Configuración de VPN de acceso remoto de Secure Client (AnyConnect) en FTD

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:16 de junio de 2026
ID del documento:212424

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la configuración de VPN de acceso remoto de Secure Client (AnyConnect) en Secure Firewall Threat Defence.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico de VPN, TLS e IKEv2
  • Autenticación, autorización y contabilidad básicas (AAA) y conocimientos RADIUS
  • Experiencia con Secure Firewall Management Center

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Secure Firewall Threat Defence (SFTD) 7.2.5
  • Secure Firewall Management Center (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Este documento proporciona un ejemplo de configuración para Secure Firewall Threat Defence (FTD) versión 7.2.5 y posteriores, que permite que la VPN de acceso remoto utilice Transport Layer Security (TLS) e Internet Key Exchange versión 2 (IKEv2). Como cliente, se puede utilizar Secure Client (AnyConnect), que es compatible con varias plataformas.

Configuración

1. Requisitos previos

Para pasar a través del asistente de acceso remoto en Secure Firewall Management Center:

  • Cree un certificado utilizado para la autenticación del servidor.
  • Configure el servidor RADIUS o LDAP para la autenticación de usuarios.
  • Cree un conjunto de direcciones para los usuarios de VPN.
  • Cargue imágenes de AnyConnect para diferentes plataformas.

a) Importar el certificado SSL

Los certificados son esenciales al configurar Secure Client. El certificado debe tener una extensión de nombre alternativo de sujeto con nombre DNS y/o dirección IP para evitar errores en los navegadores web.

Nota: Solo los usuarios registrados de Cisco tienen acceso a las herramientas internas y a la información de errores.

Existen limitaciones para la inscripción manual de certificados:

  • En SFTD, necesita el certificado de CA antes de generar el CSR.
  • Si el CSR se genera externamente, el método manual falla, por lo tanto, se debe utilizar un método diferente (PKCS12).

Hay varios métodos para obtener un certificado en el dispositivo SFTD, sin embargo, el más seguro y fácil es crear una Solicitud de firma de certificado (CSR), firmarlo con una Autoridad de certificación (CA) y luego importar el certificado emitido para la clave pública, que estaba en la CSR.

Pasos que deben realizarse:

  • Navegue hasta Objetos > Administración de objetos > PKI > Inscripción de certificado, haga clic en Agregar inscripción de certificado.
  • Seleccione Tipo de inscripción y pegue el certificado de la autoridad certificadora (CA) (el certificado que se utiliza para firmar el CSR).

CA Certificate Import

  • A continuación, vaya a la segunda pestaña y seleccione FQDN personalizado y rellene todos los campos necesarios, por ejemplo:

Certificate Parameters

  • En la tercera ficha, seleccione Key Type, elija name y size. Para RSA, 2048 bits es mínimo.
  • Haga clic en Guardar y navegue hasta Dispositivos > Certificados > Agregar.
  • A continuación, seleccione Device y, en Cert Enrollment, seleccione el punto de confianza que acaba de crear y haga clic en Add:

Add New Certificate

  • Más adelante, junto al nombre del punto de confianza, haga clic en el botón ID Icon , luego , y después de eso, copie CSR a CA y firme. El certificado debe tener los mismos atributos que un servidor HTTPS normal.
  • Después de recibir el certificado de la CA en formato base64, seleccione Examinar certificado de identidad, selecciónelo en el disco y haga clic en Importar. Cuando esto tenga éxito, verá:

Certificate List


b) Configuración del servidor RADIUS

  • Vaya a Objetos > Administración de objetos > Grupo de servidores RADIUS > Agregar grupo de servidores RADIUS > +.
  • Complete el nombre y agregue la dirección IP junto con el secreto compartido y haga clic en Guardar:

RADIUS Server Properties

  • Después, puede ver el servidor en la lista:

RADIUS Server List

c) Crear un conjunto de direcciones para usuarios de VPN

  • Vaya a Objetos > Administración de objetos > Conjuntos de direcciones > Conjuntos IPv4 > Agregar conjuntos IPv4.
  • Ingrese el nombre y el rango, la máscara no es necesaria: 

Address Pool Properties

d) Crear perfil XML

  • Descargue el Editor de perfiles del sitio de Cisco y ábralo.
  • Vaya a Lista de servidores > Agregar... 
  • Ingrese el Display Name y el FQDN. Puede ver las entradas en Lista de servidores:

Profile Editor Server List

  • Haga clic en Aceptar y en Archivo > Guardar como...  

e) Cargar imágenes de AnyConnect

  • Descargue imágenes de paquetes del sitio de Cisco.
  • Vaya a Objetos > Administración de objetos > VPN > Archivo AnyConnect > Agregar archivo AnyConnect.
  • Escriba el nombre y seleccione el archivo PKG del disco, haga clic en Guardar:

Secure Client Image Import Form

  • Agregue más paquetes en función de sus propios requisitos.

2. Asistente para acceso remoto

  • Vaya a Devices > VPN > Remote Access > Add a new configuration.
  • Asigne un nombre al perfil y seleccione el dispositivo FTD:

Remote Access Wizard Step 1

  • En el paso Connection Profile (Perfil de conexión), escriba Connection Profile Name, seleccione los Authentication Server y los Address Pools que creó anteriormente:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • Haga clic en Edit Group Policy y en la pestaña AnyConnect, seleccione Client Profile, luego haga clic en Save:

Profile Selection in Group Policy Properties

  • En la página siguiente, seleccione Imágenes de AnyConnect y haga clic en Siguiente.

Secure Endpoint Image

  • En la siguiente pantalla, seleccione Network Interface and Device Certificates:

Network Interface Selection

  • Cuando todo esté configurado correctamente, puede hacer clic en Finish y luego en Deploy:

The Last Step in Remote Access Wizard

  • Esto copia toda la configuración junto con los certificados y los paquetes de AnyConnect en el dispositivo FTD.

Conexión

Para conectarse a FTD, debe abrir un explorador, escribir el nombre DNS o la dirección IP que apunta a la interfaz externa. A continuación, inicie sesión con las credenciales almacenadas en el servidor RADIUS y realice los pasos en pantalla. Una vez que se instale AnyConnect, debe ingresar la misma dirección en la ventana AnyConnect y hacer clic en Connect.

Limitaciones

Actualmente, no es compatible con FTD, pero está disponible en ASA:

  • FTDposture VPN no admite el cambio de política de grupo a través de la autorización dinámica o el cambio de autorización RADIUS (CoA)

  • Personalización de AnyConnect (mejora: ID de error de Cisco CSCvq87631)
  • Secuencias de comandos de AnyConnect (mejora: ID de error de Cisco CSCvt58044)
  • localización de AnyConnect
  • Integración de WSA
  • Mapa criptográfico dinámico IKEv2 simultáneo para VPN RA y L2L (Mejora: ID de error de Cisco CSCvr52047)
  • TACACS, Kerberos - Autenticación KCD y RSA SDI (Mejora: ID de error de Cisco CSCvx55859)
  • Proxy de explorador

Observaciones de seguridad

De forma predeterminada, la opción sysopt connection permit-vpnoption está inhabilitada. Esto significa que debe permitir el tráfico que proviene del conjunto de direcciones en una interfaz externa a través de la política de control de acceso. Aunque la regla de prefiltro o control de acceso se agrega para permitir solamente el tráfico VPN, si el tráfico de texto sin cifrar coincide con los criterios de la regla, se permite erróneamente.

Hay dos enfoques para este problema. En primer lugar, la opción recomendada por los TAC es habilitar la antisimulación (en ASA se la conocía como Unicast Reverse Path Forwarding - uRPF) para la interfaz externa, y en segundo lugar, habilitar sysopt connection permit-vpn para omitir completamente la inspección de Snort. La primera opción permite una inspección normal del tráfico que va hacia y desde los usuarios de VPN.

a) Habilitar uRPF

  • Cree una ruta nula para la red utilizada por los usuarios de acceso remoto, definida en la sección C. Navegue hasta Dispositivos > Administración de dispositivos > Editar > Enrutamiento > Ruta estática y seleccione Agregar ruta.

New Static Route Properties

  • Luego, habilite uRPF en la interfaz donde terminan las conexiones VPN. Para encontrarlo, navegue hasta Dispositivos > Administración de dispositivos > Edición > Interfaces > Edición > Avanzadas > Configuración de seguridad > Habilitar la antisimulación. 

Edit Physical Interface

Cuando un usuario está conectado, la ruta de 32 bits se instala para ese usuario en la tabla de ruteo. Tráfico de texto sin formato originado en las otras direcciones IP sin usar del conjunto que es eliminado por uRFP. Para ver una descripción de la antisimulación, consulte Establecer parámetros de configuración de seguridad en la defensa frente a amenazas del firewall.

b) Activar la opción sysopt connection permit-vpn

  • Existe una opción para completar con el asistente o en Dispositivos > VPN > Acceso remoto > Perfil VPN > Interfaces de acceso.

Bypass Access Control Policy Option Selected

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
7.0
16-Jun-2026
Ortografía actualizada, espaciado, gramática y ligero cambio a Introducción.
6.0
05-Dec-2024
Texto alternativo actualizado, Destinos de vínculos, Gramática y Formato.
5.0
25-Nov-2024
Cambio en la convención de nomenclatura y cambios reflejados en la GUI
4.0
05-Dec-2023
Recertificación
3.0
16-Dec-2022
Reescribir. Actualizar formato. Recertificación.
2.0
08-Nov-2022
Formato actualizado y ortografía corregidaRecertificación
1.0
07-Nov-2017
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Radoslaw Olszowy
    Technical Consulting Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos