Descargo de responsabilidad: no trabajo para Cisco. He gestionado servicios de firewall de diferentes tipos y trabajo remoto y servicios VPN entre sitios para empresas de tecnología durante aproximadamente 16 años. Mi experiencia más reciente ha sido en dispositivos de seguridad Cisco ASA más pequeños: 5510 y 5505.
La pregunta aquí no es clara sobre si está autenticando conexiones VPN IPSec / SSL-Anyconnect, conexiones de aplicaciones webvpn sin cliente u otra cosa. Esta respuesta supone que la siguiente es la pregunta:
- La compañía tiene un Cisco ASA como firewall en una sucursal
- El ASA termina una única conexión a Internet (DSL, T1, cable, fibra, etc.) y actúa como el enrutador que contiene las direcciones IP públicas para la conexión
- La sucursal no tiene autenticación local (LDAP / Active Directory)
- La autenticación LDAP / AD se encuentra en un sitio remoto que está conectado a través de un túnel VPN a la red de la sucursal
- El propósito es el acceso remoto a los recursos en la red interna de la sucursal (VPN de trabajo remoto o acceso WebVPN a aplicaciones o sistemas en la sucursal)
Usando un ASA 5510 que ejecuta la versión 9.1.6 del software del dispositivo de seguridad como referencia, voy a decir que es posible configurar un servidor de autenticación LDAP AAA en el ASA que usa un servidor de autenticación en el sitio remoto a través de la VPN. Nuevamente, esto supone que lo que desea hacer es permitir que los trabajadores remotos se conecten a la red de la sucursal o los recursos allí a través del ASA. Estos pueden ser difíciles de configurar y hay un par de consideraciones.
- ¿Existe un servicio confiable para ingresar a internet chino mientras estoy en el extranjero? Quiero uno que permita la transmisión sin obstáculos de sitios web basados en la RPC mientras estoy lejos de Dalu.
- Cómo superar mejor el bloqueo de aplicaciones VoIP
- ¿Es el historial de internet un problema de privacidad?
- Cómo configurar una comunicación (modelo cliente-servidor) entre dos dispositivos en diferentes redes privadas
- ¿Puedo estar a salvo de la policía después de comprar una VPN para acceder a la web profunda?
- La configuración correcta de NAT y las listas de acceso para acceder desde el ASA a la autenticación del sitio remoto será crítica y creo que esta es la parte más desafiante de la configuración.
- Si bien puede hacer que personas de Internet o del sitio remoto accedan a un portal externo en el ASA para acceder a los recursos locales, las personas en el sitio de la sucursal no tendrán acceso al portal. No hay una manera de salir de la red interna y hacer un bucle de regreso para golpear la interfaz IP pública.
Última nota: Todo esto se dice usando una visión muy limitada de la conectividad para el firewall y el propósito de la pregunta. La razón principal por la que las personas compran equipos Cisco como ASA es que hay una gran cantidad de formas de configurarlos. Es muy probable que haya otras formas de resolver el propósito declarado para la pregunta.
