Konfiguration eines Secure Client (AnyConnect) Remote Access VPN über FTD

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:16. Juni 2026
Dokument-ID:212424

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration für Secure Client (AnyConnect) Remote Access VPN auf Secure Firewall Threat Defense beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Grundlegendes VPN-, TLS- und IKEv2-Wissen
  • AAA (Basic Authentication, Authorization, and Accounting) und RADIUS-Kenntnisse
  • Erfahrung mit Secure Firewall Management Center

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Secure Firewall Threat Defense (SFTD) 7.2.5
  • Secure Firewall Management Center (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Dieses Dokument enthält ein Konfigurationsbeispiel für die Secure Firewall Threat Defense (FTD) Version 7.2.5 und höher, mit der das Remote-Access-VPN Transport Layer Security (TLS) und Internet Key Exchange Version 2 (IKEv2) verwenden kann. Als Client kann Secure Client (AnyConnect) verwendet werden, der auf mehreren Plattformen unterstützt wird.

Konfiguration

1. Voraussetzungen

So wechseln Sie durch den Remote Access-Assistenten im Secure Firewall Management Center:

  • Erstellen Sie ein Zertifikat, das für die Serverauthentifizierung verwendet wird.
  • Konfigurieren Sie den RADIUS- oder LDAP-Server für die Benutzerauthentifizierung.
  • Erstellen Sie einen Adresspool für VPN-Benutzer.
  • Laden Sie AnyConnect-Images für verschiedene Plattformen hoch.

a) SSL-Zertifikat importieren

Zertifikate sind für die Konfiguration eines sicheren Clients erforderlich. Das Zertifikat muss über eine Erweiterung für den alternativen Antragstellernamen mit dem DNS-Namen und/oder der IP-Adresse verfügen, um Fehler in Webbrowsern zu vermeiden.

Anmerkung: Nur registrierte Cisco Benutzer haben Zugriff auf interne Tools und Fehlerinformationen.

Die manuelle Zertifikatregistrierung unterliegt folgenden Einschränkungen:

  • Auf SFTD benötigen Sie das CA-Zertifikat, bevor Sie den CSR generieren.
  • Wenn der CSR extern generiert wird, schlägt die manuelle Methode fehl, daher muss eine andere Methode verwendet werden (PKCS12).

Es gibt verschiedene Methoden, um ein Zertifikat auf der SFTD-Appliance zu erhalten. Die sichere und einfache Methode besteht jedoch darin, eine Zertifikatsanforderung (Certificate Signing Request, CSR) zu erstellen, sie mit einer Zertifizierungsstelle (Certificate Authority, CA) zu signieren und dann ein Zertifikat zu importieren, das für einen öffentlichen Schlüssel ausgestellt wurde, der sich im CSR befand.

Abzuschließende Schritte:

  • Navigieren Sie zu Objekte > Objektverwaltung > PKI > Zertifikatregistrierung, und klicken Sie auf Zertifikatregistrierung hinzufügen.
  • Wählen Sie Anmeldungstyp aus, und fügen Sie ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) ein (das Zertifikat, das zum Signieren des CSR verwendet wird).

CA Certificate Import

  • Wechseln Sie dann zur zweiten Registerkarte, und wählen Sie Benutzerdefinierter FQDN aus, und füllen Sie alle erforderlichen Felder aus, z. B.:

Certificate Parameters

  • Wählen Sie auf der dritten Registerkarte Key Type (Schlüsseltyp) und anschließend Name und Größe aus. Für RSA sind mindestens 2048 Bit erforderlich.
  • Klicken Sie auf Speichern, und navigieren Sie zu Geräte > Zertifikate > Hinzufügen.
  • Wählen Sie dann Device (Gerät) aus, und wählen Sie unter Certificate Enrollment (Zertifikatregistrierung) den soeben erstellten Vertrauenspunkt aus, und klicken Sie auf Add (Hinzufügen):

Add New Certificate

  • Klicken Sie später neben dem Namen des Vertrauenspunkts auf ID Icon und dann Ja. Kopieren Sie anschließend CSR auf CA, und signieren Sie. Das Zertifikat muss über dieselben Attribute wie ein normaler HTTPS-Server verfügen.
  • Nachdem Sie das Zertifikat von der Zertifizierungsstelle im Base64-Format erhalten haben, wählen Sie Identitätszertifikat durchsuchen, wählen Sie es auf dem Datenträger aus, und klicken Sie auf Importieren. Wenn dies erfolgreich ist, sehen Sie Folgendes:

Certificate List


b) Konfigurieren des RADIUS-Servers

  • Navigieren Sie zu Objekte > Objektverwaltung > RADIUS-Servergruppe > RADIUS-Servergruppe hinzufügen > +.
  • Geben Sie den Namen ein, fügen Sie die IP-Adresse zusammen mit dem gemeinsamen geheimen Schlüssel hinzu, und klicken Sie auf Speichern:

RADIUS Server Properties

  • Anschließend können Sie den Server in der Liste sehen:

RADIUS Server List

c) Erstellen eines Adresspools für VPN-Benutzer

  • Navigieren Sie zu Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools (Objekte > Objektverwaltung > Adresspools hinzufügen).
  • Geben Sie den Namen und den Bereich ein. Die Maske wird nicht benötigt: 

Address Pool Properties

d) XML-Profil erstellen

  • Laden Sie den Profil-Editor von der Cisco Website herunter, und öffnen Sie ihn.
  • Navigieren Sie zu Serverliste > Hinzufügen... 
  • Geben Sie den Anzeigenamen und den FQDN ein. Sie können die Einträge in der Serverliste sehen:

Profile Editor Server List

  • Klicken Sie auf OK und Datei > Speichern unter...  

e) AnyConnect-Images hochladen

  • Laden Sie Paketbilder von der Cisco Website herunter.
  • Navigieren Sie zu Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File (Objekte > Objektverwaltung > VPN > AnyConnect-Datei > AnyConnect-Datei hinzufügen).
  • Geben Sie den Namen ein, und wählen Sie die PKG-Datei von der Festplatte aus. Klicken Sie auf Speichern:

Secure Client Image Import Form

  • Fügen Sie weitere Pakete entsprechend Ihrer Anforderungen hinzu.

2. Assistent für den Remotezugriff

  • Navigieren Sie zu Devices > VPN > Remote Access > Add a new configuration.
  • Nennen Sie das Profil, und wählen Sie FTD-Gerät aus:

Remote Access Wizard Step 1

  • Geben Sie im Schritt Verbindungsprofil den Namen des Verbindungsprofils ein, und wählen Sie den Authentifizierungsserver und die Adresspools aus, die Sie zuvor erstellt haben:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • Klicken Sie auf Gruppenrichtlinie bearbeiten, wählen Sie auf der Registerkarte AnyConnect die Option Clientprofil aus, und klicken Sie dann auf Speichern:

Profile Selection in Group Policy Properties

  • Wählen Sie auf der nächsten Seite AnyConnect Images aus, und klicken Sie auf Weiter.

Secure Endpoint Image

  • Wählen Sie auf dem nächsten Bildschirm Netzwerkschnittstelle und Gerätezertifikate aus:

Network Interface Selection

  • Wenn alles richtig konfiguriert ist, können Sie auf Fertig stellen und dann auf Bereitstellen klicken:

The Last Step in Remote Access Wizard

  • Dadurch wird die gesamte Konfiguration zusammen mit Zertifikaten und AnyConnect-Paketen in die FTD-Appliance kopiert.

Verbindung

Um eine Verbindung mit FTD herzustellen, müssen Sie einen Browser öffnen und den DNS-Namen oder die IP-Adresse eingeben, die auf die externe Schnittstelle verweist. Melden Sie sich dann mit den Anmeldeinformationen an, die auf dem RADIUS-Server gespeichert sind, und führen Sie die Schritte auf dem Bildschirm aus. Nach der Installation von AnyConnect müssen Sie dieselbe Adresse in das AnyConnect-Fenster eingeben und auf Verbinden klicken.

Einschränkungen

Derzeit nicht unterstützt auf FTD, aber verfügbar auf ASA:

  • FTDesture VPN unterstützt keine Gruppenrichtlinienänderungen durch dynamische Autorisierung oder RADIUS-Autorisierungsänderung (CoA).

  • AnyConnect-Anpassung (Erweiterung: Cisco Bug-ID CSCvq87631)
  • AnyConnect-Skripts (Erweiterung: Cisco Bug-ID CSCvt58044)
  • AnyConnect-Lokalisierung
  • WSA-Integration
  • Gleichzeitige dynamische IKEv2-Kryptografiezuordnung für RA und L2L VPN (Erweiterung: Cisco Bug-ID CSCvr52047)
  • TACACS, Kerberos - KCD-Authentifizierung und RSA SDI (Erweiterung: Cisco Bug-ID CSCvx55859)
  • Browser-Proxy

Sicherheitsüberlegungen

Standardmäßig ist die Option sysopt connection permit-vpnoption deaktiviert. Das bedeutet, dass Sie den Datenverkehr, der aus dem Adresspool einer externen Schnittstelle stammt, über die Zugriffskontrollrichtlinie zulassen müssen. Obwohl die Vorfilter- oder Zugriffskontrollregel hinzugefügt wird, um nur VPN-Datenverkehr zuzulassen, wird dieser irrtümlicherweise zugelassen, wenn der Klartextdatenverkehr den Regelkriterien entspricht.

Für dieses Problem gibt es zwei Ansätze. Die empfohlene Option für TACs besteht zum einen darin, Anti-Spoofing (auf ASA wurde es als Unicast Reverse Path Forwarding - uRPF bezeichnet) für die externe Schnittstelle zu aktivieren, und zum anderen darin, dass sysopt connection permit-vpn die Snort-Inspektion vollständig umgeht. Die erste Option ermöglicht eine normale Überprüfung des Datenverkehrs von und zu VPN-Benutzern.

a) uRPF aktivieren

  • Erstellen Sie eine Nullroute für das Netzwerk, das für RAS-Benutzer verwendet wird, wie in Abschnitt C definiert. Navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit (Bearbeiten) > Routing (Routing) > Static Route (Statische Route), und wählen Sie Add Route (Route hinzufügen) aus.

New Static Route Properties

  • Aktivieren Sie anschließend uRPF an der Schnittstelle, an der die VPN-Verbindungen enden. Navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit (Bearbeiten) > Interfaces (Schnittstellen) > Edit (Bearbeiten) > Advanced (Erweitert) > Security Configuration (Sicherheitskonfiguration) > Enable Anti-Spoofing (Anti-Spoofing aktivieren), um nach diesem Verhalten zu suchen. 

Edit Physical Interface

Wenn ein Benutzer verbunden ist, wird die 32-Bit-Route für diesen Benutzer in der Routing-Tabelle installiert. Clear Text-Datenverkehr, der von den anderen, nicht verwendeten IP-Adressen aus dem Pool stammt und vom RFP verworfen wird. Eine Beschreibung von Anti-Spoofing finden Sie unter Sicherheitskonfigurationsparameter für Firewall-Bedrohungsschutz festlegen.

b) Aktivieren Sie die Option sysopt-connection permit-vpn.

  • Es gibt eine Option, die Sie mit dem Assistenten oder unter Geräte > VPN > Remote-Zugriff > VPN-Profil > Zugriffsschnittstellen abschließen können.

Bypass Access Control Policy Option Selected

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
7.0
16-Jun-2026
Aktualisierte Rechtschreibung, Abstand, einige Grammatik und leichte Änderung in Einführung.
6.0
05-Dec-2024
Aktualisierter Alternativtext, Verknüpfungsziele, Grammatik und Formatierung.
5.0
25-Nov-2024
Geänderte Namenskonvention und Änderungen an der Benutzeroberfläche
4.0
05-Dec-2023
Rezertifizierung
3.0
16-Dec-2022
Umschreiben. Formatierung aktualisieren. Rezertifizierung.
2.0
08-Nov-2022
Aktualisierte Formatierung und korrigierte RechtschreibungRezertifizierung
1.0
07-Nov-2017
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Radoslaw Olszowy
    Technical Consulting Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren