Configurar VPN de acceso remoto en FTD administrado por FDM

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de junio de 2025
ID del documento:215532

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la implementación de una RAVPN en FTD administrada por el administrador integrado FDM que ejecuta la versión 6.5.0 y posteriores.

    Prerequisites

    Requirements

    Cisco recomienda conocer la configuración de la red privada virtual de acceso remoto (RAVPN) en el administrador de dispositivos de Firepower (FDM).

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Firepower Threat Defence (FTD) que ejecuta la versión 6.5.0-115
    • Versión 4.7.01076 de Cisco AnyConnect Secure Mobility Client

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Licencias

    • Firepower Threat Defence se ha registrado en el portal de licencias inteligentes con las funciones de exportación controladas habilitadas (para permitir que se habilite la ficha de configuración de RAVPN).
    • Cualquiera de las licencias de AnyConnect habilitadas (APEX, Plus o solo VPN)

    Antecedentes

    La configuración de FTD a través de FDM plantea dificultades cuando se intenta establecer conexiones para los clientes de AnyConnect a través de la interfaz externa mientras se accede a la administración a través de la misma interfaz. Esta es una limitación conocida de FDM. La solicitud de mejora del ID de bug de Cisco CSCvm76499 se ha registrado para este problema.

    Configurar

    Diagrama de la red

    Autenticación del cliente AnyConnect con el uso de Local.

    Network Diagram

    Verificación de licencias en el FTD

    Paso 1. Compruebe que el dispositivo está registrado en Smart Licensing, como se muestra en la imagen.

    Verification of Device Registration in Smart Licensing

    Paso 2. Compruebe que las licencias de AnyConnect están habilitadas en el dispositivo, como se muestra en la imagen.

    Verification of AnyConnect License Enablement on the Device

    Paso 3. Verifique que las funciones controladas por exportación estén habilitadas en el token, como se muestra en la imagen.

    Verify Export-Controlled Feature Enablement in Token

    Definición de redes protegidas

    Vaya a .Objects > Networks > Add new Network Configure VPN Pool y LAN Networks desde la GUI de FDM. Cree un VPN Pool para ser utilizado para la asignación de direcciones locales a los usuarios de AnyConnect, como se muestra en la imagen.

    Create VPN Pool for Local Address Assignment in FDM GUI

    Cree un objeto para la red local detrás del dispositivo FDM, como se muestra en la imagen.

    Create Object for Local Network in FDM GUI

    Crear usuarios locales

    Vaya a .Objects > Users > Add User Agregue VPN Local users que se conecten al FTD a través de AnyConnect. Cree Usuarios locales como se muestra en la imagen.

    Create VPN Local Users for AnyConnect Connection in FDM GUI

    Agregar certificado

    Desplácese hastaObjects > Certificates > Add Internal Certificate. Configure un certificado como se muestra en la imagen.

    Configure Internal Certificate in FDM GUI

    Cargue el certificado y la clave privada tal y como se muestra en la imagen.

    Upload Certificate and Private Key in FDM GUI

    El certificado y la clave se pueden cargar copiando y pegando, o el botón de carga para cada archivo como se muestra en la imagen.

    Upload Certificate and Key via Copy-Paste or Upload Button in FDM GUI

    Configurar VPN de acceso remoto

    Navegue hastaRemote Access VPN > Create Connection Profile. Navegue a través del asistente de RA VPN en FDM como se muestra en la imagen.

    Create Remote Access VPN Connection Profile with RA VPN Wizard in FDM GUI

    Remote Access VPN Connection Profiles

    Cree un perfil de conexión e inicie la configuración como se muestra en la imagen.

    Configure Connection Profile in FDM GUI

    Elija los métodos de autenticación como se muestra en la imagen. Esta guía utiliza la autenticación local.

    Choose Authentication Methods for Remote Access VPN in FDM GUI

    Elija elAnyconnect_Poolobjeto como se muestra en la imagen.

    Choose AnyConnect Pool Object in FDM GUI

    En la página siguiente se muestra un resumen de la directiva de grupo predeterminada. Se puede crear una nueva política de grupo cuando se pulsa el menú desplegable y se elige la opción deCreate a new Group Policy. Para esta guía, se utiliza la directiva de grupo predeterminada. Elija la opción edit en la parte superior de la política como se muestra en la imagen.

    Edit Default Group Policy in FDM GUI

    En la política de grupo, agregue Split tunneling para que los usuarios conectados a AnyConnect sólo envíen tráfico destinado a la red FTD interna a través del cliente AnyConnect mientras que el resto del tráfico sale de la conexión ISP del usuario como se muestra en la imagen.

    Configure Split Tunneling in Group Policy for AnyConnect Users in FDM GUI

    En la página siguiente, seleccione la interfazAnyconnect_Certificateagregada en la sección de certificados. A continuación, elija la interfaz en la que el FTD escucha las conexiones de AnyConnect. Elija la política Omitir control de acceso para el tráfico descifrado (sysopt permit-vpn). Éste es un comando opcional si no se elige elsysopt permit-vpn. Se debe crear una política de control de acceso que permita que el tráfico de los clientes de AnyConnect acceda a la red interna como se muestra en la imagen.

    Configure AnyConnect Certificate, Interface, and Access Control Policy in FDM GUI

    La exención de NAT se puede configurar manualmente enPolicies > NATo el asistente la puede configurar automáticamente. Elija la interfaz interna y las redes que los clientes de AnyConnect necesitan para acceder, como se muestra en la imagen.

    Configure NAT Exemption for AnyConnect Clients in FDM GUI

    Elija el paquete AnyConnect para cada sistema operativo (Windows/Mac/Linux) con el que los usuarios pueden conectarse, como se muestra en la imagen.

    Choose AnyConnect Packages for Different Operating Systems in FDM GUI

    La última página ofrece un resumen de toda la configuración. Confirme que se han establecido los parámetros correctos y pulse el botón Finish y Deploy la nueva configuración.

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Una vez implementada la configuración, intente conectarse. Si tiene un FQDN que se resuelve en la IP externa del FTD, ingréselo en el cuadro de conexión de AnyConnect. En este ejemplo, se utiliza la dirección IP externa del FTD. Utilice el nombre de usuario y la contraseña creados en la sección de objetos de FDM, como se muestra en la imagen.

    Verify Connection to AnyConnect with FQDN and User Credentials in FDM GUI

    A partir de FDM 6.5.0, no hay forma de supervisar a los usuarios de AnyConnect a través de la GUI de FDM. La única opción es supervisar a los usuarios de AnyConnect a través de CLI. También se puede utilizar la consola CLI de la GUI de FDM para comprobar que los usuarios están conectados. Utilice este comando: Show vpn-sessiondb anyconnect.

    Monitor AnyConnect Users via CLI in FDM GUI

    El mismo comando se puede ejecutar directamente desde la CLI.

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    Troubleshoot

    Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.

    Si un usuario no puede conectarse al FTD con SSL, realice estos pasos para aislar los problemas de negociación SSL:

    1. Verifique que la dirección IP fuera del FTD se pueda hacer ping a través del equipo del usuario.
    2. Utilice un sniffer externo para verificar si el intercambio de señales de tres vías TCP es exitoso.

    Problemas del cliente AnyConnect

    Esta sección proporciona pautas para resolver los dos problemas más comunes del cliente AnyConnect VPN. Una guía de troubleshooting para el cliente AnyConnect se puede encontrar aquí: Guía de Troubleshooting de AnyConnect VPN Client.

    Problemas de conectividad inicial

    Si un usuario tiene problemas de conectividad iniciales, habilite debugwebvpnAnyConnect en el FTD y analice los mensajes de debug. Las depuraciones deben ejecutarse en la CLI del FTD. Utilice el comandodebug webvpn anyconnect 255. Recopile un paquete DART de la máquina cliente para obtener los registros de AnyConnect. Las instrucciones sobre cómo recopilar un paquete DART se pueden encontrar aquí: Recopilación de paquetes DART.

    Problemas Específicos Del Tráfico

    Si una conexión es exitosa pero el tráfico falla sobre el túnel SSL VPN, observe las estadísticas de tráfico en el cliente para verificar que el tráfico está siendo recibido y transmitido por el cliente. Las estadísticas detalladas del cliente están disponibles en todas las versiones de AnyConnect. Si el cliente muestra que el tráfico se está enviando y recibiendo, verifique el FTD para el tráfico recibido y transmitido. Si el FTD aplica un filtro, se muestra el nombre del filtro y puede observar las entradas de ACL para verificar si su tráfico está siendo descartado. Los problemas comunes de tráfico que experimentan los usuarios son:

    • Problemas de ruteo detrás del FTD - La red interna no puede rutear paquetes de vuelta a las direcciones IP asignadas y a los clientes VPN.
    • Listas de control de acceso que bloquean el tráfico.
    • Traducción de direcciones de red que no se omite para el tráfico VPN.

    Para obtener más información sobre las VPN de acceso remoto en el FTD gestionado por FDM, consulte la guía de configuración completa aquí: FTD de acceso remoto gestionado por FDM.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    02-Jun-2025
    Introducción, SEO, requisitos de estilo y formato actualizados.
    1.0
    18-May-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Cameron Schaeffer
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos