Tải và Triển khai AnyConnect Client với Meraki MX

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi hvminh, 28/6/22.

Tags:
  1. hvminh

    hvminh Member

    CLIENT DOWNLOAD:
    - Không giống với Cisco ASA, Meraki MX không hỗ trợ triển khai web hoặc chạy web, tính năng này cho phép người dùng cuối truy cập vào một trang web trên máy chủ AnyConnect để tải về AnyConnect client. Với Meraki MX, có các đường dẫn tải xuống phần mềm client trên trang cài đặt AnyConnect ở Dashboard, tuy nhiên, các liên kết tải về chỉ khả dụng cho Meraki dashboard của admin. Do đó, bạn không nên chia sẻ đường link tải xuống với user vì các liên kết sẽ hết hạn trong vòng 5 phút tải trang AnyConnect settings.
    [​IMG]
    - Bạn nên tải AnyConnect client trực tiếp từ trang chủ Cisco.com để có được bản cập nhật mới và tài liệu liên quan. Ngoài ra, Meraki Systems Manager, một giải pháp MDM tương đương, hoặc Active Directory để đẩy phần mềm AnyConnect tới thiết bị của người dùng cuối.

    - AnyConnect yêu cầu VPN client phải được cài đặt trên thiết bị người dùng. AnyConnect client cho Windows, MacOS, và Linux đều sẵn sàng trên phần Client Connection của trang cấu hình AnyConnect của Dashboard và có thể được tải xuống bằng trang Meraki dashboard quản trị. Còn các AnyConnect client cho các thiết bị di động có thể tải trên của hàng ứng dụng. Bạn cũng có thể tải phiên bản khác (tối thiểu là ver4.8 hoặc cao hơn) của AnyConnect client từ trang chủ Cisco hoặc bạn đã có sẵn giấy phép AnyConnect. Triển khai AnyConnect qua web hiện không hỗ trợ trên Meraki MX.

    - Cài đặt AnyConnect Client.
    [​IMG]
    [​IMG]
    - Bạn chỉ cần chọn vào ô VPN. Khi client đã được cài đặt trên thiết bị, mở ứng dụng AnyConnect và paste hostname hoặc địa chỉ IP của MX (AnyConnect server) bạn cần kết nối tới.
    [​IMG]
    [​IMG]
    [​IMG]
    ANYCONNECT PROFILES:
    - Một AnyConnect profile là một phần quan trọng để đảm bảo cấu hình dễ dàng của phần mềm AnyConnect client, khi cài đặt. Những profile có thể được sử dụng làm hostname alias, do đó thay Meraki DDNS với một cái tên thân thiện cho end-user. Ngay cả khi hostname dễ nhớ, việc chọn danh sách server từ menu của AnyConnect sẽ thuận tiện hơn là nhập hostname bằng tay.

    - Những tính năng Cisco AnyConnect client được bật lên trong AnyConnect profile. Các profile này có thể chứa các cài đặt cấu hình như danh sách server, dánh sách server dự phòng, thời hạn xác thực…. dành cho các chức năng client VPN, thêm vào các mô-đun tùy chọn khác cho client như Network Access Manager, ISE posture, feedback người dùng, bảo bật web.

    - Khi prfile được tạo, nó cần phải được đẩy tới thiết bị của end-user. Có ba cách để thực hiện:
    • Cách 1: AnnyConnect server (MX): nếu các profile được cấu hình trên Dashboard, MX sẽ đẩy profile đã cấu hình tới thiết bị end-user sau khi xác thực thành công.
    • Cách 2: Giải pháp MDM: Systems Manager, một giải pháp MDM tương đương, hoặc Active Directory có thể được đẩy các file tới điểm đích cụ thể trên thiết bị end-user. Những profile cũng có thể được đẩy tới các đường dẫn sau:
      • Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
      • Mac OS X: /opt/cisco/anyconnect/profile
      • Linux: /opt/cisco/anyconnect/profile
    • Cách 3: Manually (Thủ công): profile cũng có thể được tải trước bằng thủ công tới cùng các đường dẫn như danh sách trên.
    Cách để tạo Profile:
    - Các profile có thể được tạo sử dụng AnyConnect VPN profile editor. Profile editor được tải từ trang AnyConnect Settings trên Meraki Dashboard hoặc trên trang chủ Cisco.com.

    - Sử dụng profile editor: VPN profile editor chỉ chạy trên Windows. Hình chụp dưới đây cho thấy cấu hình server trên cửa sổ Server List Entry option.
    [​IMG]
    - Khi cấu hình hoàn thành, lưu thành định dạng xml profile. Bạn nên sử dụng một file duy nhất để profile không bị ghi đè bởi AnyConnect server, sau đó bạn có thể tải file lên phần cập nhật profile trên trang AnyConnect settings.

    Lưu ý: VPN profile hiện được hỗ trợ trên MX. Điều này có nghĩa bạn không thể đây NVM, NAM, hoặc Umbrella profile thông qua Cisco Meraki MX.
    [​IMG]
    • Chọn kích hoạt profiles, tải file.xml của bạn, và lưu cấu hình của bạn.
    • Sau khi một user xác thực thành công, profile đã cấu hình được đẩy tới thiết bị của user tự động.
    • Kết quả của .xml có thể hiện ra như hình dưới, sau khi xác thực thành công tới AnyConnect server, mang đến cho người dùng dễ dàng chọn VPN server trên AnyConnect client.
    [​IMG]
    - Meraki DDNS hostname khá khó để ghi nhớ, do đó end-user không thích sử dụng trực tiếp. Các profile nên được sử dụng để tạo kết nối tới AnyConnect server dễ dàng cho các end-user.

    ALWAYS ON VPN:
    - Hoạt động Always-On ngăn truy cập đến tài nguyên Internet khi PC không ở trên mạng tin cậy, trừ khi một phiên VPN đang hoạt động. Việc buộc VPN luôn bật trong tình huống này sẽ bảo vệ máy tính khỏi các mối đe dọa bảo mật. Đây là cấu hình phía client có thể được bật thông qua cấu hình AnyConnect profile.

    Cấu hình    :
    [​IMG]
    1. Mở VPN Profile Editor và chọn Preferences (Part 2) từ bảng định hướng.
    2. Chọn Automatic VPN Policy.
    3. Cấu hình Trusted Network Detection cho mạng Trusted và mạng Unstrusted.
    4. Chọn Always On.
    5. (Thêm tùy chọn) Chọn hoặc bỏ chọn Allow VPN Disconnect. Điều này sẽ xác định xem user có thể ngắt kết nối khỏi VPN hay không.
    6. Click File, lưu profile lại, sau đó Upload lên trang Meraki Dashboard > Security & SD-WAN > AnyConnect Settings > "Profile Update option" và lưu cấu hình lại. Profile cũng có thể được đẩy tới user thông qua nhiều cách khác nhau, ví như Systems Manager.
    [​IMG]
    - Profile sẽ được cập nhật trên client sau khi kết nối thành công tới VPN hoặc nếu được cập nhật thủ công trên client. Hãy nhớ profile có thể bị ghi đè trên client nếu profile mới và cũ có cùng tên file.

    BẤT ĐẦU TRƯỚC KHI ĐĂNG NHẬP:
    - Tính năng này được gọi là Start Before Logon (SBL) cho phép user thiết lập kết nối VPN đến hạ tầng doanh nghiệp trức khi đăng nhập vào Windows. Đây là cấu hình phía client có thể được kích hoạt thông qua AnyConnect profile.

    - Khi SBL được cài đặt và bật lên, AnyConnect bất đầu trước khi đăng nhập vào hộp thoại đăng nhập Windows xuất hiện, đảm bảo các user được kết nối tới hạ tầng doanh nghiẹp của họ trước khi đăng nhập vào. Sau khi xác thực VPN, hộp thoại đăng nhặp WIndows xuất hiện, vào user vào bên trong như bình thường.

    Cấu hình    :
    1. Cài đặt AnyConnect Start Before Logon Module. Có file chạy cài đặt được gọi là "gina-predeploy" trong AnyConnect cho Windows như được chọn trong hình dưới.
    [​IMG]
    2. Khi gina đã xong, bật Start Before Logon (SBL) trong AnyConnect Profile và đẩy profile tới client.
    [​IMG]
    • Mở VPN Profile Editor và chọn Preferences (Part 1) từ bảng điều hướng.
    • Chọn Use Start Before Logon.
    • (Thêm tùy chọn) Để cho user từ xa điều khiển thông qua SBL, chọn User Controllable.
    • Click File, Save để lưu profile lại, sau đó Upload nó lên trang Meraki Dashboard > Security & SD-WAN > AnyConnect Settings > "Profile Update option" và lưu cấu hình lại.
    [​IMG]
    - Profile sẽ được cập nhật trên client sau khi kết nối thành công tới VPN hoặc nếu được tải lên thủ công trên client. Và cũng sẽ bị ghi đề nếu trùng tên profile cũ & mới. Lưu ý quan trọng, user phải khởi động lại PC ở xa trước khi SBL có hiệu lực. Sau khi khởi động lại, các user có thể sử dụng tùy chọn Network sign-in để chạy và kết nối tới AnyConnect VPN.
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]

    ---o0o---
     
    hvminh, 28/6/22
    #1

trang này