je to Cisco. :)
Možná by to za zkoušku stálo.
Já spíš přemýšlím, jestli by to nechodilo s jakýmkoliv jiným VPN klientem co podporuje SSL. Tj. třeba i ten FortiClient. Když se znovu dívám na https://www.cisco.com/c/en/us/support/d ... nnect.html tak asi není nutný Cisci AnyConnect VPN client. V manuálu k routeru se akorát píše, že toto zařízení (router RV345) podporuje Cisci AnyConnect VPN client - z toho mi neplyne nic, tj. ani že to jde s jiným klientem ani že to nejde.
S pozdravem
Ing. Aleš Honsa
prcek
Příspěvky: 692
Registrován: 31. 10. 2016, 2:26

31. 5. 2020, 6:03

V tom navodu je, ze bod 12 je optional - aspon to tak chapu, takze by tam mela byt moznost, jak ho preskocit.
--
Všechno je snadné, než to zkusíš sám.
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 7:04

prcek píše: 31. 5. 2020, 6:03 V tom navodu je, ze bod 12 je optional - aspon to tak chapu, takze by tam mela byt moznost, jak ho preskocit.
Právě že to bez vyplnění přeskočit nejde. Buďto je to chyba v tom návodu - i když popravdě zadávnat na pevno IP odkud se přihlašuju dle mého nedává smysl, nebo ve firmware že to nedovolí přeskočit. Anebo se tam má v případě neznalosti IP napsat něco a já nevím co.

Já zkusím rozchodit tu SSL VPN, to je nejméně nastavování a FortiClient všude mam.
S pozdravem
Ing. Aleš Honsa
prcek
Příspěvky: 692
Registrován: 31. 10. 2016, 2:26

31. 5. 2020, 7:20

https://www.cisco.com/c/en/us/support/r ... #anchor622
Hadam, ze tohle jsi nasel... Vypada to dost podobne jako to z odkazovaneho fora.
--
Všechno je snadné, než to zkusíš sám.
Uživatelský avatar
Zdenek Valter
Příspěvky: 5189
Registrován: 9. 1. 2009, 5:16
Bydliště: Ústí n. L.

31. 5. 2020, 7:54

Poslal jsem Ti SZ
Hobbík - obráběč i 3D tiskař začátečník - strojní park je konečně instalován
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 8:29

prcek píše: 31. 5. 2020, 7:20 https://www.cisco.com/c/en/us/support/r ... #anchor622
Hadam, ze tohle jsi nasel... Vypada to dost podobne jako to z odkazovaneho fora.
Ano o tom vím.
S pozdravem
Ing. Aleš Honsa
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

31. 5. 2020, 11:55

Tak to nakonec skončilo na tom, že IP adresa kterou v routeru pod WAN1 vidím a kterou zároveň vidím když použiju třeba www.whatismyip.com , tak FortiClient hlásí že je nedostuná a ping taky vrací 100% ztrátovost.
To je kabelová síť UPC v Praze, máme fixní IP.
Teď nějak nevím co s tím, měl jsem za to že je to adresa na kterou se na router někdo dostane z venčí.
S pozdravem
Ing. Aleš Honsa
Uživatelský avatar
Zdenek Valter
Příspěvky: 5189
Registrován: 9. 1. 2009, 5:16
Bydliště: Ústí n. L.

1. 6. 2020, 12:08

No to tak není - operátor podle mne používá v tomto případě svoje adresy jako privátní a přístup z venčí a dovnitř své sítě překládá.
Pro přístup z venku bys měl požádat operátora aby Ti přidělil veřejnou adresu na kterou můžeš přistupovat přes internet.
Hobbík - obráběč i 3D tiskař začátečník - strojní park je konečně instalován
Uživatelský avatar
robokop
Site Admin
Příspěvky: 22371
Registrován: 10. 7. 2006, 12:12
Bydliště: Praha
Kontaktovat uživatele:

1. 6. 2020, 4:19

Upc adresy byli vzdy dostupne zvenku at uz dynamicke a uplne nevim zda umeli dat i fixni ale dynamicke byvali vpodstate fixni, nouzove tak z pocatku bezelo forum 😁
Vsechna prava na chyby vyhrazena (E)
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

1. 6. 2020, 1:38

Já jsem o tom něco googlil a taky jsem našel, že ty adresy jsou veřejné. Další věc je, že služby jako www.whatismyip.com přeci ukážou vždy veřejnou IP, ne? Tj. kdyby IP co vidím v routeru u WAN1 nebyla veřejná, tak by mi www.whatismyip.com ukázal jinou adresu (tu veřejnou), ne?

Zeptám se - je možné, že by veřejná adresa nebyla dostupná pro ping, tj. že by hlásila nedostupnost? Tj. že by to blokovalo něco u UPC nebo spíš router (někde v firewall - koukal jsem tam, ale nic jsem na první pohled nenašel, spíš nevím pod čím to hledat), třeba kvůli obraně proti hackerům (aby si někdo třeba nemohl udělat scan adres a pak je zkoušet)?
Mě je totiž ještě divná jedna věc, když nad tím přemýšlím. Když jsem dělal na routeru účet pro VPN, tak jsem tam nastavil heslo dlouhé 127 znaků (maximum co router umožňuje). Když jsem se pak z notebooku zkoušel do VPN přihlásit, tak mi to hlásilo špatný login - že je špatně uživatelské jméno nebo heslo. Tak mě napadlo, že jedna věc je možná max. délka hesla v routeru a druhá věc je co za délku hesla bere FortiClient - jestli ho osekne na třeba 50 znaků tak to samozřejmě skončí špatně. Tj. zkusil jsem nastavit mnohem kratší heslo. Od té doby mi FortiClient hlásí nedostupnost nedostupnost VPN.
Takže - pokud by bylo možné, že odezva na ping je záměrně blokována, tak ve spojitosti s výše uvedeným mi z toho vychází, že mam buďto SSL VPN blbě nastavené, nebo něco tam dělám obecně blbě.
Napadají mě 2 věci (dle návodu https://www.cisco.com/c/en/us/support/d ... nnect.html ):
- Číslo portu. To jsem nastavil na hodnotu jako v návodu. Popravdě nevím, jestli je jedno, jaká hodnota se nastaví.
- Client Domain v bodu 8. Nechal jsem co tam bylo, nevím, jestli na tom nějak záleží. V nastavení AnyConnec to pak nikde nepoužívají.
Ohledně věcí mimo nastavení VPN mě pak napadá problém s certifikátem. Já jsem v routeru vygeneroval jiný certifikát než default a exportoval ho ven do souboru. Nějak jsem očekával, že dle nastavení ve FortiClient si o něj při logování FortiClient řekne, tj. já ho vyberu. To se ale nestalo, akorát se FortiClient ptal, že vydavatel certifikátu je neznámý, jestli mu důvěřuju - ale není my jasné jakého certifikátu, kde ho vzal. V návodu se při nastavování AnyConnect s certifikátem nijak nepracuje a není tam už žádné další vysvětlení.
Jedině mě napadá, že by se měl instalovat někam ve WIndows, ale nechce se mi zrovna s tímhle jít metodou pokus/omyl. Pamatuju si, že když jsem rozchozoval služební email co používá MS Exchange tak jsem takto nějaké certifikáty stažené z práce instaloval.

Nějak to tipuju na problém s tím certifikátem, resp. přesněji že jsem ho v podstatě nikde nezadal. Víte k tomuhle někdo něco? Jak jsem psal - z rovna tohle se mi nechce zkoušet metodou pokus/omyl.
S pozdravem
Ing. Aleš Honsa
aleshonsa
Příspěvky: 2954
Registrován: 30. 8. 2011, 3:18
Bydliště: Praha

1. 6. 2020, 3:46

UPDATE:
hledal jsem jak je to s FortiClient a certifikátem při SSL VPN. Dle napčř. https://kb.fortinet.com/kb/viewContent. ... Id=FD36493 se má ten certifikát skutečně vybrat při logování, ale musí být někde nainstalován.

Tj. teď budu hledat jak se správně instaluje ve Win 10 certifikát pro SSL VPN.
S pozdravem
Ing. Aleš Honsa
Odpovědět

Zpět na „Ostatní (pc)“