У нас есть ciscoasa 5505 с лицензией security +. Мне нужно настроить VPN, чтобы люди могли подключаться к нашему внутреннему домену, когда они в дороге. Я думал, что у них есть способ напрямую подключиться к Cisco. Это делается через "удаленный доступ vpn"? Глядя на это, я думаю, что Easy VPN Remote позаботится об этом, но, поскольку это потенциально огромный риск для безопасности, я хотел получить второе мнение, прежде чем продолжить.
Спасибо!
Конечно, вы захотите рассмотреть, кому вы предоставляете доступ и к чему они будут иметь доступ. Доступ к VPN не обязательно должен быть "все или ничего". Вы можете ограничить то, к чему пользователь имеет доступ после подключения к определенным ресурсам, которые им нужны.
Пожалуйста, взгляните на Руководство по развертыванию Cisco ASA 5500 SSL VPN, версия 8.x. Он включает в себя важные детали, например, как применить ACL к подключающемуся клиенту, чтобы пользователь мог получить доступ только к определенным ресурсам, к которым вы им разрешили. Следование этому руководству по развертыванию может оказаться невозможным, если у вас нет лицензии на AnyConnect или AnyConnect Essentials. Если вы используете VPN удаленного доступа IPSec, большая часть конфигурации (часть групповой политики) будет аналогичной.
Easy VPN предназначен для ASA 5505, чтобы действовать как клиент VPN, подключающийся к другому ASA в другом месте, в качестве альтернативы настройке VPN между сайтами (что менее «легко»). это не то, чем будут пользоваться ваши дорожные воины, если только они не возьмут с собой ASA 5505!
Ваши клиенты могут использовать клиент Cisco VPN или даже клиент Windows VPN, используя L2TP поверх IPSEC. Существует также возможность использовать SSL VPN (anyconnect), но для этого может потребоваться дополнительная лицензия.
Конечно, стоит проверить документацию Cisco по ASA. Я также нашел книгу Cisco Press Межсетевой экран Cisco ASA All-in-One, IPS, Anti-X и устройство адаптивной безопасности VPN (ISBN 978-1-58705-819-6) очень полезно для выяснения вариантов и реализации вещей.