anyconnect

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
okoo
wannabe
wannabe
Posty: 395
Rejestracja: 13 cze 2008, 19:17

anyconnect

#1

#1 Post autor: okoo »

Mam ASA5506-X na którą kupiliśmy licencję na dostęp do anyconnect przez urządzenia mobilne.
Początkowo anyconect został skonfigurowany za pomocą certyfikatu self signed, ale zdecydowaliśmy że komunikat o niezaufanym certyfikacie jest drażniący i postanowiliśmy wykorzystać posiadany certyfikat wildcardowy RapidSSL Wildcard.
Certyfikat komercyjny został zaimportowany poprawnie w ASDM na urządzenie i skonfigurowany do użytku przez anyconnect. Skutek jest tego taki, że z komputera połączenie działa poprawnie (nie wyskakuje monit o nieprawidłowym certyfikacie) i nawet w aplikacji klienta anyconnect jak jest zaznaczone "Block connections to utrusted servers" to połączenie jest zestawiane prawidłowo i vpn działa poprawnie. Problem jest z urządzeniami mobilnymi, gdy używam certyfikatu self signed to połączenie jest zestawiane, natomiast przy użyciu certyfikatu komercyjnego, telefon się nie łączy i wyskakuje błąd "Próba połączenia nie powiodła się z powodu błędu komunikacji serwera. Spróbuj wznowić połaczenie.
Wychodzi na to, że asa chyba nie chce działać z komercyjnym certyfikatem wildcard, ma może ktoś dla mnie jakąś radę co z tym zrobić ?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: anyconnect

#2

#2 Post autor: mihu »

okoo pisze: 11 sty 2018, 10:54 Mam ASA5506-X na którą kupiliśmy licencję na dostęp do anyconnect przez urządzenia mobilne.
Początkowo anyconect został skonfigurowany za pomocą certyfikatu self signed, ale zdecydowaliśmy że komunikat o niezaufanym certyfikacie jest drażniący i postanowiliśmy wykorzystać posiadany certyfikat wildcardowy RapidSSL Wildcard.
Certyfikat komercyjny został zaimportowany poprawnie w ASDM na urządzenie i skonfigurowany do użytku przez anyconnect. Skutek jest tego taki, że z komputera połączenie działa poprawnie (nie wyskakuje monit o nieprawidłowym certyfikacie) i nawet w aplikacji klienta anyconnect jak jest zaznaczone "Block connections to utrusted servers" to połączenie jest zestawiane prawidłowo i vpn działa poprawnie. Problem jest z urządzeniami mobilnymi, gdy używam certyfikatu self signed to połączenie jest zestawiane, natomiast przy użyciu certyfikatu komercyjnego, telefon się nie łączy i wyskakuje błąd "Próba połączenia nie powiodła się z powodu błędu komunikacji serwera. Spróbuj wznowić połaczenie.
Wychodzi na to, że asa chyba nie chce działać z komercyjnym certyfikatem wildcard, ma może ktoś dla mnie jakąś radę co z tym zrobić ?
hejka,

jakie urządzenie mobilne ? Android/Windows/Apple? Z nimi zawsze jest problem mimo, że cert powinien być zaufany. W większości przypadków działa tylko trzeba zaakceptować.

Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

okoo
wannabe
wannabe
Posty: 395
Rejestracja: 13 cze 2008, 19:17

Re: anyconnect

#3

#3 Post autor: okoo »

Cześć
Urządzenia mobilne to android i ios, jest ten sam efekt.
Jedna sprawa to fakt że certyfikat wyskakuje ze jest niezaufany, ale nawet po zaakceptowaniu tego certyfikatu sie nie łączy, po zaimportowaniu jest to samo.
Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
Masz tu na myśli skasowanie certu na urządzeniu mobilnym ?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: anyconnect

#4

#4 Post autor: mihu »

okoo pisze: 11 sty 2018, 11:25 Cześć
Urządzenia mobilne to android i ios, jest ten sam efekt.
Jedna sprawa to fakt że certyfikat wyskakuje ze jest niezaufany, ale nawet po zaakceptowaniu tego certyfikatu sie nie łączy, po zaimportowaniu jest to samo.
Probowałeś skasować cert który masz przypisany do danego FQDN-a, żeby zaufał nowemu?
Masz tu na myśli skasowanie certu na urządzeniu mobilnym ?
a jaki certyfikat Ci wyświetla na urządzeniu mobilnym? Stary self-signed czy nowy który powinien być zaufany? Bo jeśli pierwsze to cache na urządzeniu mobilny i opcji jest pare - skasować go jak się da, reboot urządzenia, lub reinstalka AnyConnecta. Jeśli drugie to znaczy, że urządzenie nie ma Root CA dla tego certa i to z kolei opcje są - upgrade softu na urządzeniu (jeśli da się), albo MDM / ręczny import Root CA, ale to nie się trochę rozmywa z sensem płacenia za trusted cert...
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

dante999
wannabe
wannabe
Posty: 53
Rejestracja: 26 mar 2015, 14:12

Re: anyconnect

#5

#5 Post autor: dante999 »

Jeszcze takie 3 grosze - ja miałem problem z urządzeniami mobilnymi jak na ASA nie było całej ścieżki certyfikacji, czyli dla certa który przypisujesz do AnyConnecta musi być RootCA i wszystkie pośrednie które są w ścieżce.

bart
wannabe
wannabe
Posty: 409
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Re: anyconnect

#6

#6 Post autor: bart »

dante999 pisze: 11 sty 2018, 13:00 Jeszcze takie 3 grosze - ja miałem problem z urządzeniami mobilnymi jak na ASA nie było całej ścieżki certyfikacji, czyli dla certa który przypisujesz do AnyConnecta musi być RootCA i wszystkie pośrednie które są w ścieżce.
Hmmm ale to chyba normalne na każdym urządzeniu, serwerze etc. zazwyczaj wgrywa się certa i chaincert.

ODPOWIEDZ