Configuration du VPN d'accès à distance sur FTD géré par FDM

Options de téléchargement

  • PDF     (1.1 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (859.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 mai 2020
ID du document:215532

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer le déploiement d'un réseau privé virtuel d'accès à distance (VPN RA) sur Firepower Threat Defense (FTD) géré par le gestionnaire de Firepower Device Manager (FDM) exécutant la version 6.5.0 et ultérieure.

    Informations générales

    Impossible de configurer FTD via FDM pour que les clients Anyconnect se connectent à l'interface externe pendant que la gestion est ouverte via la même interface. Il s'agit d'une limitation connue de FDM. Demande d'amélioration CSCvm76499 a été déposé pour cette question.

    Conditions préalables

    Conditions requises

    Cisco vous recommande d'avoir connaissance de la configuration VPN RA sur FDM.

    Licence

    • FTD enregistré auprès du portail de licences Smart avec Export Controlled Features activé (afin d'autoriser l'activation de l'onglet de configuration VPN RA)
    • Toutes les licences AnyConnect activées (APEX, Plus ou VPN uniquement)

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco FTD version 6.5.0-115
    • Client de mobilité sécurisée Cisco AnyConnect version 4.7.01076

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Diagramme du réseau

    Authentification du client AnyConnect à l'aide de Local.

    Vérifier la licence sur FTD

    Étape 1. Vérifiez que le périphérique est enregistré sous Smart Licensing, comme l'illustre l'image.

    Étape 2. Vérifiez que les licences AnyConnect sont activées sur le périphérique, comme l’illustre l’image.

    Étape 3. Vérifiez que l'option Fonctions contrôlées par exportation est activée dans le jeton, comme l'illustre l'image.

    Définir les réseaux protégés

    Accédez à Objets > Réseaux > Ajouter un nouveau réseau. Configurez le pool VPN et les réseaux LAN à partir de l'interface utilisateur FDM. Créez un pool VPN afin d'être utilisé pour l'attribution d'adresses locales à des utilisateurs AnyConnect, comme illustré dans l'image. 

    Créez un objet pour le réseau local derrière le périphérique FDM, comme l'illustre l'image.

    Créer des utilisateurs locaux

    Accédez à Objets > Utilisateurs > Ajouter un utilisateur. Ajoutez des utilisateurs VPN locaux qui se connecteront à FTD via Anyconnect. Créez des utilisateurs locaux comme l'illustre l'image.

    Ajouter un certificat

    Accédez à Objets > Certificats > Ajouter un certificat interne. Configurez un certificat comme indiqué dans l'image.

    Téléchargez à la fois le certificat et la clé privée, comme illustré dans l'image.

    Le certificat et la clé peuvent être téléchargés par copier-coller ou par le bouton de téléchargement de chaque fichier, comme indiqué dans l'image.

    Configurer un VPN d'accès à distance

    Accédez à Remote Access VPN > Create Connection Profile. Passez en revue l'assistant VPN d'accès à distance sur FDM comme illustré dans l'image. 

    Créez un profil de connexion et démarrez la configuration comme indiqué dans l'image. 

    Sélectionnez les méthodes d'authentification comme indiqué dans l'image. Ce guide utilise l'authentification locale.

    Sélectionnez l'objet Anyconnect_Pool comme indiqué dans l'image.

    Sur la page suivante, un résumé de la stratégie de groupe par défaut s'affiche. Une nouvelle stratégie de groupe peut être créée en appuyant sur la liste déroulante et en sélectionnant l'option Créer une nouvelle stratégie de groupe. Pour ce guide, la stratégie de groupe par défaut sera utilisée. Sélectionnez l'option de modification en haut de la stratégie, comme indiqué dans l'image.

    Dans la stratégie de groupe, ajoutez la tunnellisation fractionnée afin que les utilisateurs connectés à Anyconnect n'envoient que le trafic destiné au réseau FTD interne via le client Anyconnect, tandis que tout autre trafic sort de la connexion ISP de l'utilisateur, comme illustré dans l'image.

    Sur la page suivante, sélectionnez Anyconnect_Certificate ajouté dans la section certificate. Ensuite, sélectionnez l'interface que le FTD écoutera pour les connexions Anyconnect. Sélectionnez la stratégie de contrôle d'accès de contournement pour le trafic déchiffré (sysopt permit-vpn). Il s'agit d'une commande facultative si sysopt permit-vpn n'est pas sélectionné. Une stratégie de contrôle d'accès doit être créée pour permettre au trafic des clients Anyconnect d'accéder au réseau interne, comme illustré dans l'image.

    L'exemption NAT peut être configurée manuellement sous Policies > NAT ou elle peut être configurée automatiquement par l'Assistant. Sélectionnez l'interface interne et les réseaux auxquels les clients Anyconnect doivent accéder, comme illustré dans l'image.

    Sélectionnez le package Anyconnect pour chaque système d'exploitation (Windows/Mac/Linux) auquel les utilisateurs se connecteront, comme indiqué dans l'image.

    La dernière page présente un résumé de l'ensemble de la configuration. Vérifiez que les paramètres corrects ont été définis et appuyez sur le bouton Terminer et Déployez la nouvelle configuration.

    Vérification

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    Une fois la configuration déployée, essayez de vous connecter. Si vous avez un FQDN qui se résout à l'IP externe du FTD, saisissez-le dans la zone de connexion Anyconnect. Dans l'exemple ci-dessous, l'adresse IP externe du FTD est utilisée. Utilisez le nom d'utilisateur/mot de passe créé dans la section des objets de FDM, comme illustré dans l'image.

    Depuis FDM 6.5.0, il n'y a aucun moyen de surveiller les utilisateurs Anyconnect via l'interface utilisateur graphique FDM. La seule option est de surveiller les utilisateurs Anyconnect via l'interface de ligne de commande. La console CLI de l'interface utilisateur graphique FDM peut également être utilisée pour vérifier que les utilisateurs sont connectés.

    Show vpn-sessiondb anyconnect

    La même commande peut être exécutée directement à partir de l'interface de ligne de commande.

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Si un utilisateur ne peut pas se connecter au FTD à l'aide de SSL, procédez comme suit pour isoler les problèmes de négociation SSL :

    1. Vérifiez que l'ordinateur de l'utilisateur peut envoyer une requête ping à l'adresse IP externe du FTD.
    2. Utilisez un analyseur externe pour vérifier si la connexion TCP en trois étapes est réussie.

    Problèmes liés au client AnyConnect

    Cette section fournit des directives sur le dépannage des deux problèmes les plus courants des clients VPN AnyConnect et la façon de les résoudre. Un guide de dépannage du client AnyConnect est disponible ici : Guide de dépannage du client VPN AnyConnect

    Problèmes de connectivité initiale

    Si un utilisateur rencontre des problèmes de connectivité initiaux, activez debug webvpn anyconnect sur le FTD et analysez les messages de débogage. Les débogages doivent être exécutés sur la CLI du FTD. Utilisez la commande debug webvpn anyconnect 255

    Collectez un bundle DART à partir de la machine cliente pour obtenir les journaux de anyconnect. Des instructions sur la collecte d'un bundle DART sont disponibles ici : Collecte de bundles DART

    Problèmes spécifiques au trafic

    Si une connexion réussit mais que le trafic échoue sur le tunnel VPN SSL, consultez les statistiques de trafic sur le client pour vérifier que le trafic est reçu et transmis par le client. Des statistiques détaillées sur les clients sont disponibles dans toutes les versions d’AnyConnect. Si le client indique que le trafic est en cours d'envoi et de réception, vérifiez le FTD pour le trafic reçu et transmis. Si le FTD applique un filtre, le nom du filtre est affiché et vous pouvez consulter les entrées de la liste de contrôle d'accès pour vérifier si votre trafic est abandonné. Les problèmes courants de trafic rencontrés par les utilisateurs sont les suivants :

    • Problèmes de routage derrière le FTD : réseau interne incapable de router les paquets vers les adresses IP et les clients VPN affectés
    • Listes de contrôle d'accès bloquant le trafic
    • Traduction d'adresses réseau non contournée pour le trafic VPN

    Pour plus d'informations sur les VPN d'accès à distance sur le FTD géré par FDM, consultez le guide de configuration complet ici : Remote Access FTD géré par FDM  

    TAC Authored

    Contribution d’experts de Cisco

    • Cameron Schaeffer
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits