Pentru cititorii articolului despre L2TP/IPSEC si Work From Home intra in discutie o problema intampinata des in accesarea resurselor unor parteneri/clienti.

Asa cum am discutat in articolul precedent este posibil ca prin NAT sau adaugarea subnetului L2TP ca parte din traficul interesant specificat in IPSEC ACL, sa accesam resursele altor sedii ale companiei, insa multe companii de IT si suport au nevoie sa acceseze si resurse aflate in sediul altor companii (clienti).
Pentru a face acest lucru este posibil sa avem nevoie de un client VPN care sa ne conecteze cu reteaua clientului. Cel mai utilizat este Anyconnect Client.

O sa urmeze un articol si despre configurarea acestuia, insa inainte as dori sa mentionez o problema pentru cititorii care isi lasa laptopul la birou si incearca sa foloseasca L2TP pe calculatorul de acasa. De cele mai multe ori, pentru a simplifica lucrurile, se va face remote desktop pe laptopul de la birou, folosind anyconnect client pentru a accesa mai departe reteaua clientilor. Deoarece multe aplicatii job-related sunt instalate pe el este mai simpla accesarea prin remote desktop.
Este posibil ca multi dintre voi sa intampinati urmatoarea eroare cand folositi Anyconnect dintr-o sesiune RDP:

Fiind conectati prin remote desktop pe laptop, nu printr-o sesiune locala, este posibil ca serverul vpn sa refuze conexiunea. Totul se datoreaza unei setari din profilul vpn instalat local pe laptop din configuratia serverului, in cazul nostru Cisco ASA.
Recomand tuturor sa foloseasca ASA pentru a deservi conexiunile Anyconnect, deoarece ofera un framework user-friendly pentru a seta remote vpn-ul conform nevoilor organizatorice.
By default, profilul are setat conexiuni doar de la useri locali, de aceea trebuie sa identificam pe calculator profilul, sa-l editam si sa modificam scriptul pentru a permite utilizatorilor remote:

Calea unde se afla profilurile VPN este urmatoarea:
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

Profilele (specifice diferitelor retele vpn) sunt in format xml:

Vom edita profilul dorit folosind Notepad ++ (sau alte programe de editat fisiere text) pentru a vizualiza intr-un format usor de citit scriptul. Observam setarea care producea eroarea in bold:
<WindowsVPNEstablishment> LocalUsersOnly </WindowsVPNEstablishment>
Trebuie sa fie inlocuita cu AllowRemoteUsers
Acum nu ramane decat sa ne conectam pe Cisco ASA pentru a finaliza configuratia. O sa folosim aplicatia GUI ASDM. Prima data ne logam:

Intram la Configuration -> Remote Access VPN -> Network (Client) Access -> Anyconnect Client Profile unde vom putea observa profilul disponibil si descarcabil de catre client:

Editam profilul si putem vedea la Preferences (Part 1) optiunea:

Schimbam in:

Click OK -> Apply si salvam (Ctrl + S).
Cand dam Apply observam si comenzile din background aplicate pe ASA ocazie pentru noi sa invatam si partea de CLI in timp ce folosim GUI:

Aceasta este solutia pentru a putea accesa reteaua VPN a clientului folosind Anyconnect in timp ce facem RDP pe laptopul de la munca.
Sper sa fie utila informatia pentru multi dintre voi.
Urmeaza in zilele urmatoare si un articol despre cum setam Anyconnect, mai ales in contextul Work From Home.

Articol scris de Bogdan Curduban – Network Engineer