Configurez l'Accès à distance VPN sur FTD géré par FDM

Introduction

Ce document décrit comment configurer déployer du réseau privé virtuel d'Accès à distance (RA VPN) sur la défense contre des menaces de FirePOWER (FTD) gérée par la version 6.5.0 et ultérieures courante du gestionnaire de périphérique de FirePOWER de gestionnaire de sur-case (FDM).

Informations générales

Incapable de configurer FTD par l'intermédiaire de FDM pour que les clients d'Anyconnect se connectent à l'interface externe tandis que la Gestion est ouverte par l'intermédiaire de la même interface. C'est une limitation connue de FDM. La demande d'amélioration CSCvm76499 a été classée pour cette question.

Conditions préalables

Exigences

Cisco recommande que vous ayez la connaissance de la configuration du VPN de RA sur FDM.

Autorisation

• FTD inscrit au portail intelligent d'autorisation avec l'exportation a contrôlé des caractéristiques activées (afin de permettre l'onglet de configuration du VPN de RA à activer)
• Permis l'uns des d'AnyConnect activés (APEX, plus ou réservés à la VPN)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 6.5.0-115 courante de Cisco FTD
• Version 4.7.01076 de Client à mobilité sécurisé Cisco AnyConnect

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Diagramme du réseau

Authentification client d'AnyConnect avec l'utilisation des gens du pays.

Vérifiez l'autorisation sur le FTD

Étape 1. Vérifiez le périphérique est enregistré à l'autorisation intelligente suivant les indications de l'image.

Étape 2. Vérifiez que des permis d'AnyConnect sont activés sur le périphérique suivant les indications de l'image.

Étape 3. Vérifiez que des caractéristiques contrôlées par l'exportation est activées dans le jeton suivant les indications de l'image.

Définissez les réseaux protégés

Naviguez vers des objets > des réseaux > ajoutent le nouveau réseau. Configurez le groupe VPN et les réseaux de RÉSEAU LOCAL du GUI FDM. Créez un groupe VPN afin de pour être utilisé pour l'affectation d'adresse locale aux utilisateurs d'AnyConnect suivant les indications de l'image. 

Créez un objet pour le réseau local derrière le périphérique FDM suivant les indications de l'image.

Créez les utilisateurs locaux

Naviguez vers des objets > des utilisateurs > ajoutent l'utilisateur. Ajoutez les utilisateurs locaux VPN qui se connecteront à FTD par l'intermédiaire d'Anyconnect. Créez les utilisateurs locaux suivant les indications de l'image.

Ajoutez le certificat

Naviguez vers des objets > des Certificats > ajoutent le certificat interne. Configurez un certificat suivant les indications de l'image.

Téléchargez le certificat et la clé privée suivant les indications de l'image.

Le certificat et la clé peuvent être téléchargés par la copie et la pâte ou le bouton de téléchargement pour chaque fichier suivant les indications de l'image.

Configurez l'Accès à distance VPN

Naviguez vers l'Accès à distance VPN > créent le profil de connexion. Passez par l'assistant de l'Accès à distance VPN sur FDM suivant les indications de l'image. 

Créez un profil de connexion et commencez la configuration suivant les indications de l'image. 

Sélectionnez les méthodes d'authentification suivant les indications de l'image. Ce guide utilisera l'authentification locale.

Sélectionnez l'objet d'Anyconnect_Pool suivant les indications de l'image.

Sur la page suivante, un résumé de la stratégie de groupe par défaut sera affiché. Une nouvelle stratégie de groupe peut être créée en frappant le déroulant et en sélectionnant l'option pour Create une nouvelle stratégie de groupe. Pour ce guide, la stratégie de groupe par défaut sera utilisée. Sélectionnez l'option d'éditer en haut de la stratégie suivant les indications de l'image.

Dans la stratégie de groupe, ajoutez le fractionnement perçant un tunnel ainsi les utilisateurs connectés à Anyconnect enverront seulement le trafic qui est destiné au réseau interne FTD au-dessus du client d'Anyconnect tandis que tout autre trafic sortira la connexion ISP de l'utilisateur suivant les indications de l'image.

Sur la page suivante, sélectionnez l'Anyconnect_Certificate ajouté dans la section de certificat. Puis, sélectionnez l'interface que le FTD écoutera des connexions d'Anyconnect. Sélectionnez la stratégie de contrôle d'accès de contournement pour le trafic déchiffré (sysopt autorisation-VPN). C'est une commande facultative si on doit créer le sysopt autorisation-VPN n'est pas sélectionné une stratégie de contrôle d'accès qui permet au trafic des clients d'Anyconnect pour accéder au réseau interne suivant les indications de l'image.

Le nat exemption peut être configuré manuellement dans le cadre des stratégies > NAT ou il peut être configuré automatiquement par l'assistant. Sélectionnez l'interface interne et les réseaux que les clients d'Anyconnect devront accéder à suivant les indications de l'image.

Sélectionnez le module d'Anyconnect pour chaque système d'exploitation (Windows/MAC/Linux) ce des utilisateurs se connectera à suivant les indications de l'image.

La dernière page donne un résumé de la configuration entière. Confirmez que les paramètres corrects ont été placés et frappent le bouton de finition et déployez la nouvelle configuration.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Une fois que la configuration est tentative déployée de se connecter. Si vous avez un FQDN que les résolutions à l'IP extérieur du FTD le présentent dans le coffret d'Anyconnect. Dans l'exemple ci-dessous, les FTD en dehors de l'adresse IP est utilisés. Utilisez le nom d'utilisateur/mot de passe créé dans la section d'objets de FDM suivant les indications de l'image.

En date de FDM 6.5.0 il n'y a aucune manière de surveiller les utilisateurs d'Anyconnect par le GUI FDM. La seule option est de surveiller les utilisateurs d'Anyconnect par l'intermédiaire du CLI. La console CLI du GUI FDM peut être aussi bien utilisée pour vérifier des utilisateurs sont connectées.

Affichez l'anyconnect de VPN-sessiondb

La même commande peut être exécutée directement du CLI.

> show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : Anyconnect_User        Index        : 15
Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
Bytes Tx     : 38830                  Bytes Rx     : 172
Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
Login Time   : 01:08:10 UTC Thu Apr 9 2020
Duration     : 0h:00m:53s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none                   Tunnel Zone  : 0

Dépanner

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si un utilisateur ne peut pas se connecter au FTD utilisant le SSL, suivez ces étapes pour isoler les questions de négociation SSL :

1. Vérifiez que l'ordinateur de l'utilisateur peut cingler les FTD en dehors de l'adresse IP.
2. Employez un renifleur externe pour vérifier si le connexion TCP à trois est réussi.

Questions de client d'AnyConnect

Cette section fournit des instructions sur dépanner les deux questions de client vpn d'AnyConnect les plus communes et comment les dépanner. Un guide pour dépanner le client d'AnyConnect peut être trouvé ici : Guide de dépannage d'AnyConnect VPN Client

Questions de connectivité initiale

Si un utilisateur a la connectivité initiale émet, active l'anyconnect de debug webvpn sur le FTD et analysez les messages de débogage. Des débogages doivent être exécutés sur le CLI du FTD. Utilisez l'anyconnect 255 de debug webvpn de commande

Collectez un paquet de DART de la machine cliente pour obtenir les logs de l'anyconnect. Des instructions sur la façon dont collecter un paquet de DART peuvent être trouvées ici : Collecter des paquets de DART

Questions de Trafic-particularité

Si une connexion est réussie mais le trafic bascule le tunnel de VPN SSL, regardez les statistiques de trafic sur le client pour vérifier que le trafic est reçu et transmis par le client. Les statistiques détaillées de client sont disponibles dans toutes les versions d'AnyConnect. Si le client prouve que le trafic est envoyé et reçu, vérifiez le FTD pour le trafic reçu et transmis. Si le FTD applique un filtre, le nom du filtre est affiché et vous pouvez regarder les rubriques de liste ACL pour vérifier si votre trafic est abandonné. Les questions communes du trafic que les utilisateurs éprouvent sont :

• Acheminement des questions derrière le FTD -- réseau interne incapable de conduire des paquets de nouveau aux adresses IP et aux clients vpn assignés
• Listes de contrôle d'accès bloquant le trafic
• Traduction d'adresses réseau n'étant pas sauté pour le trafic VPN

Pour plus d'informations concernant l'Accès à distance les VPN sur le FTD ont géré par FDM, trouvent le guide de configuration complète ici : Accès à distance FTD géré par FDM