In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die grundlegende Konfiguration des Remote Access-VPN mit IKEv2- und ISE-Authentifizierung auf dem vom FMC verwalteten FTD beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
IKEv2 und Secure Sockets Layer (SSL) sind Protokolle, die für den Aufbau sicherer Verbindungen verwendet werden, insbesondere im Kontext von VPNs. IKEv2 bietet leistungsstarke Verschlüsselungs- und Authentifizierungsmethoden, die ein hohes Maß an Sicherheit für VPN-Verbindungen bieten.
Dieses Dokument enthält ein Konfigurationsbeispiel für FTD Version 7.2.0 und höher, das den Remotezugriff-VPN ermöglicht, um Transport Layer Security (TLS) und IKEv2 zu verwenden. Als Client kann Cisco AnyConnect verwendet werden, das auf mehreren Plattformen unterstützt wird.
Zertifikate sind unverzichtbar, wenn AnyConnect konfiguriert ist.
Die manuelle Zertifikatregistrierung unterliegt folgenden Einschränkungen:
1. Für FTD ist ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) erforderlich, bevor eine CSR (Certificate Signing Request) generiert wird.
2. Wenn der CSR extern generiert wird, wird eine andere Methode von PKCS12 verwendet.
Es gibt verschiedene Methoden, um ein Zertifikat auf einer FTD-Appliance zu erhalten, aber die sichere und einfache ist, eine CSR zu erstellen und es von einer Zertifizierungsstelle signieren zu lassen. So gehen Sie vor:
1. Navigieren Sie zuObjects > Object Management > PKI > Cert Enrollment
, und klicken Sie aufAdd Cert Enrollment
.
2. Geben Sie den Namen des VertrauenspunktsRAVPN-SSL-cert
ein.
3. Wählen Sie auf der Registerkarte dieCA Information
Option Anmeldungstyp als, und fügen Sie das Zertifizierungsstellenzertifikat wie im Bild dargestellt einManual
.
4. Geben Sie unterCertificate Parameters
den Betreffnamen ein. Beispiele:
5. Unter demKey
Tab, wählen Sie den Schlüsseltyp, und geben Sie einen Namen und Bitgröße. Für RSA sind mindestens 2048 Bit erforderlich.
6. Klicken Sie aufSave
.
7. Navigieren Sie zuDevices > Certificates > Add > New Certificate
.
8. Wählen SieDevice
. Wählen Sie unter
Cert Enrollment
den erstellten Vertrauenspunkt aus, und klicken SieAdd
wie im Bild dargestellt auf.
9. Klicken SieID
, und eine Aufforderung zur CSR-Generierung wird angezeigt, wählen SieYes
.
10. Es wird ein CSR generiert, der für die CA freigegeben werden kann, um das Identitätszertifikat zu erhalten.
11. Nachdem Sie das Identitätszertifikat von CA im Base64-Format erhalten haben, wählen Sie es von der Festplatte aus, indem Sie aufBrowse Identity Certificate
und klicken, wie im Bild dargestelltImport
.
12. Sobald der Import erfolgreich ist, wird der VertrauenspunktRAVPN-SSL-cert
wie folgt betrachtet:
1. Navigieren Sie zuObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
2. Geben Sie den Namen ein, und fügen SieISE
RADIUS-Server hinzu, indem Sie auf klicken+
.
3. Geben Sie die IP-Adresse des ISE Radius-Servers zusammen mit dem gemeinsamen geheimen Schlüssel an, der mit dem Schlüssel auf dem ISE-Server übereinstimmt.
4. Wählen Sie entwederRouting
oderSpecific Interface
aus, über die die FTD mit dem ISE-Server kommuniziert.
5. Klicken SieSave
wie im Bild dargestellt.
6. Nach dem Speichern wird der ServerRADIUS Server Group
wie im Bild dargestellt unter der hinzugefügt.
1. Navigieren Sie zu Network Devices
, und klicken Sie aufAdd
.
2. Geben Sie den Namen "Cisco-Radius" des Servers undIP Address
des Radius-Clients ein, der die FTD-Kommunikationsschnittstelle darstellt.
3. UnterRadius Authentication Settings
, fügen Sie dieShared Secret
.
4. Klicken Sie aufSave
.
5. Um Benutzer zu erstellen, navigieren Sie zuNetwork Access > Identities > Network Access Users
, und klicken Sie auf Add
.
6. Erstellen Sie nach Bedarf einen Benutzernamen und einAnmeldekennwort.
7. Um eine grundlegende Richtlinie einzurichten, navigieren Sie zuPolicy > Policy Sets > Default > Authentication Policy > Default
, und wählen SieAll_User_ID_Stores
.
8. Navigieren Sie zuPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access,
und wählen SiePermitAccess
wie im Bild dargestellt aus.
1. Navigieren Sie zuObjects > Object Management > Address Pools > Add IPv4 Pools
.
2. Geben Sie den NamenRAVPN-Pool
und den Adressbereich ein. Die Maske ist optional.
3. Klicken Sie auf Speichern.
1. Navigieren Sie zuObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Geben Sie den Namen einanyconnect-win-4.10.07073-webdeploy
und klicken SieBrowse
auf, um die AnyConnect-Datei von der Festplatte wählen, klicken Sie aufSave
wie im Bild gezeigt.
1. Laden Sie den Profil-Editor von heruntersoftware.cisco.com
, und öffnen Sie ihn.
2. Navigieren Sie zu Server List > Add
...
3. Geben Sie den AnzeigenamenRAVPN-IKEV2
undFQDN
zusammen mit der Benutzergruppe (Aliasname) ein.
4. Wählen Sie das primäre Protokoll, wie IPsec
,
klicken SieOk
, wie im Bild dargestellt.
5. Serverliste wurde hinzugefügt. Speichern Sie es unterClientProfile.xml
.
1. Navigieren Sie zuObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Geben Sie einen Namen einClientProfile
, und klicken SieBrowse
auf, um die Datei von der Festplatte auszuwählenClientProfile.xml
.
3. Klicken Sie auf Save
.
1. Navigieren Sie zuDevices > VPN > Remote Access
und klicken Sie+
auf, um ein Verbindungsprofil hinzuzufügen, wie im Bild gezeigt.
2. Geben Sie den Namen des Verbindungsprofils einRAVPN-IKEV2
, und erstellen Sie eine Gruppenrichtlinie, indem Sie auf +
in Group Policy
wie im Bild dargestellt.
3. Geben Sie den NamenRAVPN-group-policy
ein, und wählen Sie die VPN-Protokolle SSL and IPsec-IKEv2
, wie im Bild dargestellt.
4. Wählen Sie unterAnyConnect > Profile
ClientProfile
das XML-Profil aus dem Dropdown-Menü aus, und klicken Sie auf,Save
wie im Bild dargestellt.
5. Fügen Sie den AdresspoolRAVPN-Pool
hinzu, indem Sie auf+
as shown in the image
klicken.
6. Navigieren Sie zuAAA > Authentication Method
, und wählen SieAAA Only
.
7. Wählen SieAuthentication Server
alsISE (RADIUS)
.
8. Navigieren Sie zu,Aliases
geben Sie einen Aliasnamen einRAVPN-IKEV2
, der in als Benutzergruppe verwendet wirdClientProfile.xml
.
9. Klicken Sie aufSave
.
10. Navigieren Sie zuAccess Interfaces
, und wählen Sie die Schnittstelle aus, auf der RAVPN IKEv2 aktiviert werden muss.
11. Wählen Sie das Identitätszertifikat für SSL und IKEv2 aus.
12. Klicken Sie aufSave
.
13. Navigieren Sie zu Advanced
.
14. Fügen Sie die Bilder des AnyConnect-Clients hinzu, indem Sie auf klicken+
.
15. UnterIPsec
, fügen Sie dieCrypto Maps
wie im Bild gezeigt.
16. UnterIPsec
, fügen Sie dieIKE Policy
durch Klicken+
.
17. Fügen Sie unterIPsec
dasIPsec/IKEv2 Parameters
hinzu.
18. UnterConnection Profile
wird neues ProfilRAVPN-IKEV2
erstellt.
19.Save
Klicken Sie auf das Bild.
20. Bereitstellen der Konfiguration.
Profil auf dem PC, gespeichert unter C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false </AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry>RAVPN-IKEV2 ftd.cisco.com RAVPN-IKEV2 IPsec </HostEntry> </ServerList> </AnyConnectProfile>
Hinweis: Es wird empfohlen, den SSL-Client als Tunneling-Protokoll in der Gruppenrichtlinie zu deaktivieren, sobald das Client-Profil auf den PC aller Benutzer heruntergeladen wurde. Dadurch wird sichergestellt, dass Benutzer ausschließlich über das IKEv2/IPsec-Tunneling-Protokoll eine Verbindung herstellen können.
In diesem Abschnitt können Sie überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
1. Verwenden Sie für die erste Verbindung den FQDN/IP, um eine SSL-Verbindung vom PC des Benutzers über AnyConnect herzustellen.
2. Wenn das SSL-Protokoll deaktiviert ist und der vorherige Schritt nicht ausgeführt werden kann, stellen Sie sicher, dass das ClientprofilClientProfile.xml
auf dem PC unter dem PfadC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
vorhanden ist.
3. Geben Sie den Benutzernamen und das Kennwort für die Authentifizierung ein, sobald Sie dazu aufgefordert werden.
4. Nach erfolgreicher Authentifizierung wird das Client-Profil auf den PC des Benutzers heruntergeladen.
5. Trennen Sie die Verbindung zu AnyConnect.
6. Sobald das Profil heruntergeladen wurde, können Sie den im Clientprofil erwähnten Hostnamen über das Dropdown-Menü auswählen, RAVPN-IKEV2
um eine Verbindung mit AnyConnect über IKEv2/IPsec herzustellen.
7. Klicken Sie aufConnect
.
8. Geben Sie den Benutzernamen und das Kennwort für die Authentifizierung ein, die auf dem ISE-Server erstellt wurde.
9. Überprüfen Sie das Profil und Protokoll (IKEv2/IPsec), das nach dem Herstellen der Verbindung verwendet wird.
FTD CLI-Ausgänge:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ISE-Protokolle:
In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
06-Feb-2024 |
Erstveröffentlichung |