Configuración de la posición de ISE en VPN de acceso remoto AnyConnect en FTD

Opciones de descarga

  • PDF     (5.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (5.8 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (4.7 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de mayo de 2023
ID del documento:215236

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar Firepower Threat Defence (FTD) versión 6.4.0 para exponer a los usuarios de VPN frente a Identity Services Engine (ISE).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • VPN de acceso remoto AnyConnect
    • Configuración de VPN de acceso remoto en el FTD
    • Identity Services Engine y servicios de estado

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • Software Cisco Firepower Threat Defense (FTD), versiones 6.4.0
    • Software Cisco Firepower Management Console (FMC) versión 6.5.0
    • Microsoft Windows 10 con Cisco AnyConnect Secure Mobility Client versión 4.7
    • Cisco Identity Services Engine (ISE) versión 2.6 con parche 3

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de red y flujo de tráfico

    Flow diagram

    1. El usuario remoto utiliza Cisco Anyconnect para el acceso VPN al FTD.

    2. El FTD envía una solicitud de acceso RADIUS para ese usuario a ISE.

    3. Esa solicitud llega a la política denominada FTD-VPN-Posture-Unknown en ISE. ISE envía una aceptación de acceso RADIUS con tres atributos:

    4. Si se envía la DACL, se intercambia RADIUS Access-Request/Access-Accept para descargar el contenido de la DACL

    5. Cuando el tráfico del usuario VPN coincide con la ACL definida localmente, se redirige al portal de aprovisionamiento de clientes de ISE. ISE aprovisiona el módulo de estado de AnyConnect y el módulo de conformidad.

    6. Una vez instalado el agente en el equipo cliente, busca ISE con sondeos automáticamente. Cuando se detecta ISE correctamente, se comprueban los requisitos de estado en el terminal. En este ejemplo, el agente comprueba si hay software antimalware instalado. A continuación, envía un informe de estado al ISE.

    7. Cuando ISE recibe el informe de estado del agente, ISE cambia el estado de estado de esta sesión y activa el tipo de RADIUS CoA Push con nuevos atributos. Esta vez, se conoce el estado de postura y se aplica otra regla.

    • Si el usuario cumple con la normativa, se envía un nombre de DACL que permite el acceso completo.
    • Si el usuario no cumple con la normativa, se envía un nombre de DACL que permite el acceso limitado.

    8. El FTD elimina la redirección. FTD envía Access-Request para descargar DACL desde ISE. La DACL específica se asocia a la sesión VPN.


    Configuraciones

    FTD/FMC

    Paso 1. Crear un grupo de objetos de red para ISE y servidores de corrección (si los hay). Navegue hasta Objetos > Administración de objetos > Red.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    Paso 2. Crear ACL de redirección. Navegue hasta Objetos > Administración de objetos > Lista de acceso > Extendida. Haga clic en Add Extended Access List y proporcione el nombre de Redirect ACL. Este nombre debe ser el mismo que en el resultado de la autorización de ISE.

    ASA configuration - Create Redirect ACL


    Paso 3. Agregar entradas de ACL de redirección. ‘Haga clic en el botón Add (Agregar).’ Bloquee el tráfico a DNS, ISE y a los servidores de corrección para excluirlos de la redirección. Permitir el resto del tráfico, esto activa la redirección (las entradas de ACL podrían ser más específicas si fueran necesarias).

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    Paso 4. Agregar nodos PSN de ISE. Navegue hasta Objetos > Administración de objetos > Grupo de servidores RADIUS. Haga clic en Agregar grupo de servidores RADIUS, luego indique el nombre, active todas las casillas de verificación y haga clic en el icono más.

    ASA configuration - Add ISE PSN node/nodes

    Paso 5. En la ventana abierta, proporcione la dirección IP PSN de ISE, la clave RADIUS, seleccione Specific Interface y seleccione la interfaz desde la que se puede alcanzar ISE (esta interfaz se utiliza como origen del tráfico RADIUS) y, a continuación, seleccione Redirect ACL que se configuró anteriormente.

    ASA configuration - Provide ISE PSN IP address


    Paso 6. Crear conjunto de direcciones para usuarios de VPN. Navegue hasta Objetos > Administración de objetos > Pools de direcciones > Pools IPv4. Haga clic en Add IPv4 Pools y rellene los detalles.

    ASA configuration - Create Address Pool for VPN users


    Paso 7. Crear paquete de AnyConnect. Navegue hasta Objetos > Administración de objetos > VPN > Archivo de AnyConnect. Haga clic en Agregar archivo de AnyConnect, proporcione el nombre del paquete, descargue el paquete de Descarga de software de Cisco y seleccione el tipo de archivo Imagen de cliente de Anyconnect.

    ASA configuration - Create AnyConnect package


    Paso 8. Navegue hasta Objetos de Certificado > Administración de Objetos > PKI > Inscripción de Certificados. Haga clic en Add Cert Enrollment, proporcione el nombre y elija Self Signed Certificate en Enrollment Type. Haga clic en la ficha Parámetros de certificado y proporcione CN.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    Paso 9. Inicie el asistente para VPN de acceso remoto. Navegue hasta Devices > VPN > Remote Access y haga clic en Add.

    ASA configuration - Launch Remote Access VPN wizard

    Paso 10. Proporcione el nombre, marque SSL como protocolo VPN, elija FTD que se utiliza como concentrador VPN y haga clic en Next.

    ASA configuration - configure FTD use as vpn concentrator

    Paso 11. Proporcione el nombre del perfil de conexión, seleccione Servidores de autenticación/contabilidad, seleccione el pool de direcciones que se configuró previamente y haga clic en Siguiente.

    Nota: No seleccione el servidor de autorización. Activa dos solicitudes de acceso para un único usuario (una con la contraseña de usuario y la segunda con la contraseña de cisco).

    ASA configuration - Connection Profile

    Paso 12. Seleccione el paquete de AnyConnect que se configuró anteriormente y haga clic en Siguiente.

    ASA configuration - AnyConnect package that was configured previously

    Paso 13. Seleccione la interfaz de la que se espera tráfico VPN, seleccione Inscripción de certificados que se configuró anteriormente y haga clic en Siguiente.

    ASA configuration - Select interface from which VPN traffic is expected

    Paso 14. Compruebe la página de resumen y haga clic en Finalizar.

    ASA configuration - Check the summary page


    Paso 15. Implemente la configuración en FTD. Haga clic en Deploy y seleccione FTD que se utiliza como concentrador VPN.

    ASA configuration - Deploy configuration to FTD

    ISE

    Paso 1. Ejecutar actualizaciones de estado. Vaya a Administration > System > Settings > Posture > Updates.

    ISE configuration - Run Posture Updates

    Paso 2. Cargue el módulo de cumplimiento. Vaya a Directiva > Elementos de directiva > Resultados > Aprovisionamiento de cliente > Recursos. Haga clic en Agregar y seleccione Recursos de agente del sitio de Cisco

    ISE configuration - Upload Compliance Module


    Paso 3. Descargue AnyConnect de Cisco Software Download y cárguelo en ISE. Vaya a Directiva > Elementos de directiva > Resultados > Aprovisionamiento de cliente > Recursos.

    Haga clic en Add y seleccione Agent Resources From Local Disk. Elija Cisco Provided Packages en Category, seleccione el paquete de AnyConnect del disco local y haga clic en Submit.

    ISE configuration - Download AnyConnect from Cisco Software Download


    Paso 4. Crear perfil de postura de AnyConnect. Vaya a Directiva > Elementos de directiva > Resultados > Aprovisionamiento de cliente > Recursos.

    Haga clic en Agregar y seleccione Perfil de postura de AnyConnect. Rellene el nombre y el protocolo de posición.

    Bajo *Server name rules put * y put any dummy IP address under Discovery host.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    Paso 5. Navegue hasta Política > Elementos de Política > Resultados > Aprovisionamiento de Cliente > Recursos y cree la configuración de AnyConnect. Haga clic en Agregar y seleccione Configuración de AnyConnect. Seleccione el paquete AnyConnect, proporcione el nombre de la configuración, seleccione el módulo de cumplimiento, verifique la herramienta de diagnóstico e informes, seleccione el perfil de postura y haga clic en Guardar.

    ISE configuration - create AnyConnect Configuration


    Paso 6. Navegue hasta Policy > Client Provisioning y cree Client Provisioning Policy. Haga clic en Edit y luego seleccione Insert Rule Above, proporcione el nombre, seleccione OS y elija AnyConnect Configuration que se creó en el paso anterior.

    ISE configuration - create Client Provisioning Policy.

    Paso 7. Cree la condición de estado en Política > Elementos de política > Condiciones > Condición > Condición Anti-Malware. En este ejemplo, se utiliza "ANY_am_win_inst" predefinido.

    .

    ISE configuration - Create Anti-Malware Condition


    Paso 8. Navegue hasta Política > Elementos de Política > Resultados > Postura > Acciones de Remediación y cree Remediación de Postura. En este ejemplo, se omite. La acción de remediación puede ser un mensaje de texto.


    Paso 9. Vaya a Política > Elementos de Política > Resultados > Postura > Requisitos y cree Requisitos de Postura. Requisito predefinido Se utiliza Any_AM_Installation_Win.

    ISE configuration - create Posture Requirements


    Paso 10. Cree Políticas de Postura en Políticas > Postura. Se utiliza la política de estado predeterminada para cualquier comprobación de AntiMalware para el SO Windows.


    ISE configuration - Create Posture Policies


    Paso 11. Navegue hasta Política > Elementos de Política > Resultados > Autorización > ACL descargables y cree DACL para diferentes estados de estado.

    En este ejemplo:

    • DACL de estado desconocido: permite el tráfico a DNS, PSN y HTTP y HTTPS. 
    • DACL de condición no conforme: deniega el acceso a las subredes privadas y permite únicamente el tráfico de Internet.
    • Permitir todas las DACL: permite todo el tráfico para el estado de cumplimiento de condición. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    Paso 12. Cree tres perfiles de autorización para los estados Postura desconocida, Postura no conforme y Postura conforme. Para hacerlo, navegue hasta Política > Elementos de Política > Resultados > Autorización > Perfiles de Autorización. En el perfil Posture Unknown, seleccione Posture Unknown DACL, verifique Web Redirection, seleccione Client Provisioning, proporcione un nombre de ACL de redirección (que se configura en FTD) y seleccione el portal.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    En el perfil Posture NonCompliant, seleccione DACL para limitar el acceso a la red.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    En el perfil Posture Compliant, seleccione DACL para permitir el acceso completo a la red.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    Paso 13. Cree Políticas de Autorización en Política > Conjuntos de Políticas > Predeterminado > Política de Autorización. Como condición se utiliza Estado de postura y Nombre de grupo de túnel VPN.

    ISE configuration - Create Authorization Policies

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    En ISE, el primer paso de verificación es RADIUS Live Log. Vaya a Operaciones > Registro de actividad de RADIUS. Aquí, el usuario Alice está conectado y se selecciona la política de autorización esperada.

    ISE Live log - user Alice is connected and the expected authorization policy

    La política de autorización FTD-VPN-Posture-Unknown coincide y, como resultado, FTD-VPN-Profile se envía a FTD.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    Estado de estado pendiente.

    ISE detailed live log report - Posture Status Pending
    La sección Resultado muestra qué atributos se envían al FTD. 
    ISE detailed live log report - attributes are sent to FTD

    En FTD, para verificar la conexión VPN, SSH al equipo, ejecute system support diagnostic-cli y luego show vpn-sessiondb detail anyconnect. A partir de esta salida, verifique que los atributos enviados desde ISE se apliquen para esta sesión VPN.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    Se pueden verificar las políticas de aprovisionamiento de clientes. Vaya a Operaciones > Informes > Terminales y usuarios > Aprovisionamiento del cliente.

    ISE report - Client Provisioning policies be verified

    El informe de estado enviado desde AnyConnect se puede comprobar. Vaya a Operaciones > Informes > Terminales y usuarios > Evaluación de estado por terminal.

    ISE report - Posture Report sent from AnyConnect

    Para ver más detalles sobre el informe de estado, haga clic en Detalles.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    Una vez recibido el informe sobre ISE, se actualiza el estado. En este ejemplo, el estado de estado es compatible y CoA Push se activa con un nuevo conjunto de atributos.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    Verifique en el FTD que la nueva ACL de redireccionamiento y la URL de redireccionamiento se eliminen para la sesión VPN y que se aplique PermitAll DACL.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    Troubleshoot

    En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

    Para obtener un flujo de estado detallado y solucionar problemas de AnyConnect e ISE, consulte este enlace: Comparación del estilo de postura de ISE para Pre y Post 2.2.

    • Túnel Derramado

    Uno de los problemas comunes, cuando hay un túnel de escupir se configura. En este ejemplo, se utiliza la directiva de grupo predeterminada, que establece túneles para todo el tráfico. En caso de que solo se tunelice tráfico específico, los sondeos de AnyConnect (enroll.cisco.com y host de detección) deben pasar a través del túnel, además del tráfico a ISE y otros recursos internos.

    Para verificar la política de túnel en FMC, primero, verifique qué política de grupo se utiliza para la conexión VPN. Vaya a Devices > VPN Remote Access.

    FTD GUI - check the tunnel policy on FMC

    Luego, navegue hasta Objetos > Administración de objetos > VPN > Política de grupo y haga clic en Política de grupo configurada para VPN.

    FTD GUI -check the tunnel policy on FMC

    • Identidad NAT

    Otro problema común, cuando el tráfico de retorno de los usuarios de VPN se traduce con el uso de una entrada de NAT incorrecta. Para solucionar este problema, la identidad NAT debe crearse en un orden apropiado.

    Primero, verifique las reglas NAT para este dispositivo. Navegue hasta Devices > NAT y luego haga clic en Add Rule para crear una nueva regla.

    FTD GUI -check NAT rules for this device

    En la ventana abierta, en la pestaña Objetos de interfaz, seleccione Zonas de seguridad. En este ejemplo, la entrada NAT se crea de ZONE-INSIDE a ZONE-OUTSIDE.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    En la pestaña Translation, seleccione los detalles del paquete original y traducido. Como es identidad NAT, el origen y el destino se mantienen sin cambios:

    FTD GUI -Translation tab

    En la pestaña Advanced, marque las casillas de verificación como se muestra en esta imagen:

    FTD GUI -Advanced tab

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    25-May-2023
    Recertificación
    2.0
    22-Oct-2021
    Campo de autorización eliminado y ACL corregido.
    1.0
    07-Feb-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Farid Yusifov
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos