[Pregunta] Soluciones VPN de cliente a sitio

Hola compañeros administradores de sistemas, ya tengo una VPN de sitio a sitio establecida entre mi sala de servidores y dos oficinas principales (las 3 están en diferentes ubicaciones de la ciudad). Mi empresa ha crecido hasta el punto de que pronto necesitaremos una VPN de cliente a sitio. Lamentablemente, en una de las oficinas el router es bastante antiguo, una Cisco 800 series, mi entorno es estrictamente Cisco/ASA/Windows 10/servidores 2016. Mi pregunta es: ¿cuál sería la solución óptima de cliente a sitio para una empresa de 70-100 personas, que crece 20-30 personas al año? Revisaré todas las sugerencias y recomendaciones, ¡gracias!

Cisco AnyConnect como el cliente IPsec está en desuso.

Podrías configurar un servidor OpenVPN, y luego configurarlo para 2FA con credenciales de cliente y un certificado en la máquina del cliente.

OpenVPN. Si no te sientes cómodo configurándolo (requiere conocimientos intermedios de Linux), venden un appliance virtual VPN preempaquetado muy barato. Es también muy fácil de configurar y poner en marcha.

edit: también soporta MFA, incluido Duo.

Cuando pasamos a Windows 10, configuramos AlwaysOnVPN, que tiene buena documentación de Microsoft. Usábamos anteriormente el cliente Cisco IPSec, pero como no funciona en Windows 10 queríamos una solución diferente que no requiriera la licencia de AnyConnect. Es bastante conveniente, ya que la conexión al túnel VPN se realiza automáticamente si el nombre de red en la NIC no coincide con tu red interna.

Estoy confundido. ¿Qué te impide usar un cliente VPN de Cisco para conectarte al ASA primario en tu entorno?

Me gusta AnyConnect, es estable y fácil para los usuarios. Funciona a través de todos los cortafuegos y puntos de acceso públicos.

Consigue algunos dispositivos de seguridad Meraki MX. Claro, tienes que tener una licencia que renuevas periódicamente, pero todos sus dispositivos trabajan muy bien juntos y puedes ver y controlar todo desde un panel web. Configuré una VPN de sitio a sitio desde nuestra oficina principal a uno de nuestros lugares remotos, no en nuestro dominio, solo usando una VPN automática de sitio a sitio de un MX-64 a un MX-65. Súper fácil y con excelente soporte de Meraki.

Depende de tu infraestructura actual. Si usas Windows 10, ve con Microsoft Always-on VPN. Always-on VPN es básicamente el reemplazo del acceso directo, pero tiene muchas ventajas sobre ello.

Si optas por una solución de VPN de hardware, entonces Cisco AnyConnect también es un producto muy sólido.

Siempre existe el cliente Shrewsoft para VPNs IPsec.

Funcionó, la última vez que lo probé. Aunque puede ser algo inestable en cuanto a DNS.

OpenVPN es ciertamente una opción.

¿Puntos finales Cisco Meraki?

¿Puedo preguntar exactamente qué quieres decir con que AnyConnect está en desuso? Cisco no ha anunciado una fecha de fin de soporte (EOS/EOL) para AnyConnect 4.x. ¿Estás diciendo que está en desuso en una plataforma en particular, o en una configuración (IPSEC) en particular?

También pensaba en ello, ya que soporta MFA. Gracias por la aportación.

Por eso hice el hilo, muchas gracias. La VHD de Hyper-V podría ser útil. ¡Gracias!

Supongo que tengo que investigar cuánto costaría frente a 50 licencias de AnyConnect. Gracias por la ayuda.

Página web clásica de 1998.

¿De verdad estás vendiendo Pi-Hole, que es de código abierto y gratuito?

/u/sam95652 decía que el cliente IPsec estaba en desuso. AnyConnect es el cliente SSL de Cisco.

Daría cierta prudencia con AnyConnect. Configurarlo en IOS puede ser un poco complicado, y con una serie 800 puede que no tengas suficiente memoria flash para soportar las imágenes 4.x.

También consideraría HA. No estoy seguro si necesitas dos licencias, pero si es crítico, ten dos en hosts separados.