Перейти к основному содержанию

Cisco AnyConnect — VPN Establishment capability from a Remote Desktop is disabled

Virtual Private Network — VPN

Подключаюсь с помощью Cisco AnyConnect к удалённому серверу и получаю ошибку:

VPN Establishment capability from a Remote Desktop is disabled.
A VPN Connection will not be established.

vpn

Это означает, что подключение к VPN не разрешено из RDP сессии. С точки зрения информационной безопасности в этом есть смысл, мало ли кто там ещё по RDP рядом сидит, а вот с точки зрения удобства — смысла нет.

Настройки подключения по RDP находятся в XML профиле подключения, найти его можно по адресу:

C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

Там находим XML файл с названием нашего профиля подключения.

vpn

Нас интересует параметр WindowsVPNEstablishment (или LinuxVPNEstablishment, в зависимости от операционной системы). Параметр по умолчанию:

<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>

Можно войти по физическому подключению, зайти в VPN, сменить параметр на:

<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>

Тогда, чисто теоретически, RDP пользователи смогут пользоваться VPN соединением, при подключении AnyConnect берёт профиль пользователя с Cisco ASA и перезаписывает файл. Но у меня нет физического доступа, только RDP подключение, проверить не могу. В любом случае, если у нас LocalUsersOnly, то проблема именно в этом.

Я пробовал запрещать обновление профиля, AnyConnect видит разницу в настройках и отказывается подключаться. Я пробовал запрещать изменять файл, тогда AnyConnect создаёт новый временный файл профиля. Я пробовал запретить доступ к папке с профилями, AnyConnect отказывается работать. Так, фиксим.

Если я сетевой админ

Допустим, я сетевой администратор, и мне скидывают задачу: сделать так, чтобы юзер смог из RDP сессии подключиться к VPN. В этом случае нужно создать пользователю профиль и явно разрешить в нём RDP подключение.

  1. Запускаем Cisco ASDM
  2. Configuration
  3. Network (Client) Access
  4. AnyConnect Client Profile
  5. Редактируем существующий или добавляем новый профиль пользователя
  6. Указываем имя профиля
  7. Указываем Group Policy, OK.
  8. Перед редактированием профиля нажимаем Apply для генерации XML файла
  9. В разделе Preferences (Part 1) идём к Windows VPN Establishment и ставим AllowRemoteUsers, OK
  10. Apply

Говорим пользователю, чтобы тот попытался подключиться. Если подключение прошло успешно, то сохраняем конфигурацию.

Если я юзер

Допустим, я юзер, которому очень нужно подключиться к VPN из RDP сессии.

Устанавливаем виртуальную машину, накатываем Windows. Заходим на машину через консоль, а не через RDP. Ставим Cisco AnyConnect, подкючаемся к VPN.

Если я ленивый юзер

Допустим, я ленивый юзер, которому очень нужно подключиться к VPN из RDP сессии. И лень поднимать виртуальную машину. А админ — козёл, не разрешает RDP подключения. И безопасник тоже козёл, по той же причине. Все козлы, один я Д'Артаньян.

Сносим Cisco AnyConnect и ставим OpenConnect.

https://github.com/openconnect/openconnect-gui/releases

vpn

Теги

Цены

 

Похожие материалы