Anticisco
http://www.anticisco.ru/forum/

Anyconnect client, ISE. DHCP - как правильно организовать?
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11279
Страница 1 из 1

Автор:  AlexNiko [ 31 мар 2020, 11:37 ]
Заголовок сообщения:  Anyconnect client, ISE. DHCP - как правильно организовать?

Как в ISE через Authorization Profiles присваивать скопу на DHCP сервере. Задача разделить клиентов VPN по разным подсетям не используя профайлы на ASA.

Автор:  AlexNiko [ 31 мар 2020, 18:40 ]
Заголовок сообщения:  Re: Anyconnect client, ISE. DHCP - как правильно организоват

Никто не сталкивался? Или если не релееить на DHCP c указанием подсети, но хотя-бы вернуть по радиусу название пула адресов на ASA

Автор:  Nikolay_ [ 01 апр 2020, 11:24 ]
Заголовок сообщения:  Re: Anyconnect client, ISE. DHCP - как правильно организоват

AlexNiko писал(а):
Как в ISE через Authorization Profiles присваивать скопу на DHCP сервере. Задача разделить клиентов VPN по разным подсетям не используя профайлы на ASA.

Через радиус аттрибут Address-Pools- Name of IP local pool - нет?
https://www.cisco.com/c/en/us/td/docs/s ... Id-1802187

Автор:  AlexNiko [ 01 апр 2020, 14:40 ]
Заголовок сообщения:  Re: Anyconnect client, ISE. DHCP - как правильно организоват

Вот создал я группу и не прописываю ни пула ни DHCP

Код:
tunnel-group FCBN type remote-access
tunnel-group FCBN general-attributes
 authentication-server-group FCCPS-RADIUS
 default-group-policy GroupPolicy_FCBN
tunnel-group FCBN webvpn-attributes
 group-alias FCBN enable


в режиме глобальной конфигурации:
Код:
vpn-addr-assign aaa

На ISE в авторизационном профайле

Код:
Access Type = ACCESS_ACCEPT
DACL = 0_FCCPS-Permit-Any-Any
cisco-ip-pool-definition = FCBN


cisco-ip-pool-definition - это тот самый 217 атрибут. Но не работает. Что я пропустил и что дебажить?

Автор:  Nikolay_ [ 02 апр 2020, 10:07 ]
Заголовок сообщения:  Re: Anyconnect client, ISE. DHCP - как правильно организоват

А ip local pool FCBN ... у Вас в конфиге присутствует?

Вообще самый простой способ - создать разные GroupPolicy на ASA и выдавать их с ISE по результатам авторизации.

Автор:  AlexNiko [ 02 апр 2020, 10:14 ]
Заголовок сообщения:  Re: Anyconnect client, ISE. DHCP - как правильно организоват

Да, я тоже пришел к такому выводу + добавил еще статику для некоторых клиентов. Спасибо!

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/