Adakalanya kita ingin mengganti AAA server yang terkonfigurasi di Cisco ASA, entah karena upgrade perangkat atau instalasi baru. Khusus pada konfigurasi AAA server VPN di ASA, ada beberapa poin yang harus diubah, tujuannya agar setiap user yang terhubung ke VPN akan diautentikasi ke server baru terlebih dahulu sebelum bisa masuk ke jaringan.
Topologi
Disini kita hanya menggunakan FW1 yang terhubung ke Cisco ISE dengan hostname PACKETNOTES. Basic flow-nya adalah, user dari internet akan terhubung ke FW1 sebagai VPN Gateway dan FW1 akan mencocokkan credential yang diinput oleh user ke database yang ada di AAA Server, dalam hal ini Cisco ISE. Jika credential cocok, maka user akan dibolehkan mengakses network internal sesuai policy yang telah diatur.
Pada dasarnya bagian yang diganti di Cisco ASA adalah:
1. Radius setting
2. Tunnel-group
Setting AAA Server pada ASA Firewall:
RADIUS Setting
Setting ini mengidentifikasi ip address dari AAA Server VPN dan protocol yang digunakan, dalam hal ini adalah radius.
aaa-server PACKETNOTES protocol radius aaa-server PACKETNOTES (inside) host 10.159.149.132 key ***** user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL
Group Policies Setting
group-policy USERVPN internal group-policy USERVPN attributes wins-server value 10.130.0.5 10.130.0.6 dns-server value 10.159.148.236 10.155.87.23 vpn-tunnel-protocol ikev1 split-tunnel-network-list value VPN-USER_splitTunnelAcl default-domain value packetnotesnet.packetnotes.intranet group-policy VPN-USER internal group-policy VPN-USER attributes wins-server value 10.159.35.101 10.130.0.6 dns-server value 10.159.148.236 vpn-tunnel-protocol ikev1 ikev2 split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN-USER_splitTunnelAcl default-domain value packetnotesnet.packetnotes.intranet
VPN Remote-Access Tunnel-Group Setting
tunnel-group VPN-USER type remote-access tunnel-group VPN-USER general-attributes address-pool VPN-USER authentication-server-group PACKETNOTES LOCAL default-group-policy VPN-USER tunnel-group VPN-USER ipsec-attributes ikev1 pre-shared-key ***** tunnel-group USERVPN type remote-access tunnel-group USERVPN general-attributes address-pool VPN-USER authentication-server-group PACKETNOTES LOCAL default-group-policy USERVPN
Setting ini berlaku di ASA versi 8.3 ke atas dan bisa digunakan untuk AnyConnect dan EasyVPN (VPN Client). Untuk referensi lebih lanjut bisa dicek disini.