Sécurité & Collaboration : Télétravail, collaboration et intégration RaVPN

Q1: Bonjour, pour utiliser le serveur DHCP de l'entreprise, peut-on utiliser autre chose que le Proxy-DHCP de l'ASA. En effet la redondance de nos serveurs DHCP ne semble pas être gérée dans ce mode Proxy.

Alain: Serait-il possible d’en savoir un peu plus sur l’architecture (un schéma avec les 2 serveurs DHCP en cachant les adresses IP sensibles).

Q2: Quel est l'avantage d'utiliser DTLS 1.2 avec ASA os 9.10  pour la voice par rapport à DTLS par défaut?

Alain: DTLS 1.2 supporte des méthodes de chiffrements supplémentaires par rapport à TLS/DTLS et des cookies de taille supérieur. (voir Release Notes for the Cisco ASA Series, 9.10(x) et

CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.14 Chapter: General VPN Parameters « Configure Advanced SSL Settings » il y a un tableau avec TLS1.2/DTLS1.2)

Q3 : Bonjour, Actuellement, je travaille sur un projet de Cisco AnyConnect. Est-ce que je peux avoir une copie de présentation? Merci.

Alain: Voici le document cliquez ici: lien

Q4 : Hum interdit le NAT sur l'ASA, n'est plus possible avec le 90% des utilisateurs à distance. Existe-t-il une solution adapté à l'utilisation distante de Jabber ?

Alain: Je pense que vous parlez du slide 72 ? « IOS CME 14 – Configuration ASA (Suite) »/« Interdit le NAT par le VPN ». Il s’agit de la connexion de l’IP Phone Cisco par le vpn.

Cela dit normalement, le tunnel vpn donne une adresse IP aux clients, donc le NAT qui se situe sur le routeur (du client distant) n’est pas activé. Puisque les paquets passent par le tunnel VPN.

Les autres paquets qui vont vers Internet (cas du split-tunnel) sont toujours NATtés mais ne passent pas par l’ASA.

Q5: Quel est la best practice pour le MTU alors

Alain: Il faut déterminer le MTU du vpn en calculant la taille des entêtes qui sont ajoutés au paquet IP. Puis vérifier en faisant un ping l=X (en faisant varier X) df=1 (bit don’t fragment à 1).

Vous pouvez mettre le MTU inférieur de quelques octets à cette valeur.

Surveillez vos log. de temps à autre pour voir si une alarme n’a pas été remontée du style « "fragmentation needed and DF set » ou quelque chose dans le style.

Voici un document en Anglais sur cette problématique « Resolve IPv4 Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPsec » :voir ici generic routing encapsulation gre

et

rfc1191

Q6: AnyConnect est supporté par Cisco Meraki ?

Alain: Oui, vous avez plusieurs options de VPN : IPSec IKEv2, IKev1, Anyconnect SSL, L2TP

Q7: Le MTU par défaut est de 9578 dans les switch Meraki, faudrait changer pour 1522 si le port est trunk?

Sur un lien réseau de couche 2 OSI, Il est bon que tous les ports aient la même MTU. Cela dit, je ne vous recommanderais pas de faire ce genre de changement sans regarder l’implication sur votre infrastructure. Il est assez rare qu’au niveau Ethernet on ai besoin de retoucher les MTU.

Q8: Comment faire pour vérifier la présence d'un pare-feu d'un PC se connectant par AnyConnect ?

Alain:Il est effectivement possible de réaliser un check du PC. j’ai évoqué son existence sans plus par faute de temps. Cisco Endpoint Security Analytics (CESA)

« Cisco Endpoint Security Analytics Built on Splunk (CESA) At a Glance »

endpoint-security-analytics-built-on-splunk at-a-glance

C’est un outil complexe qui permet de faire beaucoup d’autres choses.

J’espère que cela répond à votre question ?

Q9 : Bjr, Jabber va uniquement avec le CUCM ou le CME aussi? si oui qu'elle version peut supporter?­

Cela dépend des version de CME et de Jabber, je vous donne des éléments de réponse ici.

Je vous donne un lien vers le document « Cisco Jabber for Windows on CallManager Express Configuration Example » comme exemple de configuration.

118715-technote-jabber-00

et aussi

« Cisco Unified Communications Manager Express System Administrator Guide » et « Support for Cisco Jabber » : cucme admin configuration manual

Pour ce qui concerne les versions voir « Unified CME 10.5 Supported Firmware, Platforms, Memory, and Voice Products » :

Cisco Jabber for Windows (Full UC Mode) Jabber - 9.1.0/ WIN-7 64 bit and WIN-XP SP3, 32 bit Note: Jabber 9.X is the latest supported version on Unified CME

cucme requirements guide

Q10 : ­AnyConnect est supporté par Cisco Meraki ? [en réponse à Q6]

Oui, voici la documentation : « AnyConnect on the MX Appliance »

AnyConnect_on_the_MX_Appliance

Q11: AnyConnect fonctionne très bien sur le RV-345 (Small Business­)

Oui, vous avez plusieurs options de VPN : IPSec IKEv2, IKev1, Anyconnect SSL, L2TP