Cisco anyconnect инструкция по применению

Cisco AnyConnect – это VPN клиент от известной компании Cisco, которая занимается поставками сетевого оборудования. Их устройства дороги и сложны в настройке, но достаточно надежны и приспосабливаются под любую сеть. Настройкой оборудования занимаются или сторонние специалисты, или свои сотрудники, имеющие нужные сертификаты.

Обычный работник имеет возможность столкнуться с настройкой и использование программ от этой фирмы только в случае небольших бесплатных программ, которые они предоставляют. Cisco AnyConnect – это одна из таких программ, которые могут быть установлены на компьютере обычного работника.

Зачем использовать Cisco AnyConnect

Стоит сразу сказать, несмотря на то, что Cisco AnyConnect является бесплатным приложением для использования VPN, он не предоставляет доступа ни к каким платным или бесплатным серверам. Cisco Anyconnect используется для подключения к существующим виртуальным частным сетям или VPN.

Программа является клиентом, так что в ней осуществляется только настройка подключения к самой сети. Все настройки VPN задаются на сервере или на том оборудовании Cisco, что служит шлюзом между интернетом и корпоративной сетью.

Разберем несколько особенностей, которые позволяют предоставлять удаленный доступ через это приложение:

• Возможность получения настроек со шлюза или сервера. Если человек работает через свое оборудование и нет возможности отдать его на установку и настройку техническим специалистам, то AnyConnect может получить настройки с сервера при первом подключении.
• Безопасность конечного устройства. Присутствует возможность настройки проверки компьютера или телефона, на котором установлено. Если устройство не соответствует заданным параметрам безопасности, то подключение не произойдет.
• «Тихая» работа. Можно сделать так, чтобы приложение не отображалось в активных, а значка в трее не было.
• Настройка приложения таким образом, чтобы при работе внутри корпоративной сети, не работал интернет. Это повышает безопасность корпоративной сети от взлома или занесения вредоносных программ.

К сожалению, все это задается в конфиге оборудования Cisco или на серверах компании. В самом клиенте настраивается подключение, производится ввод логина и пароля, а также задаются некоторые параметры установки соединения.

Всем остальным занимается администратор сети внутри компании. Так что вам столкнуться с этим не придется, ведь для работы с цисками требуется довольно долгое обучение и наличие некоторых сертификатов его подтверждающих.

Установка и настройка Cisco AnyConnect Client на ПК

Про места для скачивания поговорим чуть ниже, так что стоит остановиться на самой установке и настройке. Опять же, для каждой системы конкретные действия будут разными, но общий алгоритм такой: распаковать скачанный архив, запустить оттуда установочный файл. Дождаться окончания установки и запустить саму программу.

В некоторых случаях потребуется добавить программу в исключения своего антивируса и брандмауэра, но сначала попробуйте запустить её без этого. Теперь можно переходить к настройке.

Где скачать Cisco AnyConnect Secure?

Скачать программу можно всего с нескольких ресурсов. Основным является официальный сайт производителя.

Текущая версия находится по адресу: https://software.cisco.com/download/home/286281283/type/282364313/release/4.10.05095 , если соединится не получается, что удалите все до последнего слэша, должно перекинуть на последнюю версию. Здесь представлен полный список программ для Линукса, MacOS и Windows. Скачивайте и устанавливайте, для винды рекомендуется брать AnyConnect Pre-Deployment Package.

Проблема в том, что как только вы нажмете на скачивание, выскочит окно с предупреждением. Посторонние люди не могут загружать программы, так что войдите в свой аккаунт, в котором активен сервисный договор с компанией. Если такого нет, то обратитесь к своему дилеру, чтобы он предоставил вам копию программы.

У Microsoft есть свой официальный магазин, работающий с последними операционными системами. Зайдите туда и найдите нужное приложение, можете перейти по ссылке https://apps.microsoft.com/store/detail/anyconnect/9WZDNCRDJ8LH?hl=ru-ru&gl=RU. Нажмите на «Установить» и дождитесь окончания процесса. Это работает только для десятки, для Windows 7 и других ранних версий потребуется воспользоваться первым способом.

На Windows 10

После загрузки из официального магазина, программа станет доступна в списке установленных. Найдите её по ярлыку или через меню пуск и запустите. Нажмите на «Manage VPN», вас перебросит в стандартное окно с ВПН на десятке.

Здесь нужно установить, когда можно использовать ВПН, использовать ли его при роуминге и т.д. После выбора этих опций нажмите на «Add a VPN Connection», на русском будет «Добавить ВПН-соединение».

В открывшемся окне производятся все настройки. Главное, в верхней строке выберите создание соединения через AnyConnect. Дальше введите имя соединения, адрес сервера, а также логин и пароль, если они требуются для входа. Сохраните настройки. Теперь, для запуска соединения, вам нужно снова открыть окно с настройками ВПН и кликнуть там по нужному соединению.

В некоторых случаях может потребоваться настройка самой программы. Тогда из пуска снова запустите её и перейдите в раздел «Settings», здесь найдите настройку «Block Untrusted Servers», часто её требуется отключить для установки соединения. В разделе Diagnostic есть параметр Сertificate, здесь будут храниться сертификаты серверов, сюда же может потребоваться установить выданный вам сертификат, если подключение происходит по нему.

На MacOS

Загрузите программу из указанного источника, а потом дважды кликните на файл для начала установки. В первом окне нажмите «Continue», это просто приветствие, во втором окне выберите место, в которое хотите установить программу. Дальше все понятно, просто введите пароль и дождитесь окончания установки.

Теперь перейдите в раздел с приложениями и найдите там Cisco > Cisco AnyConnect Secure Mobility Client.app. Запустите его, в первом окне укажите точный адрес, выданный вам для подключения к VPN и нажмите на Connect. Появится еще одно окно, в верхней строке выберите группу, а ниже введите логин и пароль.

Теперь вы подключены. Для отключения снова нажмите на приложение, откроется окно с адресом сервера. Нажмите здесь на Disconnect, это позволит отключить соединение.

На Linux Ubuntu

Алгоритм будет одинаковым на всех линуксах, в том числе и на Debian, и Fedora. Скачайте архив из указанных источников. Распакуйте его и перейдите в новый каталог. Откройте и запустите установочный файл. В некоторых случаях все это можно проделать и через графический интерфейс, но можно работать и через консоль.

Запустите программу. На картинке вы видите интерфейс подключения, он выскочит после первого запуска программы. Введите адрес, а через двоеточие порт, если он нужен. Вводите его с точностью до каждого знака такой же, как вам выдали на работе. Потом нажмите на «Connect».

Откроется окно с предупреждениями. Нажмите здесь на «Change Settings», если вы нажмете по второй кнопке, то точно никуда не подключитесь.

Откроется окно с настройками. Вам нужно снять галочку с последнего пункта «Block connections to untrusted servers». Остальные галки расставьте так, как рекомендовали вам в инструкции на работе.

В следующем окне кликните по кнопке «Connect Anyway», а потом введите логин и пароль. Теперь можно пользоваться программой.

Запуск и первые шаги Cisco AnyConnect Mobility для смартфонов

Сильных отличий в работе приложений друг от друга нет. Меню выглядят похоже и алгоритм действий почти не меняется. Вот и получается, что если один раз настроить полностью работу впн, то и в другой раз проблем не будет. Особенно это характерно для телефонов. Здесь расскажем способы настройки приложений на разных аппаратах.

На Android

На андроиде загрузите приложение из официального магазина. После загрузке запустите его и попадете в первое меню. Здесь кликните по «Подключения», в новом окне на «Добавить новое подключение».

Появится стандартное окно для ввода данных. Введите туда информацию, которая предоставили вам для подключения. Теперь нажмите на три точки вверху и выберите «Settings» и снимите галку с «Блокировать недоверенные серверы».

Нажмите на три точки сверху и перейдите на вкладку «Diagnostics», откройте «Управление сертификатом». Снова нажав на три точки вверху выберите «Импортировать», здесь укажите путь до сертификата. Это потребуется, если подключение осуществляется по нему.

На iOS

На iPhone алгоритм ничем не отличается от Андроида. Скачайте и установите приложение из официального магазина. Откройте его. Щелкните по строке Connections, потом кликните по Add VPN Connection. В появившемся окне введите логин и пароль, а также остальные данные для подключения.

Для включения и отключения используйте рычажок, находящийся в верхней строке. Настройки находятся в разделе «Settings», а управление сертификатами в «Diagnostics».

Возможные проблемы

Сама программа проста, потому что представляет собой клиентскую часть программного решения. То есть, все основные действия и настройки происходят где-то далеко, на серверах и оборудовании Cisco, а Cisco AnyConnect представляет собой небольшую программу для подключения ко всей этой конструкции. Тем не менее разработчики сюда заложили и проверку клиентских устройств и ограничение на работу в интернете, так что проблемы возникают с завидным постоянством.

Нет соединения

Если не устанавливается соединение, то причин несколько:

• Включилось ограничение на связь, вшитое в установку программы, так что во время работы не получится соединиться с интернетом.
• Неправильно введены данные сервера, так что приложение не может к нему подключится.
• Несовпадение версий. Эту проблему отметила компания Майрософт, что при включении ВПН от циско, на некотором оборудовании перестает подключаться беспроводной интернет. Тут только ждать обновлений от обеих компаний.

Проблема глобальная, так что стоит сначала уточнить у тех, кто делал настройки на сервере, какие параметры выставлены. Тогда вы не будете удивляться ограничениям.

При отпадании интернета вообще при включении программы, рекомендуется почистить кэш интернет-соединения.

Ошибка инициализации

При запуске программы выскакивает ошибка «failed to initialize connection subsystem». Ошибка возникала на старых версиях программы, но нет гарантий, что она решена.

Есть два способа решения проблемы:

• Найдите исполняемый файл программы. Щелкните по ярлыку правой кнопкой мыши, а потом нажмите на «Расположение файла». Обычно это C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client.
  По найденному файлу кликните правой кнопкой мыши и выберите «Исправление неполадок». Дождитесь окончания работы.
  Нажмите на компьютер правой кнопкой, перейдите в управление, потом в службы, найдите Cisco AnyConnect Secure Mobility Agent остановите его и потом снова запустите.
  
• Нажмите Win+R и введите в открывшемся окне regedit. Пройдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings и создайте переменную DWORD с именем GlobalUserOffline и значением 0. Перезагрузите компьютер.

Проблема возникает из-за установки некоторых обновлений, так что можете удалить последние обновления и проблема решится. Или установите обновление MS15-018, оно решает эту проблему.

Как удалить клиент

С удалением возникают проблемы. Иногда удаляется не полностью, из-за чего возникают сбои при повторной установке. Так что тут совет один: заходите в папку с установленной программой и запускайте деинсталлятор оттуда. Если этого не сделали, то придется работать с командной строкой.

Для мака введите в терминал следующие команды:

1. sudo /opt/cisco/anyconnect/bin/websecurity_uninstall.sh
2. sudo /opt/cisco/anyconnect/bin/dart_uninstall.sh
3. sudo /opt/cisco/anyconnect/bin/nvm_uninstall.sh
4. sudo /opt/cisco/anyconnect/bin/umbrella_uninstall.sh
5. sudo /opt/cisco/anyconnect/bin/amp_uninstall.sh

Если вы запороли удаление на виндовс, то попробуйте воспользоваться одной из программ, что чистят реестр. Если она не поможет, то остается только откат на точку восстановления или переустановка системы. Так что лучше сразу зайдите в папку с установленным приложением и используйте деинсталлятор оттуда.

Аналоги Cisco VPN Client

Есть и бесплатные аналоги этой программы, которые не предъявляют требований к договорам и остальному. Так что можете использовать их для создания туннелей, виртуальных сетей и организации удаленного доступа.

Однако, я не рекомендую использовать бесплатные решения для чего-то серьезного. Они редко хорошо защищены, да и следят за их безопасностью не очень пристально. Лучше приобрести какое-то корпоративное решение.

Аналоги:

• OpenConnect GUI — это графический клиент OpenConnect для систем Microsoft Windows, бесплатный и с открытым исходным кодом.
• OpenVPN — это полнофункциональное решение SSL VPN с открытым исходным кодом. Это рабочая лошадка большинства предприятия на данный момент. Обеспечивает неплохой уровень безопасности и позволяет задавать много параметров.
• ShrewSoft VPN Client работает через IPsec на Windows 2000, XP, Vista. Можете применять в тех местах, где не подойдут современные программы.

Cisco Anyconnect – это программа для тех организаций, что используют у себя их оборудование. Поэтому проблем с настройкой возникать не должно. Параметры сервера задает специалист, он же выдаст точную инструкцию по подключению.

Программу можно использовать и с другими видами серверов, как простой ВПН-клиент, но полные возможности раскроются только при использовании вместе с сервером от того же производителя. В других случаях стоит поискать аналогичные программы для организации безопасного удаленного доступа в свою корпоративную сеть или для подключения к какому-то оборудованию – применений для VPN много.

Название Cisco является синонимом сетевого оборудования и телекоммуникационного оборудования в глобальном масштабе. Это одно из самых узнаваемых имен большинства корпоративных маршрутизаторов и значительная часть используемых сегодня магистральных интернет-маршрутизаторов.

Компания также предоставляет приложение Cisco AnyConnect , которое используется во многих колледжах и университетах, а также на разных предприятиях по всему миру.

Cisco AnyConnect — это приложение, которое предоставляет пользователям высокозащищенный доступ к корпоративной сети с любого устройства, в любое время и в любом месте. Приложение включает в себя базовый клиент для установки на все ваши устройства и Adaptive Security Appliance (ASA).

Эти устройства Cisco ASA включают в себя брандмауэр, антивирус, спам-фильтр, VPN-сервер, устройство SSL-сертификата, а также множество дополнительных встроенных функций.

Все, что заключено в одном устройстве, — это отличный способ защитить свой бизнес, не создавая головной боли для ИТ-отдела. Именно из-за этого решения «одно устройство защищает все» использование ASA стало настолько популярным.

Настройка виртуальной частной сети (VPN) значительно расширит возможности вашего бизнеса по поддержке удаленных сотрудников и обеспечит безопасный доступ к вашей сети с любого клиента через Интернет.

В этой статье будут рассмотрены основы того, как вы можете настроить VPN для своей организации и подключиться к ней с помощью Cisco AnyConnect.

Настройка собственного Cisco VPN Server

Поскольку мы будем использовать устройство безопасности ASA, вы можете использовать Cisco Adaptive Security Device Manager (ASDM) для настройки параметров VPN, а также других функций, таких как правила межсетевого экрана и параметры преобразования сетевых адресов (NAT).

Существует три ключевых аспекта VPN-соединения: идентификация, шифрование и туннелирование. У каждого есть определенный набор стандартов, чтобы все это работало вместе.

Во-первых, вам понадобится способ идентифицировать и проверить удаленного пользователя. Это означает, что ваши пользователи должны будут пройти аутентификацию в базе данных авторизованных пользователей и получить все необходимые права доступа. Вы можете использовать сертификаты для установления личности или создания набора политик аутентификации, авторизации и учета (AAA) либо локально, либо на отдельном сервере.

Далее вы захотите зашифровать весь трафик между сервером и клиентом и установить уровень шифрования. Чем выше уровень шифрования, тем сложнее будет получить к нему доступ, но это также приведет к увеличению издержек при расшифровке.

Наконец, туннель должен быть установлен. Вы можете настроить сервер для настройки политик, которые указывают пользователям на конкретные сети в вашей организации.

Вполне возможно, что у вашей Cisco VPN может быть настройка по умолчанию, называемая Easy VPN, которая позволит вам создать единую группу с общими характеристиками. Эта функция позволит пользователям, которые хотят получить доступ к серверу, использовать только предварительный общий ключ, а также имя пользователя и пароль для аутентификации.

Как настроить Cisco AnyConnect VPN

Когда дело доходит до настройки Cisco AnyConnect VPN, подход будет зависеть от устройства, на котором вы его устанавливаете. Однако после установки настройка очень проста.

Получить Cisco AnyConnect так же просто, как перейти на веб-сайт Cisco и загрузить его. Хотя, если вы используете приложение для подключения к колледжу или сети вашего работодателя, они должны предоставить вам ссылку. То же самое можно сказать, если вы являетесь работодателем, поскольку вам нужно будет предоставить ссылку.

Вам потребуется логин для подключения к VPN через Cisco AnyConnect. Подключение к сети колледжа или компании? Сотрудники отдела кадров или ИТ-службы должны были предоставить эту информацию заранее. Без входа в систему вы не сможете подключиться к VPN.

Если вы настраиваете свою собственную Cisco VPN, первое, что вам нужно сделать, — это загрузить клиент Cisco AnyConnect VPN и установить его на свое устройство с помощью файла InstallAnyConnect.exe .

Следуйте инструкциям мастера настройки и выберите OK, когда дойдете до конца. Проверьте подлинность установки, если требуется, и затем выберите Готово после завершения.

Этот метод установки предназначен для ОС Windows. Другие операционные системы, вероятно, будут использовать другой установщик.

Создание соединения

После установки Cisco AnyConnect VPN вы и другие пользователи можете подключаться к VPN в любое время, если у вас есть данные для входа.

Установить соединение очень просто. Все, что вам нужно сделать, это запустить приложение с вашего устройства, войти в сеть, предоставить данные для входа в систему, нажать кнопку «Подключиться» , и соединение будет установлено.

Настройка 2FA в вашей VPN — статья на другой день. Однако для некоторых других сетей, к которым вы хотите подключиться, может потребоваться двухфакторная аутентификация. Вам нужно будет получить код, который, вероятно, предоставлен вашей службой поддержки персонала или ИТ-службой, и ввести его в новом окне 2FA при появлении соответствующего запроса.

Просмотров: 240

Время на прочтение
6 мин

Количество просмотров 52K

Сразу хочу отметить, — не собираюсь устраивать холивар на счет того, что лучше — ASDM or console: на вкус и цвет все фломастеры разные…Я предпочитаю ASDM и настройки такого плана произвожу именно через нее. Поэтому статья будет насыщенна картинками (скринами)

Итак, приступим. Начнем с настройки LDAP сервера (в нашем случае это DC ActiveDirectory), для этого переходим в Configuration > DeviceManagement > Users/AAA > AAA Server Groups и создаем группу, назовем ее OFFICE, Protocol указываем LDAP

Configuration Cisco ASA AAA Server Groups

Для того, чтобы добавить сервер в созданную группу, нам необходимо предварительно создать LDAP Atribute Map. Для этого переходим в соответствующий раздел: Configuration > DeviceManagement > Users/AAA >LDAP Attribute Map и создаем новую карту: в нашем случае это Map Name: AD, Mapping of Attribute Name > LDAP Attribute Name: memberOf, Cisco Attribute Name: IETF-Radius-Class

LDAP Attribute Map

Теперь можно добавить сервер (настроить подключение к контроллеру домена), указываем интерфейс, через который будем подключаться, IP адрес DC, Server Type: Microsoft, Base DN, Naming Attribute: sAMAccountName, Login DN, Login Password, только что созданную карту LDAP Attribute Map: AD, Group Base DN:

AAA Server — Microsoft DC
Add AAA Server

После добавления сервера делаем проверку, проходим аутентификацию учетной записью AD:

Test AAA Server — Authentication

Теперь можно добавить сертификат удостоверяющего центра (используется Microsoft CA, в рамках статьи о его настройке рассказывать не буду, единственное о чем следует обязательно помнить: Cisco ASA не воспринимает сертификаты с Signature algorithm RSASSA-PSS, который Microsoft предлагает использовать по умолчанию. мы меняли на sha512RSA):

Identity Certificates Signature algorithm RSASSA-PSS — sha512

Переходим Configuration > DeviceManagement >Certificate Management > Identity Certificates и импортируем в формате PKCS12 (*.pfx сертификат + private key):

Identity Certificates Signature algorithm sha512RSA (ECDSA 521 bits)

С подготовительными действиями закончили, можно переходить к настройке профилей для AnyConnect VPN. Для примера, будем использовать 2 профиля, у которых будут разные IP Address Pools и соотв. ACL, Dynamic Access Policies, Group Policies и соответственно 2 группы ActiveDirectory. При подключении пользователей по ВПН используем политику «Туннелирование только указанных сетей», так называемый Split Tunneling, чтобы не гнать весь пользовательский траффик через впн. Но это «на любителя», может кому-то, наоборот, такое потребуется — последнее время это очень актуально

Начнем с IP Address Pools, для этого переходим в Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools

Создадим пул адресов (сегмент) для администраторов (назовем, например VPN_Admins):

Address Assignment — Address Pools

Далее создадим политику (это основная часть настроеек профиля, в которой можно задат: протоколы, которые будут использоваться для туннелей, время доступа, количество одновременных логинов, закрыть доступы к определенным VLAN, выставить таймауты, задать DNS серверы, настроить Split Tunneling, клиентский файерволл и тд и тп) — в общем этой настройке следует уделить особое внимание! Итак, начнем: Configuration > Remote Access VPN > Network (Client) Access > Group Policies, Add Internal Group Policy

Все выставленные параметры сугубо индивидуальны — в нашем случае немного параноидальны Указаны протоколы, которые допускаются для создания туннеля (Tunneling Protocols), временной период для доступа по ВПН (Access Hours), количество одновременных подключений с одной учетной записью (Simultaneous Logins), максимальное время для сеанса и пр.:

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add Internal Group Policy

Следующая полезная настройка — вкладка Servers, в которой мы можем указать внутр. ДНС серверы, для пользователей ВПН AnyConnect, чтобы они могли обращаться к внутренним ресурсам по имени:

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy — Servers

Теперь перейдем к еще одной интересной опции — настройке Split Tunneling. Как я уже писал ранее — будем использовать политику «туннелирование только указанных сетей» (мы не заворачиваем в туннель весь траффик пользователей и разрешаем доступ к локальным ресурсам — опция «Local Lan Access» далее будет отдельно рассмотрена):

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > Split Tunneling >

Ранее мы указали к каким сетям\хостам мы разрешили доступ, теперь ограничим доступ к ним по протоколам\портам (еще один ACL):

Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > AnyConnect Client > Client Firewall > Private Network Rule

В итоге, после подключения к впн AnyConnect клиентом, можно увидеть маршруты в сторону туннеля и правила файерволла:

AnyConnect Client > Route Details

AnyConnect Client > Firewall

Теперь можно перейти непосредственно к созданию профиля AnyConnect, переходим Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles >, Add AnyConnect Connection Profile

и указываем: Name, Aliases, далее Authentication Method (AAA and certificate), AAA Server Group, Client Address Pools, Group Policy — все созданное ранее!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Basic

И теперь небольшой «лайфхак» — мы из пользовательского сертификата вытащим значение E-mail и с помощью регулярки (.*)@ отрежем от него @domain.ru
(значение E-mail должно быть %AD username%@somedomain.ru) и подставим его в поле Username при подключении.

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Advanced > Authentication > Username Mapping from Certificate

Когда профили настроили — мы уже можем подключаться, потому как будет отрабатывать политика по умолчанию DfltAccessPolicy для всех пользователей, прошедших аутентификацию (у нее самый высокий приоритет). Мы же хотим, чтобы для разных групп ActiveDirectory использовался свой профиль и отрабатывала своя групповая политика \ политика доступа. Поэтому, переходим: Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies и запрещаем DfltAccessPolicy (на самом деле не запрещаем, а делаем Terminate с уведомлением пользователя — хорошая диагностика того, что пользователь не включен в требую группу ActiveDirectory):

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies
Terminate connection from users who are not in the access group

После того, как политику по умолчанию запретили, — создадим новую:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes

где g_vpn_level_01 — созданная в ActiveDirectory группа безопасности, куда мы включаем необходимые админские учетки, для подключения по ВПН AnyConnect с профилем VPN-ADMINS:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes > Get AD Groups

ну и заключительный «штрих» — рекомендую сохранить созданный профиль в файл (полезно, например, для синхронизации профилей для StandBy unit при Failover конфигурации):

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

После того, как профиль сохранен — его можно немного «потюнинговать»: помните я говорил про опцию»Local Lan Access«? Она как раз здесь настраивается. А еще здесь же можно настроить выбор хранилища сертификатов; автообновление клиента AnyConnect; разрешить\запретить возможность подключения к компьютеру через рдп, при подключенном впн; указать версию протокола (IPv4 or IPv6 or both); параметры сертификатов и серверов; мобильные политики. В общем — есть, что «подкрутить» под ваши нужды!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile > Edit

Для второй группы — «VPN-USERS» проделываем тоже самое…

P.S.: для любителей консоли — выложу конфигурацию позже
P.P.S: не сочтите за рекламу, — просто самому очень нравится: Duo Security

• Настройка двухфакторной аутентификации
• Установка приложения Cisco Anyconnect VPN Client
• Подключение
• Аутентификация

Прежде, чем подключаться к сети Университета, Вам необходимо настроить Ваш телефон на проверку второго фактора. Настройку проверки второго фактора необходимо сделать только один раз, поэтому если Вы уже выполняли это ранее, можете пропустить этот шаг, и перейти к шагу с установкой приложения Cisco Anyconnect VPN Client.

Внимание! С 12.09.2023 изменился сервис двухфакторной аутентификации. Потребуется повторная настройка в новом сервисе, следуя пункту с настройкой двухфакторной аутентификации ниже. Приложение доступно для систем Android (Google Play) и iOS (App Store).

Также не забывайте, что при необходимости использования квалифицированной электронной подписи при удаленном подключении к рабочему месту носитель с электронной подписью необходимо забрать с собой, чтобы подключить его к домашнему компьютеру/ноутбуку.

Настройка двухфакторной аутентификации

Войдите на портал регистрации по адресу https://mfa.utmn.ru.  Введите данные Вашей корпоративной учетной записи и нажмите кнопку «Войти» как показано на рисунке ниже.

После успешного входа Вы перейдете в настройку Мультифактора. Нажмите кнопку «Далее».

Вам на выбор предоставляется 2 способа проверки:

• Мобильное приложение Multifactor
• Оповещения от Телеграм-бота

Двухфакторная аутентификация с приложением Multifactor

Портал предложит установить приложение на мобильное устройство. Данное приложение доступно в магазинах Play Store, App Store и AppGallery. Установите данное приложение. Не закрывайте портал.

После установки приложения нажмите кнопку Далее на портале в форме «Установите приложение».

Далее вам предоставят QR-код и ссылку, который будет необходимо отсканировать с помощью приложения. Данный код будет действовать 20 минут с момента создания. Вернитесь к приложению Мультфактор.

В приложении нажмите на кнопку добавления нового аккаунта (кнопка +), разрешите приложению доступ к камере (при запросе) и отсканируйте QR-код.

После успешной регистрации Ваша учетная запись появиться в главном меню приложения. Портал предложит выполнить вход для проверки работы приложения. Нажмите кнопку «Выполнить вход».

На портале появится окно, показывающее какой способ аутентификации используется. В приложении придет оповещение с просьбой «Подтвердить вход» или «Отклонить его». Подтвердите вход.

Вас перенаправит на страничку, где показаны все настроенные методы аутентификации с возможностью их настройки и удаления.

Настройка двухфакторной аутентификации через приложение Multifactor завершена. 

Двухфакторная аутентификация через Телеграм-бот

Для настройки двухфакторной аутентификации через Телеграм-бот потребуется активный аккаунт в приложении Телеграм и установленное приложение Телеграм.

На портале mfa.utmn.ru в шаге «Установите приложение» нажмите на меню в виде трех вертикальных точек ⋮ , чтобы открыть контекстное меню. В нем выберете Расширенные настройки.

Появится список доступных способ аутентификации. В поле Telegram нажмите +Добавить контакт.

Далее вам предоставят QR-код и ссылку. Отсканируйте QR-код через любое доступное приложение для сканирования или перейдите по ссылке.

QR-код или ссылка перенаправит на установленное приложение Телеграм и откроет чат с ботом @MultifactorBot.

Нажмите «Начать», чтобы зарегистрировать ваш аккаунт. Бот @MultifactorBot ответит, что ваша регистрация завершена. Далее в этом чате будут появляться запросы на подтверждение.

На портале mfa.utmn.ru появится имя аккаунта Телеграм. Нажмите кнопку «ОК» в правом верхнему углу.

Далее портал отправит тестовое подтверждение для проверки работы. В чате бот @MultifactorBot отправит сообщение о подтверждение подключения. Нажмите кнопку «Да, это я».

После успешной аутентификации вас перенаправит на страничку, где показаны все настроенные способы проверки доступа.

Настройка двухфакторной аутентификации через Телеграм-бот завершена. 

Установка приложения Cisco Anyconnect VPN Client

Для установления защищенного подключения к корпоративной сети Университета Вам необходимо использовать приложение для обеспечения удаленного доступа Cisco AnyConnect Secure Mobility Client. Его можно скачать по ссылке для ОС Windows и по ссылке для ОС macOS. Данное приложение доступно для систем Android и iOS. Выполните установку, если приложение уже установлено, пропустите данный пункт.

Подключение

Откройте установленное приложение Cisco AnyConnect Secure Mobility Client. В качестве сервера подключения укажите имя «vpn.utmn.ru» и нажмите кнопку «Connect». 

Аутентификация

Для прохождения аутентификации Вам необходимо выбрать группу подключения «UTMN_MFA» и ввести данные Вашей корпоративной учетной записи .

Приложение Microsoft Authenticator пришлет уведомление с просьбой подтвердить или отклонить вход.

После чего автоматически будет установлено защищенное подключение и Вы сможете использовать корпоративные ресурсы Университета.

Если у Вас остались вопросы по удаленному подключению к сети Университета, обратитесь в диспетчерскую службы технической поддержки ЦИТ:

• напишите запрос через Портал поддержки ЦИТ;
• с помощью электронной почты 597777@utmn.ru;
• по телефону: +7 (3452) 59-77-77.

Cisco AnyConnect – это программное обеспечение, которое обеспечивает безопасное соединение с интернетом. Оно используется для удаленного доступа к сети организации и позволяет защитить конфиденциальную информацию, передаваемую через интернет.Для использования Cisco AnyConnect необходимо установить клиентское приложение на компьютер или мобильное устройство. Затем необходимо подключиться к серверу VPN, который обеспечивает защищенное соединение с интернетом.Одним из главных преимуществ Cisco AnyConnect является возможность использования различных протоколов шифрования, таких как SSL и IPsec. Это обеспечивает высокий уровень безопасности передаваемых данных и защищает их от возможных угроз.Кроме того, Cisco AnyConnect позволяет обеспечить защиту от вредоносных программ и других угроз, блокируя доступ к нежелательным веб-сайтам и контенту. Это помогает защитить компьютеры и мобильные устройства от возможных атак и вирусов.Использование Cisco AnyConnect является необходимым для организаций, которые работают с конфиденциальной информацией и желают обеспечить безопасное соединение с интернетом. Оно позволяет убедиться в том, что данные передаются только тем, кому они предназначены, и обеспечивает защиту от возможных угроз и атак.

Cisco AnyConnect – это программа, которая позволяет пользователям удаленно подключаться к защищенным сетям, используя VPN-технологии. Он позволяет безопасно обмениваться данными между компьютерами и сетью, блокирует доступ к нежелательным сайтам и предотвращает утечку личной информации.

Чтобы установить и настроить Cisco AnyConnect на компьютере или мобильном устройстве, необходимо выполнить несколько шагов. Во-первых, загрузите программу с сайта Cisco. Затем установите ее на свое устройство и запустите.

Далее следуйте инструкциям на экране, чтобы настроить подключение. Вам нужно будет указать адрес сервера и учетные данные, которые предоставили вам администраторы сети. Если у вас возникнут проблемы с настройкой, обратитесь за помощью к администратору.

Если вы используете мобильное устройство, вы можете загрузить приложение Cisco AnyConnect на свой смартфон или планшет. Для этого просто найдите приложение в магазине приложений вашей операционной системы и установите его. Затем следуйте инструкциям на экране, чтобы настроить подключение.

В целом, установка и настройка Cisco AnyConnect не должна вызывать у вас больших проблем, если вы следуете инструкциям на экране и имеете поддержку администратора сети. Использование этой программы поможет защитить ваши данные и обеспечить безопасный доступ к сети в любое время и из любого места.

Защитите свою конфиденциальность с помощью Cisco AnyConnect VPN

Cisco AnyConnect VPN – это инструмент, который помогает защитить конфиденциальность пользователей, обеспечивая безопасное соединение с интернетом. Это программа для удаленного доступа, которая шифрует все данные, передаваемые между компьютером и интернетом, обеспечивая надежную защиту от взлома, кражи личных данных и других угроз.

С помощью Cisco AnyConnect VPN пользователи могут подключаться к интернету через зашифрованный туннель и безопасно обмениваться информацией, даже если они находятся в общественных Wi-Fi сетях, которые могут быть небезопасными.

Программа также позволяет пользователю изменять свой IP-адрес, чтобы скрыть свою локацию и обойти гео-ограничения, которые могут ограничивать доступ к определенным сайтам и сервисам.

Cisco AnyConnect VPN работает на различных устройствах, включая компьютеры, смартфоны и планшеты, и совместима с различными операционными системами, включая Windows, Mac, iOS и Android.

В целом, Cisco AnyConnect VPN является надежным инструментом для защиты конфиденциальности и обеспечения безопасного соединения с интернетом. Если вы хотите защитить свои личные данные и обезопасить свои онлайн-действия, то Cisco AnyConnect VPN – отличный выбор.

Cisco AnyConnect – это программа, которая предоставляет безопасный удаленный доступ к корпоративным ресурсам для сотрудников, работающих вне офиса. Она использует шифрование и аутентификацию для защиты данных и обеспечивает безопасный доступ к сети компании через Интернет.

Для начала использования AnyConnect необходимо установить программу на свой компьютер или мобильное устройство. После установки необходимо настроить соединение с сервером VPN, который обеспечивает доступ к корпоративной сети.

AnyConnect позволяет управлять доступом к ресурсам, ограничивать доступ к приложениям и контролировать использование сети. Также программа имеет функцию блокировки устройства, если оно было утеряно или украдено.

Использование Cisco AnyConnect дает возможность работать удаленно, сохраняя при этом безопасность корпоративных данных. Это удобно для сотрудников, которые работают в разных географических местах, и позволяет увеличить эффективность работы компании в целом.

Решение проблем с Cisco AnyConnect: часто задаваемые вопросы и советы по устранению неполадок

При использовании Cisco AnyConnect могут возникать проблемы, связанные с подключением к VPN-серверу. Ниже приведены часто задаваемые вопросы и советы по устранению неполадок:

• Проблема: Не удается подключиться к VPN-серверу.
• Решение: Проверьте правильность введенных учетных данных, наличие доступа к VPN-серверу, настройки сетевых подключений и наличие необходимых сертификатов.
• Проблема: Подключение к VPN-серверу происходит медленно.
• Решение: Проверьте скорость интернет-соединения, настройки сетевых подключений и наличие необходимых обновлений для Cisco AnyConnect.
• Проблема: VPN-соединение часто прерывается.
• Решение: Проверьте настройки сетевых подключений, наличие необходимых обновлений для Cisco AnyConnect и возможные проблемы сетевой безопасности.