Configure AnyConnect VPN Client en FTD: Exención de NAT y de anclaje

Opciones de descarga

  • PDF     (2.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de enero de 2022
ID del documento:215875

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el procedimiento para configurar la solución VPN de acceso remoto (AnyConnect) de Cisco en Firepower Threat Defense (FTD), versión 6.3, gestionada por Firepower Management Center (FMC).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento de VPN de acceso remoto básico, Secure Sockets Layer (SSL) e Internet Key Exchange versión 2 (IKEv2)
    • Conocimiento básico de autenticación, autorización y contabilidad (AAA) y RADIUS
    • Conocimiento básico de FMC
    • Conocimiento básico de FTD

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco FMC 6.4
    • Cisco FTD 6.3
    • AnyConnect 4.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento tiene como objetivo cubrir la configuración en los dispositivos FTD, si busca el ejemplo de configuración de ASA, consulte el documento: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

    Limitaciones:

    Actualmente, estas funciones no son compatibles con FTD, pero siguen estando disponibles en dispositivos ASA:

    • Autenticación AAA doble (disponible en la versión 6.5 de FTD)
    • Política de acceso dinámico
    • Análisis de host
    • postura de ISE
    • RADIUS CoA
    • equilibrador de carga VPN
    • Autenticación local (disponible en Firepower Device Manager 6.3. Id. de bug Cisco CSCvf92680 )
    • Mapa de atributos LDAP (disponible a través de FlexConfig, ID de bug de Cisco CSCvd64585)
    • Personalización de AnyConnect
    • Guiones de AnyConnect
    • Localización de AnyConnect
    • VPN por aplicación
    • proxy SCEP
    • integración WSA
    • SAML SSO (Id. de bug Cisco CSCvq90789)
    • Mapa criptográfico dinámico IKEv2 simultáneo para RA y VPN L2L
    • Módulos de AnyConnect (NAM, HostScan, AMP Enabler, SBL, Umbrella, Web Security, etc.). DART es el único módulo instalado de forma predeterminada en esta versión.
    • TACACS, Kerberos (Autenticación KCD y SDI RSA)
    • Proxy del explorador

    Configurar

    Para pasar por el asistente de VPN de acceso remoto en el FMC, estos pasos deben completarse:

    Paso 1. Importar un certificado SSL


    Los certificados son esenciales cuando se configura AnyConnect. Sólo los certificados basados en RSA son compatibles con SSL e IPSec.

    Los certificados ECDSA (del inglés Elliptic Curve Digital Signature Algorithm, algoritmo de firma digital de curva elíptica) son compatibles con IPSec; sin embargo, no es posible implementar un nuevo paquete de AnyConnect o un perfil XML cuando se utiliza un certificado basado en ECDSA. Se puede utilizar para IPSec, pero debe implementar previamente los paquetes de AnyConnect junto con el perfil XML, todas las actualizaciones del perfil XML se deben enviar manualmente en cada cliente (Cisco bug ID CSCtx42595).

    Además, el certificado debe contener una extensión de nombre común (CN) con nombre DNS o dirección IP para evitar errores de "certificado de servidor no fiable" en los navegadores web.

    Nota: En los dispositivos FTD, se necesita el certificado de autoridad certificadora (CA) antes de generar la solicitud de firma de certificado (CSR).

    • Si la CSR se genera en un servidor externo (como Windows Server o OpenSSL), el método de inscripción manual tiene la intención de fallar, ya que FTD no admite la inscripción manual de claves. Se debe utilizar un método diferente como PKCS12.
    Para obtener un certificado para el dispositivo FTD con el método de inscripción manual, se debe generar un CSR, firmarlo con una CA y después importar el certificado de identidad.

    1. Navegue hasta Dispositivos > Certificados y seleccione Agregar como se muestra en la imagen.

    Certificates panel

    2. Seleccione el Dispositivo y agregue un nuevo objeto Cert Enrollment como se muestra en la imagen.

    Certificate import menu

    3. Seleccione Tipo de inscripción manual y pegue el certificado de CA (el certificado que está destinado a firmar el CSR).

    Certificate manual import representation

    4. Seleccione la ficha Parámetros de certificado y seleccione "FQDN personalizado" para el campo Incluir FQDN y rellene los detalles del certificado como se muestra en la imagen.

    Certificate parameters


    5. Seleccione la ficha Key y seleccione el tipo de clave, puede elegir el nombre y el tamaño. Para RSA, 2048 bytes es un requisito mínimo.

    6. Seleccione save, confirm the Device y en Cert Enrollment seleccione el trustpoint que acaba de crearse, seleccione Add para implementar el certificado.

    Add new certificate

    7. En la columna Estado, seleccione el icono ID y seleccione para generar la CSR como se muestra en la imagen.

    CSR Generation pop-up

    8. Copie CSR y firme con su CA preferida (por ejemplo, GoDaddy o DigiCert).

    9. Una vez recibido el certificado de identidad de la CA (que debe estar en el formato base64), seleccione Examinar certificado de identidad y localice el certificado en el equipo local. Seleccione Importar.

    Import Identity Certificate

    10. Una vez importados, los detalles del certificado de CA y de ID estarían disponibles para su visualización.

    Certificate import success validation

    Paso 2. Configuración de un servidor RADIUS

    En los dispositivos FTD administrados por FMC, no se admite la base de datos de usuario local, se debe utilizar otro método de autenticación, como RADIUS o LDAP.

    1. Navegue hasta Objetos > Administración de Objetos > Grupo de Servidores RADIUS > Agregar Grupo de Servidores RADIUS como se muestra en la imagen.

    Radius server creation

    2. Asigne un nombre al grupo de servidores Radius y agregue la dirección IP del servidor Radius junto con un secreto compartido (el secreto compartido es obligatorio para vincular el FTD con el servidor Radius), seleccione Guardar una vez que se complete este formulario, como se muestra en la imagen.

    Radius server creation example

    3. La información del servidor RADIUS ahora está disponible en la lista de servidores Radius como se muestra en la imagen.

    Radius advanced menu

    Paso 3. Creación de un Conjunto IP

    1. Navegue hasta Objetos > Administración de Objetos > Conjuntos de Direcciones > Agregar Conjuntos IPv4.

    2. Asigne el nombre y el rango de las direcciones IP, el campo Mask no es obligatorio pero se puede especificar como se muestra en la imagen.

    ip local pool configuration

    Paso 4. Crear un perfil XML

    1. Descargue la herramienta Profile Editor de Cisco.com y ejecute la aplicación.

    2. En la aplicación Profile Editor, navegue hasta Server List y seleccione Add como se muestra en la imagen.

    XML profile: Server list

    3. Asigne un nombre para mostrar, un nombre de dominio completo (FQDN) o una dirección IP y seleccione Aceptar como se muestra en la imagen.

    XML profile: Server entry

    4. La entrada ahora está visible en el menú Lista de servidores:

    XML profile: Server list validation

    5. Vaya a Archivo > Guardar como.

    Nota: Guarde el perfil con un nombre fácilmente identificable con una extensión .xml.

    Paso 5. Cargar perfil XML de Anyconnect

    1. En el FMC, navegue hasta Objetos > Administración de Objetos > VPN > Archivo AnyConnect > Agregar archivo AnyConnect.

    2. Asigne un nombre al objeto y haga clic en Examinar, busque el perfil del cliente en su sistema local y seleccione Guardar.

    Precaución: Asegúrese de seleccionar Anyconnect Client Profile como tipo de archivo.

    AnyConnect File (XML profile) import

    Paso 6. Cargar imágenes de AnyConnect

    1. Descargue las imágenes de webDeploy (.pkg) de la página web de descargas de Cisco.

    AnyConnect image download (from Cisco website)

    2. Navegue hasta Objetos > Administración de Objetos > VPN > Archivo AnyConnect > Agregar archivo AnyConnect.

    3. Asigne un nombre al archivo de paquete de Anyconnect y seleccione el archivo .pkg del sistema local, una vez que se haya seleccionado el archivo.

    4. Seleccione Guardar.

    AnyConnect image upload

    Nota: Se pueden cargar paquetes adicionales según sus necesidades (Windows, Mac, Linux).

    Paso 7. Asistente para VPN de acceso remoto

    Según los pasos anteriores, se puede seguir el asistente de acceso remoto en consecuencia.

    1. Vaya a Devices > VPN > Remote Access.

    2. Asigne el nombre de la política de acceso remoto y seleccione un dispositivo FTD de los Dispositivos disponibles.

    Remote Access FMC wizard: Policy assignment to device

    3. Asigne el nombre del perfil de conexión (el nombre del perfil de conexión es el nombre del grupo de túnel), seleccione Servidor de autenticación y Grupos de direcciones como se muestra en la imagen.

    Remote Access FMC wizard: Connection profile configuration

    4. Seleccione el símbolo + para crear la directiva de grupo.

    Group policy: VPN protocol selection

    5. (Opcional) Un conjunto de direcciones IP locales se puede configurar en base a una política de grupo. Si no se configura, el conjunto se hereda del conjunto configurado en el perfil de conexión (grupo de túnel).

    Group Policy: IP local pool selection

    6. Para este escenario, todo el tráfico se rutea a través del túnel, la política de túnel dividido IPv4 se establece en Permitir todo el tráfico a través del túnel como se muestra en la imagen.

    Group policy: Split tunnel configuration

    7. Seleccione el perfil .xml para el perfil de Anyconnect y seleccione Guardar como se muestra en la imagen.

    Group policy: AnyConnect xml profile selection

    8. Seleccione las imágenes de AnyConnect deseadas en función de los requisitos del sistema operativo, seleccione Next a show in the image.

    Remote Access FMC wizard: AnyConnect image selection

    9. Seleccione los certificados y zona de seguridad:

    • Esta configuración define la interfaz en la que termina la VPN y el certificado que se presenta en una conexión SSL.

    Nota: En este escenario, el FTD se configura para no inspeccionar ningún tráfico VPN, omita la opción de Políticas de control de acceso (ACP).

    Remote Access FMC wizard: Target interface selection

    10. Seleccione Finalizar e Implementar los cambios:

    • Toda la configuración relacionada con los paquetes VPN, SSL y AnyConnect se envía a través de FMC Deploy, como se muestra en la imagen.

    Remote Access FMC wizard: Configuration overview

    Exención NAT y anclaje

    Paso 1. Configuración de exención de NAT

    La exención de NAT es un método de traducción preferido utilizado para evitar que el tráfico se rutee a Internet cuando está destinado a fluir a través de un túnel VPN (acceso remoto o sitio a sitio).

    Esto es necesario cuando el tráfico de su red interna está destinado a fluir por los túneles sin ninguna traducción.

    1. Vaya a Objects> Network > Add Network > Add Object como se muestra en la imagen.

    Object creation for VPN pool NAT translations

    2. Navegue hasta Dispositivo > NAT, seleccione la política NAT utilizada por el dispositivo en cuestión y cree una nueva sentencia.

    Nota: El flujo de tráfico va de adentro hacia afuera.

    NAT Exemption interface selection

    3. Seleccione los recursos internos detrás del FTD (origen original y origen traducido) y el destino como pool local ip para los usuarios de Anyconnect (destino original y destino traducido) como se muestra en la imagen.

    NAT Exemption source/destination object selection

    4. Asegúrese de alternar las opciones (como se muestra en la imagen), para habilitar "no-proxy-arp" y "route-lookup" en la regla NAT, seleccione OK como se muestra en la imagen.

    NAT Exemption advance option selection

    5. Este es el resultado de la configuración de la exención de NAT.

    NAT Exemption rule overview

    Paso 2. Configuración de Hairpin

    También conocido como giro-U, este es un método de traducción que permite que el tráfico fluya sobre la misma interfaz en la que se recibe el tráfico.

    Por ejemplo, cuando Anyconnect se configura con una política de túnel completo dividido, se accede a los recursos internos según la política de exención de NAT. Si el tráfico del cliente de Anyconnect está destinado a alcanzar un sitio externo en Internet, el NAT del terminal (o giro en U) es responsable de rutear el tráfico desde afuera hacia afuera.

    Se debe crear un objeto de conjunto VPN antes de la configuración NAT.

    1. Cree una nueva instrucción NAT, seleccione Regla NAT automática en el campo Regla NAT y seleccione Dinámico como Tipo NAT.

    2. Seleccione la misma interfaz para los objetos de interfaz de origen y de destino (externos):

    Hairpin NAT configuration: interface selection

    3. En la pestaña Traducción, seleccione como Origen Original el objeto vpn-pool y seleccione IP de interfaz de destino como Origen Traducido, seleccione Aceptar como se muestra en la imagen.

    Hairpin NAT configuration: Source/destination object and interface configuration

    4. Este es el resumen de la configuración NAT como se muestra en la imagen.

    Hairpin NAT configuration: Configuration overview

    5. Haga clic en Guardar e Implementar los cambios.

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    Ejecute estos comandos en la línea de comandos de FTD.

    • sh crypto ca certificates
    • show running-config ip local pool
    • show running-config webvpn
    • show running-config tunnel-group
    • show running-config group-policy
    • show running-config ssl
    • show running-config nat

    Troubleshoot

    Actualmente no hay información específica de solución de problemas disponible para esta configuración.</>

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    13-Jan-2022
    Se ha verificado la información necesaria para volver a publicar.
    1.0
    30-Jul-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Hugo Olguin
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos