Die neue Cisco AnyConnect Lizenzierung

Ein großer Vorteil der Cisco Remote-Access VPN-Lösung war bisher, dass die Lizenzierung recht einfach war und nicht pro  PC bezahhlt werden musste, auf dem der AnyConnect Client installiert war. Natürlich gab es auch Ärgernisse, z.B. dass AnyConnect Essentials und AnyConnect Premium nicht gemischt werden konnte.

Mit den aktuellen Änderungen für den neuen AnyConnect 4 wird zwar letzteres möglich sein, allerdings wird das gesamte Lizenzmodell deutlich aufwendiger. Was sich alles ändert:
Es gibt drei neue Lizenzstufen:

  • Plus Subscription
  • Plus Perpetual
  • Apex Subscription

Subscription heißt, dass man die Lizenz mit Laufzeiten von einem, drei und fünf Jahren erwerben kann. Die Lizenzierung des Headend Termination Devices (z.B. die ASA) ist unabhängig davon.
Im AnyConnect Plus sind die folgenden Features enthalten:

  • VPN
  • per App VPN (das ist neu in v4)
  • Web Security für CWS und WSA
  • Network Access Manager

Mit Ausnahme des neuen “per App VPNs” sieht das also ziemlich nach den bisherigen Features aus.
In der neuen AnyConnect Apex Lizenz kommen die folgenden Features dazu:

  • Posture
    Das gab es zwar vorher schon, neu ist aber, dass der AnyConnect Client jetzt auch für die ISE ab der kommenden Version 1.3 benutzt werden kann. Der alte NAC Posture Agent ist nicht mehr notwendig. Das ist eine Änderung, die schon lange überfällig ist. Erstaunlich, dass mir auf der diesjährigen Cisco Networkers von einem Cisco-Mitarbeiter noch gesagt wurde, dass dies auf absehbare Zeit nicht zu erwarten sei. 
  • Next Generation Crypto / Suite B
    Für Firmen, die für anständige Crypto extra Geld verlangen fallen mir viele Worte ein. Die könnte aber alle Einfluss auf potentielle Altersbeschränkungen dieser Seite haben …
  • Clientless VPN
    Was früher per AnyConnect Premium auf dem Headend Device lizenziert wurde, ist jetzt also von der Client-Lizenz abhängig.

Mit dem neuen AnyConnect benötigt jeder Client eine Lizens:

The number of Cisco AnyConnect licenses needed is based on all the possible unique users that may use any Cisco AnyConnect service. The exact number of Plus or Apex licenses should be based on the total number of unique users that require the specific services associated with each license type.

Die kleinste Lizenz-Stufe ist jetzt für 25 Clients. Für mein Setup mit zwei Macs und auf jedem Mac drei VMs mit XP/Win7/Win8 brauche ich also schon acht Lizenzen.

Was lange überfällig war, ist dass verschiede Versionen gemischt werden können:

Cisco AnyConnect Apex and Plus licenses can be mixed in the same environment.
The number of Plus licenses can be smaller or greater than the number of Apex licenses.

Das Lizens-Management bringt uns eventuell noch ein paar „Herausforderungen“ …

When a Cisco ASA is used Cisco AnyConnect, your production activation key (PAK) for Plus or Apex must be registered to the serial number of each individual Cisco ASA via the Cisco License Management portal.

Wie das genaue Handling sein wird, vor allem wenn man Szenarien hat, bei denen ein Client auf viele verschiedene ASAs zugreift, dass muss sich noch zeigen. Ich hoffe, dass es da keine Probleme geben wird.

Die genaue Beschreibung des neuen Lizenzmodells gibt es im Cisco AnyConnect Ordering Guide.

Advertisements
Die neue Cisco AnyConnect Lizenzierung

Rückkehr des IPJ

Das Internet Protocol Journal war eines der besten Publikationen im Netzwerk-Sektor. Deshalb war ich recht enttäuscht als dieses im letzten Jahr eingestellt wurde. Um so erfreulicher, dass das IPJ mit neuen Sponsoren neu aufgelegt wurde. So habe ich meine Ausgabe am Wochenende im Briefkasten gehabt.
Noch ist auf der neuen Webseite noch nicht zu finden, wie die Print-Ausgabe aboniert werden kann. Die Online-Version kann aber — wie früher auch — online herunter geladen werden.
Die Haupt-Themen der aktuellen Ausgabe sind

  • Gigabit Wi-Fi
  • A Question of DNS Protocols
Rückkehr des IPJ

Der (fast) perfekte Home-Office-Router

Gerade habe ich testweise meinen ersten Cisco 866VAE-k9 installiert. Hier beschreibe ich ein paar Eindrücke von diesem Gerät.

Warum der 866VAE-k9
Ich wollte einen IOS-Router mit eingebautem VDSL-Modem. Eine Zeitlang hatte ich eine Fritzbox als DSL-Router und Telefonanlage laufen, aber das ist einfach zu unflexibel. Die Fritzbox bleibt zwar die Telefonanlage bis ich da etwas besseres finde, aber als Router wollte ich ein vollwertiges IOS-Gerät haben, das zumindest anständig VPNs beherrscht und auch Policy-Based Routing kann. Zusätzlich benötigte ich DNS-Views um selektiv DNS-Abfragen an den DNS-Server im Büro zu senden. Weiterhin sollte der Router keinen oder zumindest einen sehr leisen Lüfter haben.
Meine Wahl fiel dann auf den Cisco 866VAE-k9, der ein eingebautes DSL-Modem hat, ohne Lüfter daherkommt und zudem noch recht günstig ist. Meine erste Befürchtung war zwar, dass er am 50 MBit-VDSL überfordert wäre, aber dort wurde ich angenehm überrascht.

Die VDSL-Konfig
Die Konfiguration des VDSLs bei diesem Router weicht deutlich von der ADSL-Konfig ab, wie sie auf älteren Geräten durchgeführt wurde. Hier ein kleiner Auszug aus der Konfig:

controller VDSL 0
 operating mode vdsl2
!
interface Ethernet0
 description VDSL Internet Verbindung - VLAN 7 tagged
 no ip address
 no ip route-cache cef
!
interface Ethernet0.7
 encapsulation dot1Q 7
 pppoe-client dial-pool-number 1
!
interface Dialer0
 description log. WAN-Interface
 dialer pool 1

Für VDSL erwartet die Telekom die Daten getagged mit VLAN 7. Dafür wird das logische Interface Ethernet0 verwendet, das als physikalischer Port nicht vorhanden ist.

Die VPN-Konfig
Die ist nicht weiter erwähnenswert da der Router wie jeder andere IOS-Router konfiguriert wird. Allerdings werden nicht alle VPN-Arten unterstützt. IKEv1 und IKEv2 sind beide supported, Crypto-Maps und VTIs gehen natürlich auch und FlexVPN soll ebenfalls gehen. DMVPN ist anscheinend nicht supported. Mit FlexVPN ist aber ein leistungsfähiger Nachfolger verfügbar. Auch WebVPN ist nicht enthalten, aber das ist bei der angepeilten Zielgruppe wohl auch nicht notwendig.
Ich habe mein VPN wegen der dynamischen IP-Adresse mit einem Virtual Tunnel Interface (VTI) auf der Spoke-Seite und einem dynamic Virtual Tunnel Interface (dVTI) auf der Hub-Seite konfiguriert.

Routing-Möglichkeiten:
Bei dVTIs muss die Aussenstelle mit dynamischem Routing angebunden werden. Da kann es von Nachteil sein, dass der Router kein OSPF und EIGRP unterstützt (der Router benutzt ein Advanced Security Image; diese haben auch bei anderen 800er Routern sehr eingeschränkte Routing-Möglichkeiten). Diese Routing-Protokolle sind unterstützt:

inet-home(config)#router ?
  bgp  Border Gateway Protocol (BGP)
  odr  On Demand stub Routes
  rip  Routing Information Protocol (RIP)

inet-home(config)#router

Eine echte Einschränkung sind die angebotenen Protokolle natürlich auch nicht, vor allem da BGP/ODR und RIP noch besser skalieren als EIGRP oder OSPF wenn eine sehr große Anzahl von Aussenstellen vorhanden sind. Ich habe jetzt unidirectional RIP für die Verbindung ins Büro laufen was auch sehr gut funktioniert.

