Configuración de AnyConnect VPN Client en FTD: exención de horquilla y NAT

Opciones de descarga

  • PDF     (2.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de junio de 2023
ID del documento:215875

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la solución VPN de acceso remoto de Cisco (AnyConnect) en Firepower Threat Defence (FTD), v6.3, gestionada por FMC.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico de VPN de acceso remoto, capa de conexión segura (SSL) e intercambio de claves de Internet versión 2 (IKEv2)
    • Conocimiento básico de autenticación, autorización y contabilidad (AAA) y RADIUS
    • Conocimientos básicos de FMC
    • Conocimientos básicos de FTD

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco FMC 6.4
    • FTD 6.3 de Cisco
    • AnyConnect 4.7

    Este documento describe el procedimiento para configurar la solución VPN de acceso remoto de Cisco (AnyConnect) en Firepower Threat Defense (FTD), versión 6.3, administrada por Firepower Management Center (FMC).

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento está pensado para cubrir la configuración en los dispositivos FTD. Si busca el ejemplo de configuración de ASA, consulte el documento: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

    Limitaciones:

    Actualmente, estas funciones no son compatibles con FTD, pero siguen estando disponibles en los dispositivos ASA:

    • Autenticación AAA doble (disponible en la versión 6.5 del FTD)
    • Política de acceso dinámica
    • Análisis de host
    • postura de ISE
    • RADIUS CoA
    • balanceador de carga VPN
    • Autenticación local (disponible en Firepower Device Manager 6.3. ID de bug de Cisco CSCvf92680 )
    • Mapa de atributos LDAP (disponible a través de FlexConfig, ID de error de Cisco CSCvd64585)
    • Personalización de AnyConnect
    • Scripts de AnyConnect
    • localización de AnyConnect
    • VPN por aplicación
    • proxy SCEP
    • Integración de WSA
    • SSO SAML (Id. de error de Cisco CSCvq90789)
    • Mapa criptográfico dinámico IKEv2 simultáneo para VPN RA y L2L
    • Módulos de AnyConnect (NAM, Hostscan, AMP Enabler, SBL, Umbrella, Web Security, etc.). DART es el único módulo instalado de forma predeterminada en esta versión.
    • TACACS, Kerberos (autenticación KCD y RSA SDI)
    • Proxy de explorador

    Configurar

    Para acceder al asistente para VPN de acceso remoto en el FMC, se deben completar estos pasos:

    Paso 1. Importar un certificado SSL


    Los certificados son esenciales al configurar AnyConnect. Sólo se admiten certificados basados en RSA para SSL e IPSec.

    Los certificados de algoritmo de firma digital de curva elíptica (ECDSA) son compatibles con IPSec; sin embargo, no es posible implementar un nuevo paquete o perfil XML de AnyConnect cuando se utiliza un certificado basado en ECDSA.

    Se puede utilizar para IPSec, pero debe implementar previamente los paquetes de AnyConnect junto con el perfil XML. Todas las actualizaciones del perfil XML deben enviarse manualmente en cada cliente (Id. de error de Cisco CSCtx42595).

    Además, el certificado debe contener una extensión de nombre común (CN) con nombre DNS o dirección IP para evitar errores de "certificado de servidor no fiable" en los navegadores web.

    Nota: en los dispositivos FTD, se necesita el certificado de la autoridad certificadora (CA) antes de generar la solicitud de firma de certificado (CSR).

    • Si el CSR se genera en un servidor externo (como Windows Server o OpenSSL), el método de inscripción manual está destinado a fallar, ya que FTD no admite la inscripción manual de claves.
    • Se debe utilizar un método diferente, como PKCS12.

    Para obtener un certificado para el dispositivo FTD con el método de inscripción manual, debe generarse un CSR, firmarlo con una CA y, a continuación, importar el certificado de identidad.

    1. Navegue hasta Dispositivos > Certificados y seleccione Agregar como se muestra en la imagen.

    Certificates panel

    2. Seleccione el Dispositivo y agregue un nuevo objeto Inscripción de Certificados como se muestra en la imagen.

    Certificate import menu

    3. Seleccione el tipo de inscripción manual y pegue el certificado de CA (el certificado que está destinado a firmar el CSR).

    Certificate manual import representation

    4. Seleccione la pestaña Parámetros de certificado y seleccione "FQDN personalizado" para el campo Incluir FQDN y rellene los detalles del certificado como se muestra en la imagen.

    Certificate parameters


    5. Seleccione la pestaña Clave y seleccione el tipo de clave; puede seleccionar el nombre y el tamaño. Para RSA, 2048 bytes es un requisito mínimo.

    6. Seleccione guardar, confirme el dispositivo y, en Inscripción de Certificados, seleccione el punto de confianza que se acaba de crear y, a continuación, seleccione Agregar para implementar el certificado.

    Add new certificate

    7. En la columna Estado, seleccione el icono ID y seleccione para generar el CSR como se muestra en la imagen.

    CSR Generation pop-up

    8. Copie CSR y fírmela con su CA preferida (por ejemplo, GoDaddy o DigiCert).

    9. Una vez recibido el certificado de identidad de la CA (que debe estar en formato base64), seleccione Examinar certificado de identidad y localice el certificado en el equipo local. Seleccione Importar.

    Import Identity Certificate

    10. Una vez importados, los detalles del certificado de CA e ID estarán disponibles para su visualización.

    Certificate import success validation

    Paso 2. Configuración de un servidor RADIUS

    En los dispositivos FTD gestionados por FMC, la base de datos de usuario local no es compatible. Se debe utilizar otro método de autenticación, como RADIUS o LDAP.

    1. Navegue hasta Objetos > Administración de Objetos > Grupo de Servidores RADIUS > Agregar Grupo de Servidores RADIUS como se muestra en la imagen.

    Radius server creation

    2. Asigne un nombre al grupo de servidores Radius y agregue la dirección IP del servidor Radius junto con un secreto compartido (el secreto compartido es necesario para emparejar el FTD con el servidor Radius), seleccione Guardar una vez que se complete este formulario como se muestra en la imagen.

    Radius server creation example

    3. La información del servidor RADIUS ahora está disponible en la lista del servidor RADIUS como se muestra en la imagen.

    Radius advanced menu

    Paso 3. Creación de un pool IP

    1. Vaya a Objetos > Gestión de Objetos > Pools de Direcciones > Agregar Pools IPv4.

    2. Asigne el nombre y el rango de direcciones IP, el campo Máscara no es necesario, pero se puede especificar como se muestra en la imagen.

    ip local pool configuration

    Paso 4. Crear un perfil XML

    1. Descargue la herramienta Profile Editor desde Cisco.com y ejecute la aplicación.

    2. En la aplicación Profile Editor, navegue hasta Server List y seleccione Add como se muestra en la imagen.

    XML profile: Server list

    3. Asigne un nombre para mostrar, un nombre de dominio completo (FQDN) o una dirección IP y seleccione Aceptar como se muestra en la imagen.

    XML profile: Server entry

    4. La entrada ahora está visible en el menú Server List:

    XML profile: Server list validation

    5. Navegue hasta Archivo > Guardar como.

    Nota: Guarde el perfil con un nombre fácilmente identificable con una extensión .xml.

    Paso 5. Cargar perfil XML de Anyconnect

    1. En el FMC, navegue hasta Objetos > Administración de objetos > VPN > Archivo AnyConnect > Agregar archivo AnyConnect.

    2. Asigne un nombre al objeto y haga clic en Examinar, busque el perfil de cliente en el sistema local y seleccione Guardar.

    Precaución: asegúrese de seleccionar Perfil del cliente de Anyconnect como tipo de archivo.

    AnyConnect File (XML profile) import

    Paso 6. Cargar imágenes de AnyConnect

    1. Descargue las imágenes webdeploy (.pkg) desde la página web de descargas de Cisco.

    AnyConnect image download (from Cisco website)

    2. Vaya a Objetos > Administración de objetos > VPN > Archivo AnyConnect > Agregar archivo AnyConnect.

    3. Asigne un nombre al archivo de paquete Anyconnect y seleccione el archivo .pkg del sistema local, una vez seleccionado el archivo.

    4. Seleccione Guardar.

    AnyConnect image upload

    Nota: Se pueden cargar paquetes adicionales en función de sus requisitos (Windows, Mac, Linux).

    Paso 7. Asistente para VPN de acceso remoto

    En función de los pasos anteriores, se puede seguir el asistente de acceso remoto según corresponda.

    1. Navegue hasta Dispositivos > VPN > Acceso remoto.

    2. Asigne el nombre de la directiva de acceso remoto y seleccione un dispositivo FTD de Dispositivos disponibles.

    Remote Access FMC wizard: Policy assignment to device

    3. Asigne el Nombre del Perfil de Conexión (el Nombre del Perfil de Conexión es el nombre del grupo de túnel), seleccione Servidor de Autenticación y Pools de Direcciones como se muestra en la imagen.

    Remote Access FMC wizard: Connection profile configuration

    4. Seleccione el símbolo + para crear la política de grupo.

    Group policy: VPN protocol selection

    5. (Opcional) Se puede configurar un conjunto de direcciones IP locales en función de una política de grupo. Si no está configurado, el grupo se hereda del grupo configurado en el perfil de conexión (grupo de túnel).

    Group Policy: IP local pool selection

    6. Para este escenario, todo el tráfico se rutea a través del túnel, la política IPv4 Split Tunneling se establece en Permitir todo el tráfico a través del túnel como se muestra en la imagen.

    Group policy: Split tunnel configuration

    7. Seleccione el perfil .xml para el perfil Anyconnect y seleccione Save como se muestra en la imagen.

    Group policy: AnyConnect xml profile selection

    8. Seleccione las imágenes de AnyConnect que desee en función de los requisitos del sistema operativo y seleccione Next como se muestra en la imagen.

    Remote Access FMC wizard: AnyConnect image selection

    9. Seleccione la zona de seguridad y los certificados de dispositivo:

    • Esta configuración define la interfaz en la que termina la VPN y el certificado que se presenta en una conexión SSL.

    Nota: En este escenario, el FTD se configura para no inspeccionar ningún tráfico VPN, omitir la opción de políticas de control de acceso (ACP) se alterna.

    Remote Access FMC wizard: Target interface selection

    10. Seleccione Finalizar e Implementar los cambios:

    • Toda la configuración relacionada con VPN, certificados SSL y paquetes AnyConnect se envía a través de FMC Deploy, como se muestra en la imagen.

    Remote Access FMC wizard: Configuration overview

    Exención de NAT y horquilla

    Paso 1. Configuración de exención de NAT

    La exención de NAT es un método de traducción preferido que se utiliza para evitar que el tráfico se enrute a Internet cuando se pretende que fluya a través de un túnel VPN (acceso remoto o sitio a sitio).

    Esto es necesario cuando el tráfico de su red interna está destinado a fluir a través de los túneles sin ninguna traducción.

    1. Navegue hasta Objetos> Red > Agregar red > Agregar objeto como se muestra en la imagen.

    Object creation for VPN pool NAT translations

    2. Vaya a Device > NAT, seleccione la política NAT que utiliza el dispositivo en cuestión y cree una nueva sentencia.

    Nota: El flujo de tráfico va de adentro hacia afuera.

    NAT Exemption interface selection

    3. Seleccione los recursos internos detrás del FTD (origen original y origen traducido) y el destino como el pool local de IP para los usuarios de Anyconnect (Destino original y destino traducido) como se muestra en la imagen.

    NAT Exemption source/destination object selection

    4. Asegúrese de alternar las opciones (como se muestra en la imagen), para habilitar "no-proxy-arp" y "route-lookup" en la regla NAT, seleccione OK como se muestra en la imagen.

    NAT Exemption advance option selection

    5. Este es el resultado de la configuración de la exención de NAT.

    NAT Exemption rule overview

    Los objetos utilizados en la sección anterior son los que se describen a continuación.

    FTDv-Supernet-object

    vpn-pool-object

    Paso 2. Configuración Hairpin

    También conocido como U-turn, este es un método de traducción que permite que el tráfico fluya sobre la misma interfaz en la que se recibe el tráfico.

    Por ejemplo, cuando Anyconnect se configura con una política de túnel dividido completo, se accede a los recursos internos según la política de exención de NAT. Si el tráfico del cliente Anyconnect está destinado a alcanzar un sitio externo en Internet, la horquilla NAT (o giro en U) es responsable de rutear el tráfico desde afuera hacia afuera.

    Se debe crear un objeto de conjunto VPN antes de la configuración NAT.

    1. Cree una nueva sentencia NAT, seleccione Auto NAT Rule en el campo NAT Rule y seleccione Dynamic como el tipo de NAT.

    2. Seleccione la misma interfaz para los objetos de interfaz de origen y de destino (externos):

    Hairpin NAT configuration: interface selection

    3. En la pestaña Traducción, seleccione como Origen Original el objeto vpn-pool y seleccione IP de Interfaz de Destino como Origen Traducido, seleccione Aceptar como se muestra en la imagen.

    Hairpin NAT configuration: Source/destination object and interface configuration

    4. Este es el resumen de la configuración de NAT como se muestra en la imagen.

    NAT-Results

    5. Haga clic en Guardar e Implementar los cambios.

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    Ejecute estos comandos en la línea de comandos de FTD.

    • sh crypto ca certificates
    • show running-config ip local pool
    • show running-config webvpn
    • show running-config tunnel-group
    • show running-config group-policy
    • show running-config ssl
    • show running-config nat

    Troubleshoot

    Actualmente no hay información específica de solución de problemas disponible para esta configuración.</>

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    08-Jun-2023
    nuevo certificado
    2.0
    13-Jan-2022
    Se verificó la información necesaria para volver a publicar.
    1.0
    30-Jul-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Hugo Olguin
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos