Konfigurieren von AnyConnect VPN für FTD über IKEv2 mit ISE

Einleitung

In diesem Dokument wird die grundlegende Konfiguration des Remote Access-VPN mit IKEv2- und ISE-Authentifizierung auf dem vom FMC verwalteten FTD beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Grundlegendes VPN, TLS und Internet Key Exchange Version 2 (IKEv2)
• AAA (Basic Authentication, Authorization, and Accounting) und RADIUS 
• Erfahrung mit FirePOWER Management Center (FMC)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

• Cisco Firepower Threat Defense (FTD) 7.2.0
• Cisco FMC 7.2.0
• AnyConnect 4,10,07073
• Cisco ISE 3.1

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

IKEv2 und Secure Sockets Layer (SSL) sind Protokolle, die für den Aufbau sicherer Verbindungen verwendet werden, insbesondere im Kontext von VPNs. IKEv2 bietet leistungsstarke Verschlüsselungs- und Authentifizierungsmethoden, die ein hohes Maß an Sicherheit für VPN-Verbindungen bieten.

Dieses Dokument enthält ein Konfigurationsbeispiel für FTD Version 7.2.0 und höher, das den Remotezugriff-VPN ermöglicht, um Transport Layer Security (TLS) und IKEv2 zu verwenden. Als Client kann Cisco AnyConnect verwendet werden, das auf mehreren Plattformen unterstützt wird.

Konfigurieren

1. SSL-Zertifikat importieren

Zertifikate sind unverzichtbar, wenn AnyConnect konfiguriert ist.

Die manuelle Zertifikatregistrierung unterliegt folgenden Einschränkungen:
1. Für FTD ist ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) erforderlich, bevor eine CSR (Certificate Signing Request) generiert wird.
2. Wenn der CSR extern generiert wird, wird eine andere Methode von PKCS12 verwendet.

Es gibt verschiedene Methoden, um ein Zertifikat auf einer FTD-Appliance zu erhalten, aber die sichere und einfache ist, eine CSR zu erstellen und es von einer Zertifizierungsstelle signieren zu lassen. So gehen Sie vor:

1. Navigieren Sie zuObjects > Object Management > PKI > Cert Enrollment, und klicken Sie aufAdd Cert Enrollment.
2. Geben Sie den Namen des VertrauenspunktsRAVPN-SSL-certein.

3. Wählen Sie auf der Registerkarte dieCA InformationOption Anmeldungstyp als, und fügen Sie das Zertifizierungsstellenzertifikat wie im Bild dargestellt einManual.

FMC - CA-Zertifikat

4. Geben Sie unterCertificate Parametersden Betreffnamen ein. Beispiele:

FMC - Zertifikatsparameter

5. Unter demKey Tab, wählen Sie den Schlüsseltyp, und geben Sie einen Namen und Bitgröße. Für RSA sind mindestens 2048 Bit erforderlich.

6. Klicken Sie aufSave.

FMC - Zertifikatschlüssel

7. Navigieren Sie zuDevices > Certificates > Add > New Certificate.

8. Wählen SieDevice. Wählen Sie unterCert Enrollmentden erstellten Vertrauenspunkt aus, und klicken SieAddwie im Bild dargestellt auf.

FMC - Registrierung von Zertifikaten für FTD

9. Klicken SieID, und eine Aufforderung zur CSR-Generierung wird angezeigt, wählen SieYes.

FMC - Zertifizierungsstelle angemeldet

FMC - CSR generieren

10. Es wird ein CSR generiert, der für die CA freigegeben werden kann, um das Identitätszertifikat zu erhalten.

11. Nachdem Sie das Identitätszertifikat von CA im Base64-Format erhalten haben, wählen Sie es von der Festplatte aus, indem Sie aufBrowse Identity Certificateund klicken, wie im Bild dargestelltImport.

FMC - Identitätszertifikat importieren

12. Sobald der Import erfolgreich ist, wird der VertrauenspunktRAVPN-SSL-certwie folgt betrachtet:

FMC - Trustpoint-Registrierung erfolgreich

2. Konfigurieren des RADIUS-Servers

2.1. FTD auf FMC verwalten

1. Navigieren Sie zuObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group.

2. Geben Sie den Namen ein, und fügen SieISERADIUS-Server hinzu, indem Sie auf klicken+.

FMC - Radius-Serverkonfiguration

3. Geben Sie die IP-Adresse des ISE Radius-Servers zusammen mit dem gemeinsamen geheimen Schlüssel an, der mit dem Schlüssel auf dem ISE-Server übereinstimmt.

4. Wählen Sie entwederRouting oderSpecific Interfaceaus, über die die FTD mit dem ISE-Server kommuniziert.

5. Klicken SieSave  wie im Bild dargestellt.

FMC - ISE-Server

 6. Nach dem Speichern wird der ServerRADIUS Server Group  wie im Bild dargestellt unter der hinzugefügt.

FMC = RADIUS Server Group

2.2. FTD auf der ISE verwalten

1. Navigieren Sie zu Network Devices  , und klicken Sie aufAdd.

2. Geben Sie den Namen "Cisco-Radius" des Servers undIP Addressdes Radius-Clients ein, der die FTD-Kommunikationsschnittstelle darstellt.

3. UnterRadius Authentication Settings, fügen Sie dieShared Secret.

4. Klicken Sie aufSave.

ISE - Netzwerkgeräte

5. Um Benutzer zu erstellen, navigieren Sie zuNetwork Access > Identities > Network Access Users, und klicken Sie auf Add.

6. Erstellen Sie nach Bedarf einen Benutzernamen und einAnmeldekennwort.

ISE - Benutzer

7. Um eine grundlegende Richtlinie einzurichten, navigieren Sie zuPolicy > Policy Sets > Default > Authentication Policy > Default, und wählen SieAll_User_ID_Stores.

8. Navigieren Sie zuPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access, und wählen SiePermitAccesswie im Bild dargestellt aus.

ISE - Authentifizierungsrichtlinie

ISE - Autorisierungsrichtlinie

3. Adresspool für VPN-Benutzer auf FMC erstellen

1. Navigieren Sie zuObjects > Object Management > Address Pools > Add IPv4 Pools.
2. Geben Sie den NamenRAVPN-Poolund den Adressbereich ein. Die Maske ist optional.
3. Klicken Sie auf Speichern.

FMC - Adresspool

4. AnyConnect-Bilder hochladen

1. Navigieren Sie zuObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Geben Sie den Namen einanyconnect-win-4.10.07073-webdeployund klicken SieBrowse auf, um die AnyConnect-Datei von der Festplatte wählen, klicken Sie aufSave wie im Bild gezeigt.

FMC - AnyConnect Client-Image

5. XML-Profil erstellen

5.1. Auf dem Profileditor

1. Laden Sie den Profil-Editor von heruntersoftware.cisco.com, und öffnen Sie ihn.
2. Navigieren Sie zu Server List > Add...

3. Geben Sie den AnzeigenamenRAVPN-IKEV2undFQDNzusammen mit der Benutzergruppe (Aliasname) ein.

4. Wählen Sie das primäre Protokoll, wie IPsec , klicken SieOk, wie im Bild dargestellt.

Profil-Editor - Serverliste

5. Serverliste wurde hinzugefügt. Speichern Sie es unterClientProfile.xml.

Profil-Editor - ClientProfile.xml

5.2. Auf FMC

1. Navigieren Sie zuObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Geben Sie einen Namen einClientProfile, und klicken SieBrowse auf, um die Datei von der Festplatte auszuwählenClientProfile.xml.
3. Klicken Sie auf  Save .

FMC - AnyConnect VPN-Profil

6. Konfigurieren des Remotezugriffs

1. Navigieren Sie zuDevices > VPN > Remote Accessund klicken Sie+auf, um ein Verbindungsprofil hinzuzufügen, wie im Bild gezeigt.

FMC - Remote Access Connection-Profil

2. Geben Sie den Namen des Verbindungsprofils einRAVPN-IKEV2, und erstellen Sie eine Gruppenrichtlinie, indem Sie auf  +in  Group Policywie im Bild dargestellt.

FMC - Gruppenrichtlinie

3. Geben Sie den NamenRAVPN-group-policyein, und wählen Sie die VPN-Protokolle  SSL and IPsec-IKEv2  , wie im Bild dargestellt.

FMC - VPN-Protokolle

4. Wählen Sie unterAnyConnect > ProfileClientProfiledas XML-Profil aus dem Dropdown-Menü aus, und klicken Sie auf,Savewie im Bild dargestellt.

FMC - AnyConnect-Profil

5. Fügen Sie den AdresspoolRAVPN-Poolhinzu, indem Sie auf+ as shown in the imageklicken.

FMC = Client Address Assignment

6. Navigieren Sie zuAAA > Authentication Method, und wählen SieAAA Only.

7. Wählen SieAuthentication ServeralsISE (RADIUS).

FMC - AAA-Authentifizierung

8. Navigieren Sie zu,Aliases geben Sie einen Aliasnamen einRAVPN-IKEV2, der in als Benutzergruppe verwendet wirdClientProfile.xml.

9. Klicken Sie aufSave.

FMC - Aliase

10. Navigieren Sie zuAccess Interfaces, und wählen Sie die Schnittstelle aus, auf der RAVPN IKEv2 aktiviert werden muss.

11. Wählen Sie das Identitätszertifikat für SSL und IKEv2 aus.

12. Klicken Sie aufSave.

FMC = Access Interfaces

13. Navigieren Sie zu Advanced .

14. Fügen Sie die Bilder des AnyConnect-Clients hinzu, indem Sie auf klicken+.

FMC - AnyConnect Client-Paket

15. UnterIPsec, fügen Sie dieCrypto Mapswie im Bild gezeigt.

FMC - Crypto Maps

16. UnterIPsec , fügen Sie dieIKE Policy durch Klicken+.

FMC - IKE-Richtlinie

17. Fügen Sie unterIPsec dasIPsec/IKEv2 Parametershinzu.

FMC - IPsec/IKEv2-Parameter

18. UnterConnection Profilewird neues ProfilRAVPN-IKEV2erstellt.

19.SaveKlicken Sie auf das Bild.

FMC - Verbindungsprofil RAVPN-IKEV2

20. Bereitstellen der Konfiguration.

FMC - FTD-Bereitstellung

7. AnyConnect-Profilkonfiguration

Profil auf dem PC, gespeichert unter  C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile .

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization>
	  <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
	  <AutomaticCertSelection UserControllable="true">false
      </AutomaticCertSelection>
	  <ShowPreConnectMessage>false</ShowPreConnectMessage>
	  <CertificateStore>All</CertificateStore>
	  <CertificateStoreOverride>false</CertificateStoreOverride>
	  <ProxySettings>Native</ProxySettings>
	  <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
	  <AuthenticationTimeout>12</AuthenticationTimeout>
	  <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
	  <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
	  <LocalLanAccess UserControllable="true">false</LocalLanAccess>
	  <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
	  <AutoReconnect UserControllable="false">true
		 <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend 
 		  </AutoReconnectBehavior>
	  </AutoReconnect>
	  <AutoUpdate UserControllable="false">true</AutoUpdate>
	  <RSASecurIDIntegration UserControllable="true">Automatic
      </RSASecurIDIntegration>
	  <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
	  <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
	  <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
	  <PPPExclusion UserControllable="false">Disable
		 <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
	  </PPPExclusion>
	  <EnableScripting UserControllable="false">false</EnableScripting>
	  <EnableAutomaticServerSelection UserControllable="false">false
		 <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
		 <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
	  </EnableAutomaticServerSelection>
	  <RetainVpnOnLogoff>false
	  </RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			
    
    
      RAVPN-IKEV2 
    
			
    
    
      ftd.cisco.com 
    
			
    
    
      RAVPN-IKEV2 
    
		        
    
    
      IPsec 
    
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Überprüfung

In diesem Abschnitt können Sie überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

1. Verwenden Sie für die erste Verbindung den FQDN/IP, um eine SSL-Verbindung vom PC des Benutzers über AnyConnect herzustellen.
2. Wenn das SSL-Protokoll deaktiviert ist und der vorherige Schritt nicht ausgeführt werden kann, stellen Sie sicher, dass das ClientprofilClientProfile.xmlauf dem PC unter dem PfadC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profilevorhanden ist.
3. Geben Sie den Benutzernamen und das Kennwort für die Authentifizierung ein, sobald Sie dazu aufgefordert werden.
4. Nach erfolgreicher Authentifizierung wird das Client-Profil auf den PC des Benutzers heruntergeladen.
5. Trennen Sie die Verbindung zu AnyConnect.
6. Sobald das Profil heruntergeladen wurde, können Sie den im Clientprofil erwähnten Hostnamen über das Dropdown-Menü auswählen,  RAVPN-IKEV2  um eine Verbindung mit AnyConnect über IKEv2/IPsec herzustellen.
7. Klicken Sie aufConnect.

AnyConnect-Dropdown

8. Geben Sie den Benutzernamen und das Kennwort für die Authentifizierung ein, die auf dem ISE-Server erstellt wurde.

AnyConnect-Verbindung

9. Überprüfen Sie das Profil und Protokoll (IKEv2/IPsec), das nach dem Herstellen der Verbindung verwendet wird.

AnyConnect verbunden

FTD CLI-Ausgänge:

firepower# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect

Username : ikev2-user                    Index        : 9
Assigned IP  : 10.1.1.1                  Public IP    : 10.106.55.22
Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing      : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none
Bytes Tx     : 450                         Bytes Rx     : 656
Pkts Tx      : 6                           Pkts Rx      : 8
Pkts Tx Drop : 0                           Pkts Rx Drop : 0
Group Policy : RAVPN-group-policy          Tunnel Group : RAVPN-IKEV2
Login Time   : 07:14:08 UTC Thu Jan 4 2024
Duration     : 0h:00m:08s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                          VLAN         : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none                         Tunnel Zone  : 0

IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1

AnyConnect-Parent:
Tunnel ID    : 9.1
Public IP    : 10.106.55.22
Encryption.  : none.                           Hashing     : none 

Auth Mode    : userPassword 
Idle Time out: 30 Minutes                      Idle TO Left : 29 Minutes 
Client OS    : win 
Client OS Ver: 10.0.15063 
Client Type  : AnyConnect 
Client Ver   : 4.10.07073 

IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220                            UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption   : AES256                            Hashing      : SHA512
Rekey Int (T): 86400 Seconds                     Rekey Left(T): 86391 Seconds
PRF : SHA512                                     D/H Group    : 19
Filter Name  : 
Client OS    : Windows Client                    Type         : AnyConnect 

IPsecOverNatT:
Tunnel ID    : 9.3
Local Addr   : 0.0.0.0/0.0.0.0/0/0
Remote Addr  : 10.1.1.1/255.255.255.255/0/0
Encryption   : AES-GCM-256                       Hashing       : none 
Encapsulation: Tunnel 
Rekey Int (T): 28800 Seconds                     Rekey Left(T) : 28791 Seconds 
Idle Time Out: 30 Minutes                        Idle TO Left  : 29 Minutes 
Bytes Tx     : 450 Bytes                         Rx            : 656 
Pkts Tx      : 6                                 Pkts Rx       : 8 



firepower# show crypto ikev2 sa 

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                         Remote                                           fvrf/ivrf            Status     Role
16530741  10.197.167.5/4500             10.106.55.22/65220                                                    READY      RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8 


firepower# show crypto ipsec sa 

interface: Outside
    Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
    
      Protected vrf: 
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
      current_peer: 10.106.55.22, username: ikev2-user
      dynamic allocated peer ip: 10.1.1.1
      dynamic allocated peer ip(ipv6): 0.0.0.0
     
      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
      path mtu 1468, ipsec overhead 62(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: DED2CBC8
      current inbound spi : 6F7EFD61

  inbound esp sas:
     spi: 0x6F7EFD61 (1870593377)
     SA State: active
     transform: esp-aes-gcm-256 esp-null-hmac no compression 
     in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
     slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
     sa timing: remaining key lifetime (sec): 28723
     IV size: 8 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x000001FF

  outbound esp sas:
    spi: 0xDED2CBC8 (3738356680)
    SA State: active
    transform: esp-aes-gcm-256 esp-null-hmac no compression 
    in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
    slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
    sa timing: remaining key lifetime (sec): 28723
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap: 
    0x00000000 0x00000001

ISE-Protokolle:

ISE - Live-Protokolle

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255