Problem
Das Ziel besteht darin, nach erfolgreicher VPN-Authentifizierung über RADIUS (gegen einen Windows-Domänenserver) auf Cisco Secure Firewall FTD einen uneingeschränkten Zugriff für VPN-Benutzer auf interne Netzwerkressourcen zu ermöglichen.
Das VPN-Setup ist bereits betriebsbereit. Sie können den VPN-Client herunterladen und installieren und sich erfolgreich authentifizieren. Der Schwerpunkt des Problems liegt auf der Konfiguration der erforderlichen Zugriffskontrolle und NAT-Regeln, um den erforderlichen Zugriff auf interne Ressourcen über das VPN zu ermöglichen.
Umwelt
- Produkt: Cisco Secure Firewall Firepower (FTD), Version 7.6.0 (auf alle FTDs anwendbar)
- Management: FirePOWER Management Center (FMC), Cloud-basiertes FMC (cdFMC) oder FirePOWER Device Manager (FDM)
- Softwareversion: 7.6.0
Auflösung
In diesen Schritten wird die Konfiguration beschrieben, die erforderlich ist, um VPN-Benutzern den Zugriff auf interne Ressourcen (z. B. RDP und Active Directory) in Cisco FTD zu ermöglichen. Dies umfasst das Erstellen von Zugriffsrichtlinienregeln, das Konfigurieren von NAT-Ausnahmen und der Festlegung von NAT für VPN-Datenverkehr sowie die Verwendung von Befehlen zur Fehlerbehebung zur Validierung der Konfiguration.
1: Fügen Sie einen Zugriffslisteneintrag hinzu, um dem VPN-Adresspool den Zugriff auf interne Ressourcen zu ermöglichen.
access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528
access-list CSM_FW_ACL_remark rule-id 268438528: ZUGRIFFSRICHTLINIE: Standard-Zugriffskontrollrichtlinie - Erforderlich
Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268438528: L7 RULE: Permit_VPN_Pool
2: Fügen Sie eine Zugriffslistenregel hinzu, die internen Ressourcen das Senden von Datenrückverkehr an den VPN-Pool ermöglicht:
access-list CSM_FW_ACL_ advanced permit ip any object VPN_Pool
Diese Regeln können später verschärft werden, um bestimmte Quellen und Ziele nach Bedarf einzuschränken.
3: NAT-Ausnahme oder Hairpin NAT für VPN-Datenverkehr konfigurieren
Es gibt zwei gemeinsame Ansätze:
- Option A: NAT-Ausnahme für VPN-Pool zu internem Subnetz
nat (outside,inside) source static VPN_Pool VPN_Pool destination static Net_192.168.95.1-24 Net_192.168.95.1-24 route-lookup
- Option B: Hairpin NAT für VPN-Pool auf derselben Schnittstelle (kein Proxy-ARP)
nat (any,any) source static VPN_Pool VPN_Pool no-proxy-arp
- Option C: Dynamic Hairpin NAT für VPN-Pool an externer Schnittstelle
nat (außen, außen) dynamische VPN_Pool-Schnittstelle
Die richtige Methode hängt davon ab, ob sich die internen Ressourcen auf derselben physischen Schnittstelle (die Hairpin-NAT erfordert) oder auf unterschiedlichen Schnittstellen (NAT-Ausnahme) befinden.
4: Verwenden Sie den Paket-Tracer-Befehl, um Datenverkehrsflüsse vom VPN-Pool zu internen Ressourcen zu simulieren und zu überprüfen, ob der Datenverkehr durch die beabsichtigte Regel, NAT und Route zugelassen ist.
Packet-Tracer-Eingabe außerhalb von icmp 192.168.250.1 8 0 192.168.95.1
Paket-Tracer-Eingang außerhalb TCP 192.168.250.1 12345 192.168.95.1 80
Packet-Tracer-Eingabe in icmp 192.168.95.1 8 0 192.168.250.1
Paket-Tracer-Eingang in TCP 192.168.250.1 54321 192.168.95.1 443
—
Phase 5
ID: 5
Typ: ACCESS-LIST
Ergebnis: ZULÄSSIG
Konfiguration: access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: Default Access Control Policy - Mandatoryaccess-list CSM_FW_ACL_ remark rule-id 268438528: L7 RULE: Zulassen_VPN_Pool
Zusätzliche Informationen: Dieses Paket wird zur weiteren Verarbeitung an die Snort gesendet, bei der ein Verdict erreicht wird Weiterleitungsfluss-basierte Suche liefert Regel: in id=0x40009d6ae190, priority=12, domain=permit, deny=false hits=1300, user_data=0x0000000000000000, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src IP/id=240.0.0.0, mask=255.255.255.255, port=0, tag=any, ifc=any dst IP/id=240.5.0.2, mask=255.255.255.255, port=0, tag=any, ifc=any, dscp=0x0, input_ifc=any, output_ifc=any
Verstrichene Zeit: 0 ns
—
Phase 7
ID: 7
Typ: NAT
Ergebnis: ZULÄSSIG
Konfig.: dynamische VPN_Pool-Schnittstelle nat (außen,außen)
Weitere Informationen: Static translate 192.168.250.1/12345 to 192.168.250.1/12345 Forward Flow based lookup yields rule: in id=0x40009d6ad0a0, priority=6, domain=nat, deny=false hits=274, user_data=0x000040009963a2d0, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.250.1, mask=255.255.255.255, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dscp=0x0, input_ifc=any, output_ifc=any
Verstrichene Zeit: 0 ns
Hinweis: Die Paketverfolgungsausgabe für die WebVPN-Phase könnte einen Abbruch für VPN-Datenverkehr an der externen Schnittstelle anzeigen. Dies ist ein erwartetes Verhalten für reinen Textdatenverkehr an der externen Schnittstelle und kann weiterhin zur Validierung von NAT verwendet werden.
Zusätzliche Hinweise:
- Es ist möglich, dass bei der Paketerfassung in der Threat Defense-Benutzeroberfläche nur eingehende Anforderungen angezeigt werden. Wenn keine Verwerfungen festgestellt werden, der Datenverkehr jedoch nicht die interne Ressource erreicht, überprüfen Sie die NAT und die Zugriffslistenregeln.
- Wenn SSH nicht verfügbar ist, kann die gesamte Fehlerbehebung über die Benutzeroberflächenfunktionen von Threat Defense in cdFMC durchgeführt werden. Die Befehlsverwendung ist jedoch begrenzt.
- Es ist möglich, dass einige Änderungen an benachbarten Geräten für eine End-to-End-Verbindung erforderlich sind. Stellen Sie sicher, dass diese bei Bedarf validiert werden.
Ursache
Die Ursache hierfür waren unzureichende Zugriffsrichtlinien und NAT-Konfigurationen für den Datenverkehr zwischen VPN und internen VPN-Pools. Die Standardkonfiguration erlaubte keine vollständige bidirektionale Kommunikation vom VPN-Pool zu internen Ressourcen und zurück und bewältigte auch nicht die Hairpin NAT-Anforderungen für den ein- und ausgehenden Datenverkehr auf derselben Schnittstelle.
Verwandte Inhalte
Feedback