Configurer un port personnalisé pour RAVPN sur FTD géré par FMC

Options de téléchargement

  • PDF     (400.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (235.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (179.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:24 mars 2025
ID du document:222890

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la procédure pour configurer le port personnalisé pour SSL et IKEv2 AnyConnect sur Firepower Threat Defense (FTD) géré par FMC.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Compréhension de base du VPN d'accès à distance (RAVPN)
    • Expérience avec Firepower Management Center (FMC)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : 

    • Cisco FTD - 7,6
    • Cisco FMC - 7,6
    • Windows 10

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurations

    Changement de port SSL/DTLS pour AnyConnect

    1. Accédez à Devices > VPN > Remote Access et modifiez la stratégie d'accès à distance existante. 

    2. Accédez à la section Interfaces d'accès et changez le numéro de port d'accès Web et le numéro de port DTLS sous les paramètres SSL pour un port de votre choix. 

    SSL and DTLS Port Change for AnyConnectChangement de port SSL et DTLS pour AnyConnect

    3. Enregistrez la configuration.

    Changement de port IKEv2 pour AnyConnect

    1. Accédez à Devices > VPN > Remote Access et modifiez la stratégie d'accès à distance existante. 

    2. Accédez à la section Advanced, puis à IPsec > Crypto Maps. Modifiez la stratégie et remplacez le port par le port souhaité.

    IKEv2 Port Change for AnyConnectChangement de port IKEv2 pour AnyConnect

    3. Enregistrez la configuration et déployez.

    note-icon

    Remarque : Lorsque vous utilisez un port personnalisé avec des profils client AnyConnect, notez que le champ d'adresse d'hôte dans la liste des serveurs doit avoir X.X.X.X : port (192.168.50.5:444) pour la connectivité.

    Vérifier

    1. Après le déploiement, la configuration peut être vérifiée avec les commandes show run webvpn et show run crypto ikev2 :

    show run webvpn
    webvpn
    port 444  <----- Custom Port that has been configured for SSL
    enable outside
    dtls port 444 <----- Custom Port that has been configured for DTLS
    http-headers
      hsts-server
       enable
       max-age 31536000
       include-sub-domains
       no preload
      hsts-client
       enable
      x-content-type-options
      x-xss-protection
      content-security-policy
    anyconnect image disk0:/csm/cisco-secure-client-win-X.X.X.X-webdeploy-k9.pkg 1 regex "Windows"
    anyconnect enable
    tunnel-group-list enable
    cache
      disable
    error-recovery disable
    > show run crypto ikev2
    crypto ikev2 policy 10
     encryption aes-gcm-256 aes-gcm-192 aes-gcm
     integrity null
     group 21 20 19 16 15 14
     prf sha512 sha384 sha256 sha
     lifetime seconds 86400
    crypto ikev2 enable outside client-services port 444 <----- Custom Port configured for IKEv2 Client Services

    2. Vérifiez en accédant à l'accès à distance à partir du navigateur/de l'application AnyConnect avec un port personnalisé :

    Verify by Accessing AnyConnect with Custom PortVérifiez en accédant à AnyConnect avec un port personnalisé

    Dépannage

    • Assurez-vous que le port utilisé dans la configuration de l'accès à distance n'est pas utilisé dans d'autres services.
    • Assurez-vous que le port n'est pas bloqué par le FAI ou tout périphérique intermédiaire.
    • Les captures sur FTD peuvent être effectuées pour vérifier si les paquets atteignent le pare-feu et si la réponse est envoyée ou non.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    24-Mar-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ashitha Kotaru
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco