Cisco AnyConnect: Conexión VPN con usuario RDP

Cisco AnyConnect: Conexión VPN con usuario RDP

by | Apr 2, 2023 | Seguridad, Uncategorized, Windows

Que tal amigos de troubleshootnic!

Ya ha pasado un tiempo desde mi última publicación en la página, sin embargo estamos retomando labores en publicar y seguir trayendoles nuevo contenido sobre soporte de redes, colaboración y en general de TI.

En este post hablaremos de un caso de soporte bastante común entre usuarios del cliente Cisco Anyconnect. Recordemos que este cliente es usado por los Firewalls ASA y los NGFW Firepower de Cisco, el cliente puede ser utilizado tanto en windows, MAC OS, linux, android y Iphone; aunque en algunas ocasiones por politicas internas, las conexiones VPN no se realizan desde la computadora local sino que es necesario conectarse a un servidor remoto para establecer la sesión. 

 La siguiente imagen describe el escenario anterior:

Bajo este esquema, el servidor windows es administrado por el usuario de RDP, aunque a primera vista no parece un problema para el uso de aplicaciones instaladas en el server, el cliente anyconnect puede detectar qué tipo de usuario esta loggeado en windows para permitir o no conexiones VPN para dicho usuario. Esta característica se encuentra en su archivo profile, el cual es un archivo XML con las configuraciones locales del cliente.

El archivo se encuentra en la dirección: “C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile”

La clave “<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>” es quien controla que tipo de usuarios se pueden conectar a través del cliente.

Es usual ver el siguiente error en el cliente Anyconnect: “VPN establishment capability for a remote user is disabled. A VPN connection will not be established.” cuando se intenta realizar conexiones VPN con usuario RDP.

Para permitir usuarios remotos es necesario cambiar el valor de esta clave “LocalUsersOnly” por “AllowRemoteUsers”, se recomienda realizar estos cambios con una copia del archivo XML de preferencia con nuevo nombre.

El nuevo archivo XML modificado deberá de subirse al group policy de la VPN remota en el firewall sea ASA o Firepower, ya que de no reemplazar el archivo en el group policy este seguirá descargandose cada vez que se conecte al perfil de VPN, lo que sobre escribirá la configuracion previamente guardada. Aunque existen hacks como el del blog expta que reemplazan el archivo de profile antes del error de conexion de anyconnect.

El cambio del profile en Firepower Management Center se realiza de la siguiente manera:

1- Cargamos el archivo profile XML desde el Object Management de FMC, dirigiendonos a Objects -> Object management -> VPN -> Anyconnect Files

Anyconnect Files

2- Asignamos el profile XML al group policy deseado:

Profile to Group Policy

3- Guardamos cambios y desplegamos la configuración. En este punto la VPN remota tomará los cambios y la proxima vez que se realice una conexión VPN los clientes actualizarán su archivo profile local.

Para finalizar, es recomendable desinstalar e instalar nuevamente el cliente para eliminar cualquier archivo basura que haya quedado en windows.

Con esto concluimos el post y no olviden en comentar cualquier duda o sugerencia para nuestro blog, todo comentario constructivo es bienvenido. 🙂 Hasta la proxima!

Administración de Servicios Windows desde CMD

Administración de Servicios Windows desde CMD

by | Mar 8, 2023 | Windows

En esta sesión veremos un conjunto de comandos que nos ayudaran a administrar los servicios de windows desde el símbolo del sistema. Para estas Acciones el usuario debe tener permisos de Administrador

¿Que es el CMD?

El símbolo del sistema (en ingles ‘Command Prompt’, también conocido como cmd.exe o simplemente cmd) es el interprete de comandos de sistemas basados en  windows. Muchas funciones que se realizan desde la interfaz gráfica del sistema operativo son enviadas al símbolo del sistema, que es el encargado de ejecutarlas.

Servicios

Un servicio de Windows es un programa de ordenador que funciona en segundo plano y que son encargados de mantener el correcto funcionamiento de un software especifico

Desde la secuencia wmic service podemos verificar cada uno de ellos mas sus características, Para este caso solo validaremos name (Nombre del servicio), Startmode (manual o automático), state (Pausado o Iniciado). Estaré mostrándote datos de Spooler o cola de impresión de Windows

Secuencia wmic service get name, startmode, start

Si deseas guardar en un txt detalles de la línea de comando puedes correr esta instrucción “Consulta cmd >> +Directorio+NombreArchivo.extension

Guardando en temp detalle de servicios: wmic service get name, Startmode, state >>c:\temp\servicios.txt

En 1 defino la sentencia cmd, 2 realizo la búsqueda del archivo en el directorio, 3 resultado de busqueda (Archivo creado con la informacion de la consulta, no imprime datos en consola, solamente guarda el archivo con la informacion.

Si conoces el nombre del servicio y solo quieres validar estado la consulta es la siguiente

Sc query +NombreServicio ej. Sc query spooler

Detener o Iniciar

Net stop: Detiene servicio , net start: Inicializa un Servicio.

Configuración Manual, automática o Desactivado

Tendremos en ocasiones que configurar un servicio como manual (El usuario decide cuando iniciarlo), automatico (inicia con el SO) o deshabilitado. Desde la administración cmd podemos ejecutar esta tarea con la siguiente secuencia:

Sc config “Servicio” start=demand o auto o disabled

Primero te muestro el detalle actual ante de ejecutar la acción, búsqueda de un servicio especifico para buscar su StartMode wmic service where name=”servicio” get name, StartMode

wmic service where name=”spooler” get name, StartMode

Cambiando modo de inicio

Sc config spooler start=auto

Sc config spooler start=disabled

Sc config spooler start=demand