Подключаюсь с помощью Cisco AnyConnect к удалённому серверу и получаю ошибку:
VPN Establishment capability from a Remote Desktop is disabled.
A VPN Connection will not be established.
Это означает, что подключение к VPN не разрешено из RDP сессии. С точки зрения информационной безопасности в этом есть смысл, мало ли кто там ещё по RDP рядом сидит, а вот с точки зрения удобства — смысла нет.
Настройки подключения по RDP находятся в XML профиле подключения, найти его можно по адресу:
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
Там находим XML файл с названием нашего профиля подключения.
Нас интересует параметр WindowsVPNEstablishment (или LinuxVPNEstablishment, в зависимости от операционной системы). Параметр по умолчанию:
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
Можно войти по физическому подключению, зайти в VPN, сменить параметр на:
<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
Тогда, чисто теоретически, RDP пользователи смогут пользоваться VPN соединением, при подключении AnyConnect берёт профиль пользователя с Cisco ASA и перезаписывает файл. Но у меня нет физического доступа, только RDP подключение, проверить не могу. В любом случае, если у нас LocalUsersOnly, то проблема именно в этом.
Я пробовал запрещать обновление профиля, AnyConnect видит разницу в настройках и отказывается подключаться. Я пробовал запрещать изменять файл, тогда AnyConnect создаёт новый временный файл профиля. Я пробовал запретить доступ к папке с профилями, AnyConnect отказывается работать. Так, фиксим.
Если я сетевой админ
Допустим, я сетевой администратор, и мне скидывают задачу: сделать так, чтобы юзер смог из RDP сессии подключиться к VPN. В этом случае нужно создать пользователю профиль и явно разрешить в нём RDP подключение.
- Запускаем Cisco ASDM
- Configuration
- Network (Client) Access
- AnyConnect Client Profile
- Редактируем существующий или добавляем новый профиль пользователя
- Указываем имя профиля
- Указываем Group Policy, OK.
- Перед редактированием профиля нажимаем Apply для генерации XML файла
- В разделе Preferences (Part 1) идём к Windows VPN Establishment и ставим AllowRemoteUsers, OK
- Apply
Говорим пользователю, чтобы тот попытался подключиться. Если подключение прошло успешно, то сохраняем конфигурацию.
Если я юзер
Допустим, я юзер, которому очень нужно подключиться к VPN из RDP сессии.
Устанавливаем виртуальную машину, накатываем Windows. Заходим на машину через консоль, а не через RDP. Ставим Cisco AnyConnect, подкючаемся к VPN.
Если я ленивый юзер
Допустим, я ленивый юзер, которому очень нужно подключиться к VPN из RDP сессии. И лень поднимать виртуальную машину. А админ — козёл, не разрешает RDP подключения. И безопасник тоже козёл, по той же причине. Все козлы, один я Д'Артаньян.
Сносим Cisco AnyConnect и ставим OpenConnect.
https://github.com/openconnect/openconnect-gui/releases
