Remote access vpn

Remote Access VPN;

Extranet VPN

Extranet VPN предназначен для тех сетей, к которым подключаются так называемые пользователи «со стороны», уровень доверия к которым намного ниже, чем к своим сотрудникам. Extranet VPN позволяет разным компаниям связываться между собой и расширяет возможности компаний в электронной коммерции. Компании, желающие попасть на этот рынок, понимают, что недостаточно просто создать Web-сайт и предоставить доступ к нему всем желающим.

Доступ к определенным приложениям и главным компьютерам необходимо контролировать, шифровать данные для сохранения их конфиденциальности, когда они передаются через Internet, и устанавливать подлинность пользователей, чтобы быть уверенными, что они действительно имеют право доступа к сети.

Одной из наиболее важных причин, делающих виртуальные сети extranet настолько популярными, является возможность совершать с их помощью безопасные сделки через Internet. Эта технология обычно включает использование цифровых сертификатов, которые предоставляют более высокий уровень пользовательской аутентификации, а также ту или иную систему регулирования ключей шифрования.

Remote Access VPN — виртуальная частная сеть с удаленным доступом — позволяет мобильным пользователям получать доступ к КС своей компании через модем или канал ISDN. Он реализует защищенное взаимодействие между сегментом КС (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямо со своего собственного компьютера, на котором и устанавливается ПО, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае ПО может быть как встроенным в ОС, так и разработанным специально. Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small OfficeHome Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом.

Рис. 11. Remote Access VPN

Когда удаленному пользователю необходимо соединиться со своей КС, он сначала подключается к опорной сети (например, по коммутируемой линии). После установления этого соединения строится туннель до домашнего маршрутизатора КС клиента, который выдает удаленному пользователю адрес КС. Все пакеты, посылаемые на этот адрес из КС, поступают на домашний маршрутизатор. Он, в свою очередь, инкапсулирует их в пакеты с адресацией опорной сети и направляет по построенному туннелю через опор ну ю сеть. На другом конце туннеля пакеты декапсулируются и приобретают тот вид, который они имели в КС пользователя. По описанной технологии пользователь получает коммутируемый доступ к своей КС из любой точки опорной сети провайдера, организовав таким образом свою виртуальную частную сеть.

Remote Access VPN: Give Your Employees the Access They Need

Let’s talk about remote access — and, more specifically, your remote access VPN.

Your office has a network. On this network, you can access printers, connect to IT resources, transfer data, and more. It’s secure and protects your team from sketchy websites.

But then you start hiring remote employees.

cost the company less (that’s one less desk!)
They’re often more productive.
And they’re happier!

That’s a win for everyone — so offering remote work is a no-brainer.

The problem is, everyone on your team at the office uses the office network. It provides them with resources and the company with security. Remote workers aren’t there to log in — so you need a remote access VPN.

A remote access VPN means your remote employees can log on to your office network from anywhere — home, traveling, in transit — that has access to the internet. They then have access to all your company resources, and somehow your data is *still* secure, even if they’re using (gasp!) public Wifi.

How Remote Access VPN Software Works

How exactly does Access Server accomplish this?

How remote access VPN works is this: you start with an already existing connection. The most logical and popular method of transporting info is the public internet — so a VPN carries information there. But anything you send over the internet that isn’t protected can be seen by any other people along that path. Anyone on your wifi network could eavesdrop on what you’re doing. The only way to prevent that?

That’s what Access Server uses. Whatever you send out on your own Wifi, at your office, or somewhere in between, gets encrypted. That means only your device and the Access Server in your office know how to read it. To everyone else, it’s just a garbled mess.

Encryption is a pillar of VPNs. When connected to AS with your phone, any information you pull up becomes encrypted and unreadable — only then does it goes on it’s merry way across the internet

While it’s in transit there, no one can understand it — it’s simply garbled nonsense. Access Server, however, has keys to un-encrypt it, which is how it can read it. Any info then sent back to your device from Access Server is encrypted as well, so that anything that goes over that connection in either direction is unreadable to anyone else.

Let’s look at an example.

Closed Captioning Courtesy of OpenVPN Access Server: Remote Access to LAN

A nonprofit corporation provides closed captioning for broadcast, opening up television access to the deaf and hard-of-hearing communities. They have offices in two US states and a remote data center, and the majority of their staff work remotely — keeping their organization operating 24/7.

The remote staff needs to connect reliably to any of the three facilities to access specialized software/services.
Should a resource at any site give the Captioner concern, they need to be able to quickly redirect to a different facility to minimize caption loss (especially when captioning live events!)
Employees use Windows operating system exclusively, so any solution needs to support Windows.

Читать еще: Режим ime access

Our solution: OpenVPN Access Server.

Remote staff now have efficient access to all three facilities.

Because of the OS options in Access Server, the IT staff is able to choose a distribution they’re already familiar with.
Access Server can be configured to run in primary-secondary failover for LAN deployment to support the high availability needed for 24/7 operations.
OpenVPN Connect Client for Windows supports configuration of multiple connection profiles — which means switching between different offices is quick and easy.
OpenVPN Connect Client for Windows and Access Server support a special connection profile called ‘auto-login’; this allows users to connect without needing to enter a username/password. Authentication is solely based on security certificates. This can speed up the connection setup when the Captioner needs to redirect to a different facility to minimize caption loss.

That’s the solution they need. That’s Access Server.

So how can you get started?

How To Set Up VPN For Remote Access

Just install Access Server on the network, and then connect your device with our Connect client.

Access Server will accept incoming connections from internet only if that device and user has the correct access code and certifications necessary. Once it’s set up correctly, you can connect your laptop, phone, tablet, or even remote desktop — directly to your office.

Your data is secure; outsiders can’t eavesdrop or spy. That’s a remote VPN connection, which stands for Virtual Private Network.

It’s virtual — in the sense that it’s purely software solution. You won’t need modems or routers or cables to get started; its software-based and completely virtual.

It’s private, so no one else can see your data.

It’s your own network, which means you can transfer data, files, pics, and anything else you might need.

Using that VPN tunnel, you can access the files that are in the office, from home or from your phone or tablet — anywhere. That’s how it works. You can connect a device that’s on the other side of the world, and feel like you’re logging in directly to your office network.

Deploying Access Server

To establish remote access for your team, you need to deploy Access Server and at least one client, via our OpenVPN client or Connect client.

To deploy Access Server, you can:

Deploy it yourself, using our Quick Start Guide.
Deploy a ready-to-launch instance on Amazon Web Services
Deploy a ready-to-launch instance on Microsoft Azure
Deploy a ready-to-launch instance on Google Cloud
Explore some of our more detailed self-deployment options.

Once you have Access Server, you then simply connect a device via one of our clients. On mobile platforms, we have apps for Android and iOS, but you can also get started on Mac, Linux, or Windows.

TL;DR: You can provide your employees with remote access within minutes with Access Server. Start by installing Access Server itself. Once you have that running, you go to your device and set up one of our clients. From that point on, you’ve got remote access to that device!

GET REMOTE ACCESS NOW

Request More Information

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement

Какие варианты VPN Remote Access предоставляет ASA 5500-X

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA.

Классификация пользовательского VPN, предоставляемого МСЭ Cisco ASA:

По типу туннелирующего протокола:

IPsec – устаревший способ (не требует дополнительных лицензий);
SSL/TLS – современный способ (требует дополнительные лицензии).

Способ номер 2 — SSL/TLS — в свою очередь подразделяется на два вида:

a. Подключение с использованием клиентского приложения (Network (Client) Access);
b. Подключение с помощью браузера (Clientless Access).

Кроме того, способ номер 2 (SSL/TLS) может быть дополнен функционалом Cisco Secure Desktop (лицензируется отдельно), направленным на выполнение определённых проверок пользовательских устройств, с которых осуществляются попытки подключения.

Разберём более подробно каждый из способов.

Для соединения по первому способу – IPsec — используется клиентское приложение Cisco VPN Client. Для подключения пользователь должен установить и настроить клиентское приложение самостоятельно.

Способ 2а – SSL/TLS с использованием клиентского приложения — является аналогом способа 1. В случае 2а для подключения используется клиентское приложение Cisco Anyconnect Secure Mobility Client (далее Anyconnect). Главное преимущество использования способа 2а заключается в том, что приложение Anyconnect может быть загружено пользователем самостоятельно непосредственно с МСЭ ASA. При этом установка этого приложения будет выполнена в автоматическом режиме. Такое решение во многом упрощает администрирование сервиса Remote Access. Сетевым инженерам достаточно раздать пользователям ссылку, по которой можно скачать и установить клиент Anyconnect и логин/пароль. Кроме того, вместе с клиентом Anyconnect на пользовательское устройство загружается профиль подключения, описывающий все необходимые настройки. Пользователю не требуется настраивать подключение, как это было в случае использования Cisco VPN Client. Если на устройстве пользователя уже установлен клиент Anyconnect для подключения достаточно включить клиент, нажать “Connect” и ввести логин/пароль.

Существуют реализации клиента Anyconnect для мобильных устройств: Android, iOS, Windows mobile. Как правило, VPN на основе SSLTLS для предоставления сервиса Remote Access показывает более стабильную надёжную связь по сравнению с IPsec.

При использовании клиента пользовательское устройство получат логическое соединение с корпоративной сетью. При необходимости, сетевой администратор может настроить соединение таким образом, чтобы удалённый пользователь получал неограниченный доступ к ресурсам компании, как если бы пользовательское устройство было бы непосредственно включено в один из коммутаторов корпоративной сети.

В некоторых случаях, пользователи не могут установить на свои устройства клиентское приложение (AnyConnect или Cisco VPN Client). Например, удалённый пользователь подключается из Интернет-кафе, используя местный компьютер. В таких случаях единственным вариантом подключения становится подключение с помощью браузера (Clientless Access) – способ 2b. При таком виде подключения пользователь получает ограниченный доступ к определённым ресурсам компании. Отсутствует логическое подключение устройства к корпоративной сети.

Читать еще: Vba закрыть access

При использовании подключения с помощью браузера, пользователь заходит на корпоративный портал. Данный порта настраивается на ASA сетевым администратором. В зависимости от типа предоставляемых для удалённого доступа ресурсов на портале пользователь сможет найти следующие основные вкладки:

Web Applications
Browse Networks
Application Access
Terminal Servers

Вкладка Web Applications содержит ссылки на web-ресурсы компании, например OWA (Outlook Web Access), web-серверы компании.

Вкладка Browse Networks содержит инструменты доступа к сетевым файловым хранилища компании. Доступ может быть настроен по протоколам CIFS и FTP.

Вкладки Application Access и Terminal Servers содержат инструменты доступа к различным приложениям. С помощью портала можно организовать удалённый доступ к TCP-приложениям, использующим статические номера портов. К таким приложениям относятся приложения на основе следующих протоколов:

POP3, SMTP, IMAP – для web-based email;
SSH, и Telnet;
Citrix Client (rca);
Terminal Servers (rdp);
Terminal Servers Vista (rdp2);
VNC Client.

Для использования сервисов доступа к приложениям на клиентском устройстве необходимо наличие Sun Microsystems Java Runtime Environment (Java). Существует три способа предоставления доступа к приложениям:

Port Forwarding
Smart Tunnel
Plug-ins

Способ Port Forwarding также называется Thin-Client. При использовании данного способа на пользовательское устройство загружается небольшой Java-аплет. Для получения доступа к серверу приложения пользователь должен знать номер порта, по которому должен быть доступен сервер, а на пользовательском устройстве должно быть установлено соответствующее клиентское программное обеспечение. Так на примере доступа по RDP на терминальный сервер таким клиентским приложением должен служить сервис mstsc.exe. Для получения доступа по RDP на терминальный сервер, пользователь должен нажать на портале Start Applications, запустить на своём устройстве сервис mstsc.exe и ввести адрес 127.0.0.1: . Пользователь должен иметь права администратора для своего устройства, с которого осуществляется подключение.

Способ Smart Tunnel является надстройкой над способом Port Forwarding. Данный способ не требует наличия прав администратора, а также не требует от пользователя знаний, под каким портом сетевой администратор опубликовал на портале тот или иной сервер. Использование Smart Tunnel более предпочтительно по сравнению с использованием Port Forwarding. В данном случае, на примере доступа по RDP пользователь должен нажать на портале Start Smart Tunnel и, после этого, запустить mstsc.exe на своём устройстве. Теперь пользователь может подключиться по RDP к любому терминальному серверу, а не только к серверу, который опубликован сетевым администратором.

Инструменты способа Plug-ins можно найти на вкладке Terminal Servers. Главное отличие данного способа от предыдущих двух заключается в том, что на пользовательском устройстве может отсутствовать клиентского программного обеспечения для установки связи с сервером приложения. Другими словами, на примере RDP, не обязательно наличие mstsc.exe на устройстве. В качестве клиентского программного обеспечения выступает соответствующий приложению загружаемый на пользовательское устройство plug-in для браузера, работающий в среде Java.

Среди перечисленных трёх способов организации доступа к приложениям использование Smart Tunnel является наиболее производительным методом.

В заключении отметим основные возможности технологии Cisco Secure Desktop (CSD). Для многих современных компаний корпоративные политики безопасности требуют определения параметров пользовательских устройств, с которых осуществляется подключение к корпоративной сети. К таким параметрам относятся операционная система устройства, наличие актуального антивируса, наличие актуального программного брандмауэра, наличие актуального решения против шпионящего ПО, и многие другие параметры. Технология Cisco Secure Desktop (CSD), используемая совместно с Anyconnect-подключением или подключением без использования клиентского ПО, помогает решить задачу валидации устройства, подключаемого удалённо к корпоративной сети. Рассматриваемая технология помогает собирать параметры, описывающие подключаемое устройство. В дальнейшем собранные параметры могут быть использованы, чтобы определить, можно ли данному устройству подключаться удалённо к корпоративной сети, и, если подключение разрешено, какой уровень доступа может быть предоставлен для конкретного устройства.

Например, можно настроить политики таким образом, чтобы для устройств с определённой ОС, сертификатом и антивирусом разрешался неограниченный доступ к ресурсам компании, при отсутствии сертификата — разрешался доступ только к определённым IP-адресам и портам, а для всех других устройств разрешался доступ только через корпоративный портал (Clientless Remote Access).

Технология CSD в своей работе опирается на использование программы HostScan. При попытке установления соединения CSD загружает HostScan на подключающееся устройство. HostScan собирает все необходимые параметры устройства.

Проверки устройства происходят в два этапа:

Проверка перед аутентификацией (prelogin check). На данном этапе HostScan проверяет:
- Операционную систему;
- Присутствие или отсутствие определённого файла на устройстве;
- Для ОС Windows присутствие или отсутствие определённого ключа в реестре ОС;
- Наличие цифрового сертификата;
- Наличие определённого IPv4 и/или IPv6 адреса.
Дальнейшая проверка.

Если устройство проходит первый этап проверки, HostScan продолжает свою работу, собирает информацию о таких параметрах как наличие антивируса, его актуальность, вендор, версия базы, наличие программного файервола и его параметры, наличие решения предотвращения шпионящего ПО и его параметры и т.д. В это же время пользователю предлагается ввести аутентификационные данные.

Линейка продуктов Cisco ASA5500-X предоставляет дополнительный функционал – Advanced Endpoint Assessment (лицензируется отдельно, покрывается лицензией AnyConnect Apex). Если на этапе 2 проверки HostScan выявляется несоответствие определённых параметров устройства корпоративным стандартам, HostScan с включённым функционалом Advanced Endpoint Assessment предпринимает попытки исправить параметры устройства. Например, если присутствует антивирусное программное обеспечение обнаружено, но выключено пользователем, HostScan может принудительно активировать ПО. Также, если антивирус обнаружен, но база данных устарела, HostScan может принудительно инициировать попытку обновления базы вирусных сигнатур. Аналогичные исправления могут быть предприняты относительно программного брандмауэра и решения против шпионящего ПО.

По совокупности собранных параметров подключаемого устройства и аутентификационных данных пользователей (логин, принадлежность к определённой группе AD или Cisco, атрибута RADIUS и т.д.) межсетевой экран динамически принимает решение о предоставление доступа удалённому пользователю. Описанная задача решается посредством динамических политик доступа на Cisco ASA (Dynamic Access Policies – DAP).

В статье рассмотрены варианты предоставления сервиса доступа к корпоративным ресурсам компании удалённым пользователям, технологии, использующиеся для решения поставленной задачи, а также возможности, функционал и особенности применения каждой технологии. Основной акцент данной статье сделан на использование продукта Cisco ASA серии 5500-X, как программно-аппаратного решения, реализующего рассматриваемые технологии. Однако стоит отметить, на настоящий момент времени маршрутизаторы Cisco практически полностью поддерживают описанные решения и функционал.

Читать еще: Access не удается открыть базу данных

Так, например, маршрутизаторы Cisco ISR G2 (c IOS 12.4(6)T и выше), поддерживают Cisco VPN Client подключения, Anyconnect-подключения, подключения без клиента Clientless VPN и технологию Cisco Secure Desktop. Функциональное отличие от Cisco ASA заключается только в отсутствии Advanced Endpoint Assessment.

Для Cisco ASA основная часть описанного функционала лицензируется отдельно. Ознакомиться с особенностями схемы лицензирования описанного функционала можно по ссылке.

Cisco remote access ipsec VPN server on Cisco Router

Let’s get started:

!—AAA enabled using aaa newmodel command. Also AAA Authentication and Authorization are enabled—!

aaa authentication login default local
aaa authentication login VPN local
aaa authorization network VPN local

!— Create a user account for vpn connection

username Сisco123 secret Сisco123

!— create an Internet Security Association and Key Management Protocol (ISAKMP) policy for Phase 1 negotiations

crypto isakmp policy 10
aes 256
authentication pre-share
group 2

crypto isakmp keepalive 120

!— now create a group parameters wich passed down to the client

crypto isakmp client configuration group VPN-GROUP
key firewall$group
dns 8.8.8.8
pool VPNCLIENT_POOL_1
acl VPN-Net
max-users 10
max-logins 10

ip local pool VPNCLIENT_POOL_1 192.168.14.10 192.168.14.100

!— ACL for networks will tunnelled through the VPN

ip access-list extended VPN-Net
permit ip 192.168.1.0 0.0.0.255 any

!— Phase 2 Policy, this is for actual data encryption & IPSec phase 2 authentication

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac

!— The transformation named ‘ESP-AES-SHA’ is then applied to an IPSec map named ‘dynmap’. And all that applies to crypto map ‘vpn’.

crypto dynamic-map dynmap 10
set transform-set ESP-AES-SHA
reverse-route

crypto map vpn 10 ipsec-isakmp dynamic dynmap

!— Last step is to create one last ISAKMP profile

crypto isakmp profile Remote-VPN
match identity group VPN-GROUP
client authentication list VPN
isakmp authorization list VPN
client configuration address respond
keepalive 600 retry 60

!— Dynamic NAT statement on the router. It’s assumed that there is a host (192.168.1.11) in local network — vlan 5, which have a static nat for port 3389 to outside network. And it must be open from outside network and for VPN-clients network (192.168.14.0).

ip access-list extended PAT
deny ip host 192.168.1.11 192.168.14.0 0.0.0.255
permit ip host 192.168.1.11 any
permit ip 192.168.14.0 0.0.0.255 any

ip nat inside source list PAT interface FastEthernet1 overload

!— Static NAT statement on the router with the route-map for access from VPN users to host 192.168.1.11. Route map links with ACL ‘nonat_3389’

ip nat inside source static tcp 192.168.1.11 3389 1.1.1.1 3389 route-map nonat

route-map nonat permit 10
match ip address nonat_3389

ip access-list extended nonat_3389
deny ip host 192.168.1.11 192.168.14.0 0.0.0.255
permit ip host 192.168.1.11 any

!— Now applies crypto map ‘vpn’ to outside int Fa1

interface FastEthernet1
description UPLINK
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn

!— There is configuration of vlan 5 interface — local network

interface Vlan5
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ntp broadcast

Remote Access VPN;

Extranet VPN

Рис. 11. Remote Access VPN

0 0 голоса

Рейтинг статьи