Configurer Anyconnect VPN sur FTD via IKEv2 avec ISE

Introduction

Ce document décrit la configuration de base du VPN d'accès à distance avec authentification IKEv2 et ISE sur FTD géré par le FMC.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• VPN de base, TLS et Internet Key Exchange version 2 (IKEv2)
• Authentification de base, autorisation et comptabilité (AAA) et RADIUS 
• Expérience avec Firepower Management Center (FMC)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

• Cisco Firepower Threat Defense (FTD) 7.2.0
• Cisco FMC 7.2.0
• AnyConnect 4.10.07073
• Cisco ISE 3.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

IKEv2 et SSL (Secure Sockets Layer) sont deux protocoles utilisés pour établir des connexions sécurisées, en particulier dans le contexte des réseaux privés virtuels. IKEv2 fournit des méthodes de cryptage et d'authentification puissantes, offrant un haut niveau de sécurité pour les connexions VPN.

Ce document fournit un exemple de configuration pour FTD version 7.2.0 et ultérieure, qui permet un accès VPN à distance afin d'utiliser la sécurité de la couche transport (TLS) et IKEv2. En tant que client, Cisco AnyConnect peut être utilisé, qui est pris en charge sur plusieurs plates-formes.

Configurer

1. Importez le certificat SSL

Les certificats sont essentiels lorsque AnyConnect est configuré.

L'inscription manuelle des certificats comporte des limites :
1. Sur FTD, un certificat d'autorité de certification (CA) est nécessaire avant qu'une demande de signature de certificat (CSR) ne soit générée.
2. Si le CSR est généré en externe, une autre méthode de PKCS12 est utilisée.

Il existe plusieurs méthodes pour obtenir un certificat sur un appareil FTD, mais la méthode la plus sûre et la plus simple consiste à créer un CSR et à le faire signer par une autorité de certification. Voici comment procéder :

1. Accédez àObjects > Object Management > PKI > Cert Enrollment, puis cliquez surAdd Cert Enrollment.
2. Entrez le nom du point de confianceRAVPN-SSL-cert.

3. Sous l'ongletCA Information, choisissez le type d'inscription commeManualet collez le certificat CA comme illustré dans l'image.

FMC - Certificat CA

4. SousCertificate Parameters, entrez le nom de l'objet. Exemple :

FMC - Paramètres de certificat

5. Sous l'Key onglet, choisissez le type de clé et indiquez un nom et une taille de bit. Pour RSA, 2 048 bits est le minimum.

6. Cliquez surSave.

FMC - Clé de certificat

7. Accédez àDevices > Certificates > Add > New Certificate.

8. SélectionnezDevice. SousCert Enrollment, choisissez le point de confiance créé, puis cliquez surAddcomme illustré dans l'image.

FMC - Inscription de certificat au FTD

9. Cliquez surID, et une invite pour générer CSR s'affiche, choisissezYes.

FMC - Certificat CA inscrit

FMC - Génération de CSR

10. Un CSR est généré et peut être partagé avec l’autorité de certification afin d’obtenir le certificat d’identité.

11. Après avoir reçu le certificat d’identité de l’autorité de certification au format base64, choisissez-le sur le disque en cliquant surBrowse Identity CertificateetImport, comme indiqué dans l’image.

FMC - Importer le certificat d'identité

12. Une fois l'importation réussie, le point de confianceRAVPN-SSL-certest considéré comme :

FMC - Inscription de Trustpoint réussie

2. Configuration du serveur RADIUS

2.1. Gestion du FTD sur FMC

1. Accédez àObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group.

2. Entrez le nomISEet ajoutez des serveurs RADIUS en cliquant sur+.

FMC - Configuration du serveur Radius

3. Mentionnez l'adresse IP du serveur ISE Radius avec le secret partagé (clé) qui est le même que sur le serveur ISE.

4. Choisissez soitRouting soitSpecific Interfacepar le biais duquel le FTD communique avec le serveur ISE.

5. Cliquez surSave  comme indiqué dans l'image.

FMC - Serveur ISE

 6. Une fois enregistré, le serveur est ajouté sous leRADIUS Server Group  comme indiqué dans l'image.

FMC - Groupe de serveurs RADIUS

2.2. Gestion du FTD sur ISE

1. Accédez à Network Devices  et cliquez surAdd.

2. Entrez le nom « Cisco-Radius » du serveur etIP Addressdu client RADIUS qui est l'interface de communication FTD.

3. SousRadius Authentication Settings, ajoutez laShared Secret.

4. Cliquez surSave.

ISE - Périphériques réseau

5. Pour créer des utilisateurs, accédez àNetwork Access > Identities > Network Access Users, puis cliquez sur Add.

6. Créez un nom d'utilisateur et un mot de passe de connexion.

ISE - Utilisateurs

7. Pour configurer la stratégie de base, accédez àPolicy > Policy Sets > Default > Authentication Policy > Default, puis sélectionnezAll_User_ID_Stores.

8. Naviguez jusqu'àPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access, l'image et choisissez-PermitAccessla.

ISE - Politique d'authentification

ISE - Politique d'autorisation

3. Créez un pool d’adresses pour les utilisateurs VPN sur FMC

1. Accédez àObjects > Object Management > Address Pools > Add IPv4 Pools.
2. Entrez le nomRAVPN-Poolet la plage d'adresses, le masque est facultatif.
3. Cliquez sur Enregistrer.

FMC - Pool d'adresses

4. Télécharger des images AnyConnect

1. Accédez àObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Entrez le nomanyconnect-win-4.10.07073-webdeployet cliquez surBrowse afin de choisir le Anyconnect fichier à partir du disque, cliquez surSave comme indiqué dans l'image.

FMC - Image client Anyconnect

5. Créer un profil XML

5.1. Dans l’Éditeur de profil

1. Téléchargez l'Éditeur de profil depuissoftware.cisco.comet ouvrez-le.
2. Accédez à Server List > Add...

3. Entrez le nom d'affichageRAVPN-IKEV2etFQDNainsi que le groupe d'utilisateurs (alias).

4. Choisissez le protocole principal comme IPsec , cliquez  Ok  comme indiqué dans l'image.

Éditeur de profil - Liste des serveurs

5. La liste des serveurs est ajoutée. Enregistrez-le sousClientProfile.xml.

Éditeur de profil - ClientProfile.xml

5.2. Sur FMC

1. Accédez àObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Entrez un nomClientProfileet cliquez surBrowse afin de choisir le fichierClientProfile.xmlà partir du disque.
3. Cliquez sur  Save .

FMC - Profil VPN Anyconnect

6. Configuration de l'accès distant

1. Accédez àDevices > VPN > Remote Accesset cliquez sur+afin d'ajouter un profil de connexion comme indiqué dans l'image.

FMC - Profil de connexion d'accès à distance

2. Entrez le nom du profil de connexionRAVPN-IKEV2et créez une stratégie de groupe en cliquant sur  +dans,  Group Policycomme illustré dans l'image.

FMC - Stratégie de groupe

3. Entrez le nomRAVPN-group-policy, choisissez les protocoles VPN  SSL and IPsec-IKEv2  comme indiqué dans l'image.

FMC - Protocoles VPN

4. SousAnyConnect > Profile, choisissez le profil XMLClientProfiledans la liste déroulante, puis cliquez surSavecomme illustré dans l'image.

FMC - Profil Anyconnect

5. Ajoutez le pool d'adressesRAVPN-Poolen cliquant sur+ as shown in the image.

FMC - Attribution d'adresses client

6. Accédez àAAA > Authentication Method, puis sélectionnezAAA Only.

7. ChoisissezAuthentication ServercommeISE (RADIUS).

FMC : authentification AAA

8. Accédez àAliases , entrez un nom d'aliasRAVPN-IKEV2, qui est utilisé comme groupe d'utilisateurs dansClientProfile.xml.

9. Cliquez surSave.

FMC - Alias

10. Accédez àAccess Interfaces, puis sélectionnez l’interface sur laquelle RAVPN IKEv2 doit être activé.

11. Choisissez le certificat d'identité pour SSL et IKEv2.

12. Cliquez surSave.

FMC - Interfaces d'accès

13. Accédez à Advanced .

14. Ajoutez les images Anyconnect Client en cliquant sur+.

FMC - Package client Anyconnect

15. SousIPsec, ajoutez lesCrypto Mapscomme indiqué dans l'image.

FMC - Crypto-cartes

16. SousIPsec , ajoutez leIKE Policy en cliquant sur+.

FMC - Politique IKE

17. SousIPsec , ajoutez laIPsec/IKEv2 Parameters.

FMC - Paramètres IPsec/IKEv2

18. SousConnection Profile, un nouveau profilRAVPN-IKEV2est créé.

19.SaveCliquer comme indiqué sur l'image.

FMC - Profil de connexion RAVPN-IKEV2

20. Déployez la configuration.

FMC - Déploiement FTD

7. Configuration du profil Anyconnect

Profil sur PC, enregistré sous  C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile .

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization>
	  <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
	  <AutomaticCertSelection UserControllable="true">false
      </AutomaticCertSelection>
	  <ShowPreConnectMessage>false</ShowPreConnectMessage>
	  <CertificateStore>All</CertificateStore>
	  <CertificateStoreOverride>false</CertificateStoreOverride>
	  <ProxySettings>Native</ProxySettings>
	  <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
	  <AuthenticationTimeout>12</AuthenticationTimeout>
	  <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
	  <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
	  <LocalLanAccess UserControllable="true">false</LocalLanAccess>
	  <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
	  <AutoReconnect UserControllable="false">true
		 <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend 
 		  </AutoReconnectBehavior>
	  </AutoReconnect>
	  <AutoUpdate UserControllable="false">true</AutoUpdate>
	  <RSASecurIDIntegration UserControllable="true">Automatic
      </RSASecurIDIntegration>
	  <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
	  <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
	  <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
	  <PPPExclusion UserControllable="false">Disable
		 <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
	  </PPPExclusion>
	  <EnableScripting UserControllable="false">false</EnableScripting>
	  <EnableAutomaticServerSelection UserControllable="false">false
		 <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
		 <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
	  </EnableAutomaticServerSelection>
	  <RetainVpnOnLogoff>false
	  </RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			
    
    
      RAVPN-IKEV2 
    
			
    
    
      ftd.cisco.com 
    
			
    
    
      RAVPN-IKEV2 
    
		        
    
    
      IPsec 
    
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Vérifier

Vous pouvez utiliser cette section afin de confirmer que votre configuration fonctionne correctement.

1. Pour la première connexion, utilisez le FQDN/IP afin d'établir une connexion SSL à partir du PC de l'utilisateur via Anyconnect.
2. Si le protocole SSL est désactivé et que l’étape précédente ne peut pas être effectuée, assurez-vous que le profil clientClientProfile.xmlest présent sur le PC sous le cheminC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile.
3. Entrez le nom d'utilisateur et le mot de passe pour l'authentification une fois invité.
4. Une fois l'authentification réussie, le profil client est téléchargé sur le PC de l'utilisateur.
5. Déconnectez-vous d'Anyconnect.
6. Une fois le profil téléchargé, utilisez la liste déroulante afin de choisir le nom d’hôte mentionné dans le profil client,  RAVPN-IKEV2  afin de vous connecter à Anyconnect à l’aide d’IKEv2/IPsec.
7. Cliquez surConnect.

Liste déroulante Anyconnect

8. Entrez le nom d'utilisateur et le mot de passe d'authentification créés sur le serveur ISE.

Connexion Anyconnect

9. Vérifiez le profil et le protocole (IKEv2/IPsec) utilisés une fois connectés.

Anyconnect Connected

Sorties CLI FTD :

firepower# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect

Username : ikev2-user                    Index        : 9
Assigned IP  : 10.1.1.1                  Public IP    : 10.106.55.22
Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing      : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none
Bytes Tx     : 450                         Bytes Rx     : 656
Pkts Tx      : 6                           Pkts Rx      : 8
Pkts Tx Drop : 0                           Pkts Rx Drop : 0
Group Policy : RAVPN-group-policy          Tunnel Group : RAVPN-IKEV2
Login Time   : 07:14:08 UTC Thu Jan 4 2024
Duration     : 0h:00m:08s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                          VLAN         : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none                         Tunnel Zone  : 0

IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1

AnyConnect-Parent:
Tunnel ID    : 9.1
Public IP    : 10.106.55.22
Encryption.  : none.                           Hashing     : none 

Auth Mode    : userPassword 
Idle Time out: 30 Minutes                      Idle TO Left : 29 Minutes 
Client OS    : win 
Client OS Ver: 10.0.15063 
Client Type  : AnyConnect 
Client Ver   : 4.10.07073 

IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220                            UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption   : AES256                            Hashing      : SHA512
Rekey Int (T): 86400 Seconds                     Rekey Left(T): 86391 Seconds
PRF : SHA512                                     D/H Group    : 19
Filter Name  : 
Client OS    : Windows Client                    Type         : AnyConnect 

IPsecOverNatT:
Tunnel ID    : 9.3
Local Addr   : 0.0.0.0/0.0.0.0/0/0
Remote Addr  : 10.1.1.1/255.255.255.255/0/0
Encryption   : AES-GCM-256                       Hashing       : none 
Encapsulation: Tunnel 
Rekey Int (T): 28800 Seconds                     Rekey Left(T) : 28791 Seconds 
Idle Time Out: 30 Minutes                        Idle TO Left  : 29 Minutes 
Bytes Tx     : 450 Bytes                         Rx            : 656 
Pkts Tx      : 6                                 Pkts Rx       : 8 



firepower# show crypto ikev2 sa 

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                         Remote                                           fvrf/ivrf            Status     Role
16530741  10.197.167.5/4500             10.106.55.22/65220                                                    READY      RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8 


firepower# show crypto ipsec sa 

interface: Outside
    Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
    
      Protected vrf: 
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
      current_peer: 10.106.55.22, username: ikev2-user
      dynamic allocated peer ip: 10.1.1.1
      dynamic allocated peer ip(ipv6): 0.0.0.0
     
      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
      path mtu 1468, ipsec overhead 62(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: DED2CBC8
      current inbound spi : 6F7EFD61

  inbound esp sas:
     spi: 0x6F7EFD61 (1870593377)
     SA State: active
     transform: esp-aes-gcm-256 esp-null-hmac no compression 
     in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
     slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
     sa timing: remaining key lifetime (sec): 28723
     IV size: 8 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x000001FF

  outbound esp sas:
    spi: 0xDED2CBC8 (3738356680)
    SA State: active
    transform: esp-aes-gcm-256 esp-null-hmac no compression 
    in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
    slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
    sa timing: remaining key lifetime (sec): 28723
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap: 
    0x00000000 0x00000001

Journaux ISE :

ISE - Journaux en direct

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255