опенвпн кокой-нибудь

https://habrahabr.ru/post/71077/ 2009 год, еать я старый

опенвпн кокой-нибудь

не вариант, впн сервер - циско же

последняя новость 2013 год

не вариант, впн сервер - циско же

ну тогда лучиков тебе

https://habrahabr.ru/post/71077/ 2009 год, еать я старый

сижу читаю... просто сравнить хочется

мне прост хотелось верить что придумали как к опенвпн прикрутить проприетарщину

Однако у меня все равно большие претензии к ихним админам. То что я сейчас обслуживаю - тоже проектировал не сам. Непонаслышке знаю какая боль разгребать чужое дерьмо, но сообственно заказчик за это платит деньги и это моя работа. Я не могу в случае простоя сказать - "ну это же не я проектировал, так что идите лесом". Неважно какие обстоятельства - подписался на работу - делай её хорошо или уступи место тем кто будет хорошо делать.

да ты прям святой

а чем сейчас модно пользоваться?

А эниконнект не про это?

А эниконнект не про это?

хз

Cisco AnyConnect это и есть VPN Client, просто переименованный и немного переработанный. VPN Client уже давным-давно не поддерживается, вместо него эниконнект

Все так

Cisco AnyConnect это и есть VPN Client, просто переименованный и немного переработанный. VPN Client уже давным-давно не поддерживается, вместо него эниконнект

хз, у меня не коннектится к циско серверу эниконнект. у коллеги впн клиент коннектится. почему-хз

Так это, логи на сервере то смотрел?

Так это, логи на сервере то смотрел?

а сервак не мой

заказчика

Cisco anyconnect теперь уже тоже нет

а что там теперь вместо аниконнекта?

(мы юзаем openconnect(-gui) обычно)))

В общем смысл такой. Был простой vpn на маршрутизаторах, был навороченный vpn (клиентский) на asa

(мы юзаем openconnect(-gui) обычно)))

совместим с цискарским сервом?

ЕМНИП да )

вроде даже с junos pulse но пока не проверял

Для асы был cisco vpn, потом cisco anyconnect

с асою точно да

но мы выкинули асы и воткнули ocserv

ЕМНИП да )

спс, бро, попробуем.

На асе была прелесть в том, что vpn был по лицензиям дешевый - на платформу, если без изврата clientless vpn

Потом циска подумала что это слишком жирно, и выделила анисоннект в отдельное подразделение, запихала туда допговна

И стала продавать по подписке

Пока что старый клиент cisco anyconnect работает, но его перестали обновлять

Скачать можно на сайти

Но нужна активный смартнет

Если сильно нужно - стукнись в личку - поделюсь

Клиентом, не подпиской :)

но мы выкинули асы и воткнули ocserv

А поподробнее можно про ocserv? Это что за зверь?

openconnect/anyconnect совместимый сервер на линуксах

удобное довольно-таки

Клиентом, не подпиской :)

мужик, ну спасибо, хоть кто-то объяснил что происходит в голове у этих наркоманов

openconnect/anyconnect совместимый сервер на линуксах

А есть собственный клиент для ios/android/win/linux?

openconnect :)

опенсорсный, Linux/Win. Mac - через brew кажется, я не пробовал. Android тоже.

Ясно, спасибо большое

Пощупаем

А то я уже задолбался искать альтернативу впну цискиному

оно вполне збс

Да я бы оставил кошку, но их подписочная модель на клиента меня прям вымораживает

Причем больше всего бесит что старым клиентам они не выдали просто новую перманентную лицуху, как делают все порядочные люди

Выдавали на 3 года всего

Пока что старый клиент cisco anyconnect работает, но его перестали обновлять

хз, но тот ssl vpn клиент, что у них есть сейчас, по-прежнему называется Cisco AnyConnect. Да, модулей накидных там дофига

Но ставить их не обязательно, можно просто голый клиент

вот в октябре свежая версия вышла

Для асы был cisco vpn, потом cisco anyconnect

А не к асе нельзя подконнектиться в теории им разве?

Да, название старое, версия 4. Можно и голый клиент, вопрос в том, как теперь организована покупка техпода

К не асе можно подключиться наверное по ipsec. Но такого не настраивал

Да и прелесть в основном в использовании 443 порта. Его почти нигде не режут

Вот как. Как раз хотел перейти на asa, для раздачи vpn пользователям. Сейчас на микротике, как-то несерьёзно... Не думал что за это деньги требуют... Печаль.

Вопрос задач

За 5 лет юзания данного решения глюки были единичны

И в основном связанные со сторонними приложениями

Очень надежно

Но дорого :)

Плюс единственное из виденных мною решение для безклиентского vpn

Хотя jdima быстро бы доказал бы что это фуфло :))))

коллеги, а этот AnyConnect к циске с easyvpn не цепляется что ли?

ERROR: S client not available

там тьма тараканья приложений - хз что юзать

со shrew vpn есть одна особенность - если в профиле ipsec установлен режим pfs - он не находит нужный transform set... только что тестил

Вот как. Как раз хотел перейти на asa, для раздачи vpn пользователям. Сейчас на микротике, как-то несерьёзно... Не думал что за это деньги требуют... Печаль.

А что в микротике несерьезного? Вон в RB750Gr3 проц с аппаратным криптомодулем, можно под 200 мбит выжать (я на Keenetic Ultra II с аналогичным процом легко получаю ~150 мбит). Как по мне, сейчас для максимального покрытия достаточно IPsec (IKEv1 для смартфонов и проч, IKEv2 для того что его поддерживает), если где-то глухо с интернетом и IKE фигово работает - OpenVPN TCP на 443 порту и можно хоть из-за HTTP-прокси работать, хоть и небыстро.

Техпод не серьезный в микротике. В остально железка как железка :)

А что в микротике несерьезного? Вон в RB750Gr3 проц с аппаратным криптомодулем, можно под 200 мбит выжать (я на Keenetic Ultra II с аналогичным процом легко получаю ~150 мбит). Как по мне, сейчас для максимального покрытия достаточно IPsec (IKEv1 для смартфонов и проч, IKEv2 для того что его поддерживает), если где-то глухо с интернетом и IKE фигово работает - OpenVPN TCP на 443 порту и можно хоть из-за HTTP-прокси работать, хоть и небыстро.

Все в микротик хорошо, кроме багов, которые периодически всплывают. Ну и ovpn только в tcp (если кто-то пользует его)

Все в микротик хорошо, кроме багов, которые периодически всплывают. Ну и ovpn только в tcp (если кто-то пользует его)

они везде всплывают, безглючного железа не бывает ) Вопрос в скорости и качестве фиксов

А что в микротике несерьезного? Вон в RB750Gr3 проц с аппаратным криптомодулем, можно под 200 мбит выжать (я на Keenetic Ultra II с аналогичным процом легко получаю ~150 мбит). Как по мне, сейчас для максимального покрытия достаточно IPsec (IKEv1 для смартфонов и проч, IKEv2 для того что его поддерживает), если где-то глухо с интернетом и IKE фигово работает - OpenVPN TCP на 443 порту и можно хоть из-за HTTP-прокси работать, хоть и небыстро.

У меня сейчас на шлюзе самодеятельность процветает. Routeros x86 на виртуалке со всеми вытекающими. Зато асы лежат без дела.

Дюже странная получилась беседа про цисковские впны. Зачем вы пытаетесь сравнить Cisco VPN client и Cisco Any connect

один IPSEC, а другой SSL

что там со стороны сервера? если требуют Cisco VPN Client, то это IPSec

зачем для IPSec "проприетарный" клиент?

Неправда. AnyConnect это продолжение Cisco vpn и он умеет ipsec

Да, конечно. Тут я неправильно выразился.

Но, anyconnect потребляет Anyconnect лицензии (в случае ASA)

Мой посыл что не нужен же никакой софт проприетарный для IPSec VPN клиента

я НЕ знаю как это сделать на винде, например, но на Mac-е нативно можно подключится к Cisco VPN серверу, зная параметры туннеля

В винде тоже самое

Но раньше с лицензиями AnyConnect было просто и стоило каких-то смешных денег

на два подключения лицензии халявные :)

в сымсле - лицензии не нужны вообще

Три вроде было :)

Но сейчас уже все поменялось :((((

Неправда. AnyConnect это продолжение Cisco vpn и он умеет ipsec

Раз ты жив в этом чатике... Нету ли у тебя инструкции под это делло под рукой? А то я сходу не нашёл куда в AnyConnect даже PSK вставить можно. Если нету под рукой - то и фиг с ним - можно не искать

Три вроде было :)

ткните носом где почитать про anyconnect и настройкой его на ipsec ??

ткните носом где почитать про anyconnect и настройкой его на ipsec ??

AnyConnect с IPSec понимает только ikev2

AnyConnect с IPSec понимает только ikev2

печаль...

А чего так?

А чего так?

не дорос я еще до ikev2

cisco vpn client по сертификатам не хочет коннектится

не дорос я еще до ikev2

Там ничего сложного нет. Конфиг чуть длиньше, чем для ssl vpn.

Там ничего сложного нет. Конфиг чуть длиньше, чем для ssl vpn.

понятно... мне б с сертификатами разобратся... сдается мне что я импортирую сертификат без закрытого ключа... как с ключем его запихать в хранилище

понятно... мне б с сертификатами разобратся... сдается мне что я импортирую сертификат без закрытого ключа... как с ключем его запихать в хранилище

Pkcs12 без проблем импортируется