Problème avec Cisco Anyconnect

Bonjour à tous !

Contexte : Nous avons déployé environ 625 terminaux pour notre effort de télétravail. Nous utilisons Windows 10 LTSB 2019 partout. Nous utilisons Cisco AnyConnect pour notre solution de client VPN (je ne l’ai pas configuré, c’est un administrateur réseau qui l’a fait, donc excusez ma terminologie). Lors du démarrage des ordinateurs, un “VPN de gestion” se connecte et permet à l’ordinateur de récupérer les paramètres du domaine. L’utilisateur doit se connecter au VPN classique (connexion avant Windows) puis le tunnel de gestion sera coupé et le VPN classique prendra le relais. Le VPN de gestion sert à déployer des mises à jour Windows, des mises à jour logicielles, et à assurer une gestion 24/7 (SCCM est utilisé pour presque tout, Antivirus TrendMicro). Je ne suis pas encore administrateur système mais je voulais avoir des conseils pour améliorer cela.

Problème : Les utilisateurs ne se connectent pas toujours correctement au VPN comme ils devraient, et de ce fait, ils peuvent se connecter à Windows mais ne peuvent pas accéder aux ressources parce que le VPN de gestion est configuré pour être plus restrictif. Il y a bien une popup en bas à droite qui leur demande de se connecter au VPN standard mais souvent ils appellent l’assistance. Même lorsqu’ils se connectent au VPN, ils rencontrent presque toujours des problèmes parce qu’ils se sont mal connectés et on leur dit de se déconnecter, de se reconnecter au VPN, puis de se reconnecter à Windows. Nous formons nos utilisateurs avant leur départ de nos bureaux ou lors de l’intégration de collaborateurs à domicile, mais cela ne semble pas suffire.

Ce que je me demande, c’est s’il existe un contrôle technique pouvant être mis en place pour résoudre ce problème. Tous conseils sont bienvenus. (:

En terminologie Microsoft, celui qui est toujours actif s’appelle le “tunnel de l’appareil”. Il est destiné à communiquer uniquement avec les éléments d’infrastructure nécessaires pour que l’utilisateur soit connecté, afin qu’un “tunnel utilisateur” puisse aussi être établi. Dans “Always On VPN” de Microsoft, le tunnel de l’appareil nécessite une licence Entreprise, basée sur l’idée que seuls les grands comptes auront besoin de connecter des hôtes distants aux serveurs MSAD.

Il existe un modèle alternatif appelé “Tunnel Appareil Uniquement” où le tunnel de l’appareil a un accès complet, et l’utilisateur n’a pas besoin de se connecter pour accéder à tout. Cela serait probablement plus populaire si cela ne nécessitait pas de licence Entreprise.

J’avais l’impression que la connexion normale de l’utilisateur devait faire l’authentification du tunnel utilisateur.

Je sors du sujet,

Pour bien comprendre, vous avez 2 connexions VPN différentes. Un gestionnaire et un standard ? Y a-t-il une raison pour avoir 2 connexions différentes ? Pourquoi ne pas avoir une seule connexion VPN qui fait tout ? Avoir deux est très déroutant…

Un email massif avec des captures d’écran

Tout à fait. Ne serait-il pas préférable d’imposer une seule connexion VPN mais avec des itinéraires d’adresse contrôlés distincts, par ex. companyaccesslink1 et companyaccesslink2.

Faire utiliser le “gestionnaire” en utilisant 2 connexions ainsi qu’un groupe AD pour définir les ressources auxquelles ils peuvent accéder une fois connectés (si vous souhaitez des lecteurs réseau ou autre, mais je recommande de forcer la connexion VPN puis un RDP vers le PC uniquement pour la traçabilité).