ASA 5510 - Simultane VPN verbindingen limiteren

De afgelopen tijd ben ik bezig geweest met het inrichten van Cisco ASA's.
We gebruiken ze voor een Site-to-Site VPN en om via de Cisco AnyConnect client VPN-verbindingen te accepteren naar het netwerk.

We hebben voor de ASA5510 extra licenties aangeschaft zodat we 250 simultane SSL-VPN verbindingen aan kunnen (AnyConnect Essentials). Dit werkt ook gewoon prima.

Op de ASA5510 heb ik diverse Group Policies aangemaakt voor de diverse afdelingen. Nu wil ik echter het aantal VPN-verbindingen per afdeling limiteren (lees: doorbelasting wordt gedaan op basis van het aantal gebruikers dat de afdeling simultaan wil laten inloggen). Ik weet dat er een optie is om het aantal sessies van een user aan te passen / te limiteren (standaard: 3); maar om het totaal aantal sessies per Group-Policy aan te passen lijkt onmogelijk (?).

Zijn er hier mensen die dergelijke ervaring hebben met de ASA5500-series?

We maken per afdeling sowieso aparte DHCP Pools (in aparte ranges) aan.

Limiteren van het aantal IPs in de pool kan (had er ook al wel over zitten te denken omdat je het her en der ook leest als advies); maar echt mooi vindt ik het helaas niet. Ik weet zo zonder te testen ook even niet of het aanmelden dan wel/niet fout zou gaan. Het zou natuurlijk jammer zijn als men wel gewoon een AnyConnect verbinding zou kunnen opbouwen, maar dan tot de conclusie komt dat het "niet werkt".

Liever zou ik iets zien waar de AnyConnect client aangeeft dat de session-limit is bereikt o.i.d.

Dank je voor suggestie sowieso.

Bl@ckbird schreef op maandag 04 juni 2012 @ 20:49:
Per user kan het wel met "vpn-simultaneous-logins"
http://www.cisco.com/en/U...vpn_groups.html#wp1134794

Hoewel de naam het vermoeden geeft dat het om een "Per-Group-Policy" gaat; is het helaas inderdaad "Per-User".

Heel vervelend, de Cisco website zegt:
"The default value is 3. The range is an integer in the range 0 through 2147483647. A group policy can inherit this value from another group policy. Enter 0 to disable login and prevent user access. The following example shows how to allow a maximum of 4 simultaneous logins for the group policy named FirstGroup: "

De omschrijving van de help van ASA is ook iets duidelijker hierin:
"Simultaneous Logins—Specifies the maximum number of simultaneous logins allowed for this user. The default value is 3. The minimum value is 0, which disables login and prevents user access"

Je kan je voorstellen dat alle gebruikers wel een eigen username/password hebben (security oogpunt), waardoor de Per-User optie helaas niet op gaat.

[ Voor 27% gewijzigd door Zoetjuh op 04-06-2012 23:51 . Reden: Aanvulling ]

TAC Case vindt ik inderdaad wel een goed plan.

Ben zelf altijd van het 'zelf willen kunnen oplossen', maar dit lijkt me nu inderdaad handiger. Ik zoek namelijk het liefst toch een "in-box" oplossing.