تكوين الوصول الداخلي إلى الموارد لمستخدمي VPN على FTD باستخدام NAT ل HairPin

مسألة

الهدف هو تمكين الوصول الكامل لمستخدمي VPN إلى موارد الشبكة الداخلية بعد مصادقة VPN الناجحة باستخدام RADIUS (مقابل خادم مرتبط بالمجال لنظام Windows) على Cisco Secure Firewall FTD.

إعداد VPN قيد التشغيل بالفعل؛ يمكنك تنزيل عميل VPN وتثبيته والمصادقة بنجاح. وتركز المشكلة على تكوين التحكم في الوصول الضروري وقواعد NAT للسماح بالوصول المطلوب إلى الموارد الداخلية عبر VPN.

البيئة

• المنتج: Cisco Secure Firewall Firepower (FTD)، الإصدار 7.6.0 (قابل للتطبيق على جميع أنظمة FTD)
• الإدارة: مركز إدارة FirePOWER (FMC) أو وحدة تحكم في الإدارة (FMC) يتم تسليمها عبر السحابة (cdFMC) أو مدير أجهزة FirePOWER (FDM)
• إصدار البرنامج: 7.6.0

قرار

تقوم هذه الخطوات بتفصيل التكوين المطلوب للسماح لمستخدمي الشبكة الخاصة الظاهرية (VPN) بالوصول إلى الموارد الداخلية (مثل RDP و Active Directory) على Cisco FTD. وهذا يتضمن إنشاء قواعد سياسة الوصول، وتكوين إعفاءات NAT و NAT لإعادة توجيه حركة مرور الشبكة الخاصة الظاهرية (VPN)، واستخدام أوامر أستكشاف الأخطاء وإصلاحها للتحقق من التكوين.

1: إضافة إدخال قائمة وصول للسماح لتجمع عناوين VPN بالوصول إلى الموارد الداخلية.

access-list CSM_FW_ACL_ سماح متقدم IP object VPN_POOL أي قاعدة-id 268438528 

access-list CSM_FW_ACL_ ملاحظة القاعدة-id 268438528: سياسة الوصول: سياسة التحكم في الوصول الافتراضية - إلزامية

access-list CSM_FW_ACL_ ملاحظة rule-id 268438528: L7 قاعدة: allow_vpn_pool

2: إضافة قاعدة قائمة وصول للسماح للموارد الداخلية بإرسال حركة مرور البيانات العائدة إلى تجمع VPN:

access-list CSM_FW_ACL_ تصريح متقدم ip أي كائن VPN_POOL

ويمكن في وقت لاحق تشديد هذه القواعد لتقييد مصادر وجهات محددة حسب الحاجة.

3: تكوين إستثناء NAT أو NAT مع تقشير حركة مرور VPN

هناك نهجان مشتركان:

• • الخيار A: إستثناء NAT لتجمع شبكات VPN إلى الشبكة الفرعية الداخلية

nat (خارج، داخل) مصدر ساكن إستاتيكي VPN_POOL VPN_POOL غاية ساكن إستاتيكي NET_192.168.95.1-24 NET_192.168.95.1-24 طريق-lookup

• • الخيار B: NAT لسماكة مؤشر الماوس لتجمع الشبكة الخاصة الظاهرية (VPN) على الواجهة نفسها (بدون وكيل-arp)

nat (أي،أي) مصدر ساكن إستاتيكي VPN_POOL VPN_POOL no-proxy-arp

• • الخيار C: بطاقة واجهة الشبكة (NAT) فائقة الأداء الديناميكية لتجمع الشبكة الخاصة الظاهرية (VPN) على الواجهة الخارجية

واجهة VPN_POOL الديناميكية (خارج، خارج) ل NAT

 يعتمد الأسلوب صحيح على ما إذا كانت الموارد الداخلية على ال نفسه قارن طبيعي (يتطلب رقاقة nat) أو قارن مختلف (nat إعفاء).

4: أستخدم الأمر packet-tracer لمحاكاة حركة مرور البيانات من تجمع VPN إلى الموارد الداخلية والتحقق من صحة ما إذا كانت حركة المرور مسموح بها بواسطة القاعدة المقصودة و NAT و route. 

إدخال Packet-tracer خارج ICMP 192.168.250.1 8 0 192.168.95.1

إدخال Packet-tracer خارج TCP 192.168.250.1 12345 192.168.95.1 80

إدخال Packet-tracer داخل ICMP 192.168.95.1 8 0 192.168.250.1

إدخال Packet-tracer داخل TCP 192.168.250.1 54321 192.168.95.1 443

—

المرحلة 5

المعرف: 5

النوع: قائمة الوصول

النتيجة: السماح

config: access-group CSM_FW_ACL_ globalACCESS-list CSM_FW_ACL_ advanced allowed ip object VPN_POOL any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528: نهج الوصول: نهج التحكم في الوصول الافتراضي - mandatoryaccess-list CSM_FW_ACL ملاحظة rule-id 268438528: قاعدة L7: Permit_VPN_POOL

معلومات إضافية: سيتم إرسال هذه الحزمة إلى الشورت للمعالجة الإضافية حيث سيتم الوصول إلى حكم في قاعدة مردود البحث القائم على التدفق الأمامي: في id=0x40009d6ae190، priority=12، domain=allow، deny=false hits=1300، user_data=0x00000000000، cs_id=0x0، use_real_addr، flags=0x0، protocol=0 src/id=240.0.0.0، القناع=255.255.255.255، المنفذ=0، العلامة=أي، ifc=أي dst ip/id=240.5.0.2، القناع=255.255.255.255، port=0، العلامة=أي، ifc=أي، dscp=0x0، input_ifc=أي، output_ifc=أي

الوقت المنقضي: 0 نانو ثانية

—

المرحلة 7

المعرف: 7

النوع: NAT

النتيجة: السماح

config: nat (خارجي، خارجي) حركي VPN_POOL قارن

معلومات إضافية: ترجمة ساكنة 192.168.250.1/12345 to 192.168.250.1/12345 Forward Flow based lookup yields rule: in id=0x40009d6ad0a0, priority=6, domain=nat, deny=false hits=274, user_data=0x000040009963a2d0, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.250.1, mask=255.255.255.255, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dscp=0x0, input_ifc=any, output_ifc=any

الوقت المنقضي: 0 نانو ثانية

ملاحظة: يمكن أن يعرض إخراج الحزمة المتتبع لمرحلة WebVPN عملية إسقاط لحركة مرور VPN على الواجهة الخارجية. هذا سلوك متوقع لحركة مرور النص العادي على الواجهة الخارجية ولا يزال يمكن إستخدامه للتحقق من NAT.

ملاحظات إضافية:

• من المحتمل أن تظهر صور الحزم في واجهة مستخدم الدفاع عن التهديد الطلبات الواردة فقط. إذا لم يتم ملاحظة عمليات إسقاط، لكن لا تصل حركة المرور إلى المورد الداخلي، فتحقق من قواعد NAT وقائمة الوصول.
• عندما لا يكون بروتوكول SSH متاحا، يمكن تنفيذ جميع عمليات أستكشاف الأخطاء وإصلاحها عبر ميزات واجهة مستخدم الدفاع عن التهديد في CDfmc، ولكن إستخدام الأوامر محدود.
• من المحتمل أن تكون هناك حاجة إلى بعض التعديلات على الأجهزة المجاورة من أجل الاتصال الشامل. تأكد من التحقق من صحتها حسب الضرورة.

السبب

كان السبب الجذري سياسة وصول غير كافية وتكوين NAT لحركة مرور تجمع VPN إلى الداخل و داخلي إلى VPN. التقصير تشكيل لا يسمح كامل ثنائي إتجاه اتصال من ال VPN بركة إلى مورد داخلي ورجع، ولا يعالج هو شنطة شرط nat لمرور مدخل ومدخل على ال نفسه قارن.

المحتوى ذي الصلة

• تكوين إستثناء NAT على FTD
• الدعم الفني والتنزيلات من Cisco