cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
1538
Apresentações
10
Útil
8
Respostas

WEBVPN SSL Router Cisco CISCO1905/K9

Eu configurei o meu router para ter acesso a VPN SSL (WEBVPN) porem quando eu tento logar na pagina web da erro de Redirecionamento incorreto para pagina Estou com  duvidas se é um problema com o IOS do router ou se eu estou comendo bola em alguma coisa. Segue logs do router.

 

Cisco CISCO1905/K9 (revision 1.0) with 229376K/32768K bytes of memory.


 

2 Soluções Aceitas

Soluções aceites

tcortesb
Cisco Employee
Cisco Employee

Olá @victor_donascimento1 tudo bem?

 

Se você gostou das respostas e se foram úteis para você, por favor, não deixe de avaliá-las por meio da estrelinha que está abaixo da resposta.

 

kudo.jpg

Também você pode aceitar a resposta como solução, para isso você terá que :

 

aceitar como solucao.jpg

A sua opinião é muito importante para que os especialistas continuem ajudando na comunidade.

 

Muito obrigada.

Ver solução na publicação original

Olá Victor,

 

Fui consultar o status de alguns dos threads de usuários da Comunidade, particularmente os que tive alguma participação com algum tipo de contribuição/resposta, e, ao verificar o seu caso aqui, notei que, aparentemente, o problema ainda persiste ou não foi solucionado.

 

Vamos lá... conforme eu havia desconfiado, com base na resposta que eu tinha fornecido lá no início, há uma suspeita de problemas com a parte do certificado implementado neste roteador. Isto pode apresentar no problema relatado. Na verdade, uma relação entre o OS e, principalmente, o browser/navegador.

 

Por exemplo, eu uso um Macbook Pro aqui, e o meu navegador primário é o Google Chrome. Ao tentar acessar a sua página de login para o WebVPN, eis o que recebo (pelo Chrome):

 

2018-02-23_02-03-16.png

 

 

Ao tentar prosseguir adiante.... :

 

2018-02-23_01-53-23.png

 

Ou seja, múltiplos redirecionamentos e falhando na tentativa de carregar a página. Agora, ao tentar fazer o mesmo procedimento usando o Safari, outro navegador e no mesmo computador, eu recebo uma mensagem de erro na questão de confiança do certificado apresentado pelo seu roteador, mas consigo proceder adiante e "confiar"temporariamente no seu certificado. O resultado? Funciona, e eu estou observando neste exato momento a sua tela de login:

 

2018-02-23_01-53-10.png

Creio que a maneira mais fácil de resolver esta inconsistência envolvendo navegadores e computadores seria admitir um ponto de confiança ("trusted" mesmo) sobre a CA que emitiu o certificado para o seu roteador (mesmo que tenha sido um "self signed"). Desta forma, usuários que tentarem se conectar à página de login não terão problemas, pois haverá um vínculo de confiança sobre a entidade certificadora que gerou o certificado para o seu roteador e o navegador do usuário.

 

Outra possibilidade (que tal fazer o teste com o Internet Explorer, caso os clientes sejam Windows?):

 

Em "Tools -> Internet Options -> Security -> Trusted Sites" você reduziria para "Low" e adicionaria a referida URL para "trusted". Em adição, desabilitaria o "Require server verification for all sites on this zone". Para outros navegadores, seria um diagnóstico e resolução caso-a-caso (daí a sugestão dada inicialmente nesta resposta aqui).

 

Espero ter ajudado! Marque aqui caso afirmativo!

 

Obrigado

 

Leonardo Furtado

Ver solução na publicação original

8 RESPOSTAS 8

lfurtado
Cisco Employee
Cisco Employee

Olá,

 

Fiz um teste de acesso na URL mencionada no seu post e, ao que tudo indica, preliminarmente, o problema está com o certificado.

 

Caso você tenha alterado recentemente o nome do roteador ou o domínio, isto poderá ter provocado a regeneração do certificado e a substituição do ponto de confiança. Creio que a maneira mais rápida para você consertar isto seria:

 

1) Configurar um novo ponto de confiança e criando novas chaves RSA 

2) Criar o seu PKI localmente no router

3) Obter o certificado a partir da CA local

4) Revalidar a configuração do seu WEBVPN

 

Consulte os recursos a seguir para conhecer os procedimentos:

 

Public Key Infrastructure Configuration Guide, Cisco IOS XE Release 3S
Configuring a Persistent Self-Signed Certificate for Enrollment via SSL
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_pki/configuration/xe-3s/sec-pki-xe-3s-book/sec-cert-enroll-pki.html#GUID-05760296-A043-40FB-9E3A-A73F2B16BD2C

 

Qualquer coisa, informe-nos aqui.

 

Leonardo

 

Leo,

Desde já agradeço o apoio, mas infelizmente não funcionou :(

 eu exclui tds certificados, chaves etc... comecei do zero .... e continua dando erro de certificado

 

 

Obs.: eu instalei o Anyconnect no meu celular e conectou normal.... o problema é conectar na vpn via PC

Victor,

 

Obrigado pela oportunidade de auxiliarmos em sua implementação. Não sei se o problema foi solucionado, mas pelas notas adicionadas, entendo que ainda está tendo falhas. Avaliei seus logs e configurações e pude perceber que estão faltando alguns detalhes na configuração de context para WebVPN. Abaixo segue a alteração recomendada:

 

webvpn context DigiagaVPN
gateway DigiageGateway <<<<< Chamar a sua configuração de WebVPN gateway
inservice
policy group SSLPolicy <<<< Adicionar sua política de grupo dentro do seu contexto de WebVPN
aaa authentication list webssl
functions svc-enabled
svc address-pool "SSLPool" netmask 255.255.255.0
svc split include acl 1
svc dns-server primary 8.8.8.8
virtual-template 1
default-group-policy SSLPolicy

 

Estas informações estão disponiveis no seguinte link abaixo:

 

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200533-AnyConnect-Configure-Basic-SSLVPN-for-I.html#anc0

 

Algumas outras considerações:

 

A versão de Anyconnect utilizada está fora de suporte atualmente. Mas para o ambiente de testes, entendo que não terá problemas. 

 

E também tomei a liberdade de fazer um NMAP em sua implementação e pude perceber que seu ambiente esta passível do ataque SWEET32 conforme evidência a seguir:

 

PORT STATE SERVICE VERSION
443/tcp open ssl/https?
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| CBC-mode cipher in SSLv3 (CVE-2014-3566)
| Ciphersuite uses MD5 for message integrity
| Weak certificate signature: SHA1
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Ciphersuite uses MD5 for message integrity
| Weak certificate signature: SHA1
|_ least strength: C

 

Recomendo desabilitar o suporte a 3DES e RC4 para evitar a vulnerabilidade. Mas podemos seguir um problema por vez.

 

Fico no aguardo da sua resposta.

 

Atenciosamente,


Fabiano de Freitas

Customer Support Enginner at Cisco

Cara to me sentindo burro kkkkk ja vi e revi  toda a config... parece que o certificado criado pelo router nao eh seguro o suficiente para o PC mas para o celular funciona normal 

 

 

Será que está relacionado a versao de IOS ou memoria do Router ???

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M3, RELEASE SOFTWARE (fc1)

anyconnect-win-3.1.14018-k9.pkg
Cisco CISCO1905/K9 (revision 1.0) with 229376K/32768K bytes of memory.
Processor board ID FTX160981M9
2 Gigabit Ethernet interfaces
1 terminal line
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
255K bytes of non-volatile configuration memory.
250864K bytes of USB Flash usbflash0 (Read/Write)

Olá Victor,

 

Fui consultar o status de alguns dos threads de usuários da Comunidade, particularmente os que tive alguma participação com algum tipo de contribuição/resposta, e, ao verificar o seu caso aqui, notei que, aparentemente, o problema ainda persiste ou não foi solucionado.

 

Vamos lá... conforme eu havia desconfiado, com base na resposta que eu tinha fornecido lá no início, há uma suspeita de problemas com a parte do certificado implementado neste roteador. Isto pode apresentar no problema relatado. Na verdade, uma relação entre o OS e, principalmente, o browser/navegador.

 

Por exemplo, eu uso um Macbook Pro aqui, e o meu navegador primário é o Google Chrome. Ao tentar acessar a sua página de login para o WebVPN, eis o que recebo (pelo Chrome):

 

2018-02-23_02-03-16.png

 

 

Ao tentar prosseguir adiante.... :

 

2018-02-23_01-53-23.png

 

Ou seja, múltiplos redirecionamentos e falhando na tentativa de carregar a página. Agora, ao tentar fazer o mesmo procedimento usando o Safari, outro navegador e no mesmo computador, eu recebo uma mensagem de erro na questão de confiança do certificado apresentado pelo seu roteador, mas consigo proceder adiante e "confiar"temporariamente no seu certificado. O resultado? Funciona, e eu estou observando neste exato momento a sua tela de login:

 

2018-02-23_01-53-10.png

Creio que a maneira mais fácil de resolver esta inconsistência envolvendo navegadores e computadores seria admitir um ponto de confiança ("trusted" mesmo) sobre a CA que emitiu o certificado para o seu roteador (mesmo que tenha sido um "self signed"). Desta forma, usuários que tentarem se conectar à página de login não terão problemas, pois haverá um vínculo de confiança sobre a entidade certificadora que gerou o certificado para o seu roteador e o navegador do usuário.

 

Outra possibilidade (que tal fazer o teste com o Internet Explorer, caso os clientes sejam Windows?):

 

Em "Tools -> Internet Options -> Security -> Trusted Sites" você reduziria para "Low" e adicionaria a referida URL para "trusted". Em adição, desabilitaria o "Require server verification for all sites on this zone". Para outros navegadores, seria um diagnóstico e resolução caso-a-caso (daí a sugestão dada inicialmente nesta resposta aqui).

 

Espero ter ajudado! Marque aqui caso afirmativo!

 

Obrigado

 

Leonardo Furtado

tcortesb
Cisco Employee
Cisco Employee

Olá @victor_donascimento1 tudo bem?

 

Se você gostou das respostas e se foram úteis para você, por favor, não deixe de avaliá-las por meio da estrelinha que está abaixo da resposta.

 

kudo.jpg

Também você pode aceitar a resposta como solução, para isso você terá que :

 

aceitar como solucao.jpg

A sua opinião é muito importante para que os especialistas continuem ajudando na comunidade.

 

Muito obrigada.