Geschwindigkeit am Telekom-VDSL:
Da war ich wie schon erwähnt sehr überrascht. Bei ein paar massiven Downloads steigt die CPU-Last des Routers zwar auf gute 50%, aber dabei erreiche ich Download-Raten von guten 5.2 bis 5.3 MB/s. Mit der FritzBox 7390 habe ich nie über 4.9 bis 5.0 MB/s erreicht.

Aber natürlich gibt es ein paar Nachteile:

  1. Das Flash: Wir haben 2014 und das Flash ist so klein, dass man nicht einmal ein zweites Image ablegen kann. Das ist einfach nur peinlich!
  2. inet-home#sh flash:
    57344K bytes system flash allocated
    
    Directory of flash:/
    
        2  -rwx    28385048  Jan 31 2014 13:02:11 +01:00  c860vae-advsecurityk9-mz.152-4.M5.bin
        4  -rwx         780  Apr 19 2014 23:10:08 +02:00  vlan.dat
    
    55351296 bytes total (26959872 bytes free)
  3. CPU-Power
  4. Das muss ich noch etwas weiter untersuchen. Aber das Upgrade des Routers auf das neuere IOS 15.2(4)M6a lief über das LAN mit ca, 20 KB/s. Das war die CPU-Auslastung dabei:

    CPU utilization for five seconds: 99%/1%; one minute: 99%; five minutes: 97%
     PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
     234     1367564       10866     125857 97.20% 97.27% 94.18%   4 SSH Process

    Jetzt muss aber vor dem Update wegen des knappen Flashs das alte IOS gelöscht werden. Wenn dann das Update sehr lange dauert und der Router dabei eine sehr hohe Last hat, dann wäre mir etwas mulmig wenn ich das remote durchführen müsste.

  5. Keine VRFs
  6. Ok, für so ein kleines Gerät sollte man das auch nicht erwarten, aber die Trennung von internem und public Routing wäre schon schön!

Fazit?
Der Router ist recht günstig und kommt daher natürlich mit einigen Nachteilen. Wenn diese bekannt und nicht zu störend sind, dann ist der 866VAE sicher ein guter Kauf. Wenn etwas mehr Budget zur Verfügung steht würde ich aber doch lieber zu einem 886VAer greifen.

Der (fast) perfekte Home-Office-Router

Und wieder eine MD5-Verwendung weniger!

Der Untergang von MD5 ist nicht aufzuhalten. Zwar sehe ich auch heute noch immer wieder neue VPN-Konfigs, die mit MD5 arbeiten, aber nach und nach wird auch im Cisco IOS die Verwendung von MD5 reduziert. Während früher lokale Passwörter mit MD5 gehashed wurden, wird in aktuellen IOS-Versionen dafür SHA256 verwendet, was mit dem Password-Typ “4” gekennzeichnet wird:

R1(config)#username cisco secret 1234QWerYXcv

R1(config)#do sh run | i username
username cisco secret 4 irYgUmM5jSgCvMDO0jEQ3Z65YnGxJ1JbHhX4TrRyGX2
Und wieder eine MD5-Verwendung weniger!

Cisco ASA: Public-Key-basierte SSH-Logins

Die Router bieten schon längere Zeit (ab IOS 15.0) die Möglichkeit, sich per Public-Key-Authentifizierung anzumelden. Inzwischen besteht auch auf der ASA ab Version 8.4(4.1) diese Möglichkeit:

asa(config)# username test attributes
asa(config-username)# ssh authentication publickey ?

username mode commands/options:
  WORD  Raw SSH-RSA public key
asa(config-username)# ssh authentication publickey 

Nachdem man hier seinen Public-Key eingefügt hat, kann man sich per SSH ohne Angabe eines Passwortes mit der ASA verbinden.

Cisco ASA: Public-Key-basierte SSH-Logins