Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le déploiement d'un réseau privé virtuel d'accès à distance (VPN RA) sur Firepower Threat Defense (FTD) géré par le gestionnaire de Firepower Device Manager (FDM) exécutant la version 6.5.0 et ultérieure.
Impossible de configurer FTD via FDM pour que les clients Anyconnect se connectent à l'interface externe pendant que la gestion est ouverte via la même interface. Il s'agit d'une limitation connue de FDM. Demande d'amélioration CSCvm76499 a été déposé pour cette question.
Cisco vous recommande d'avoir connaissance de la configuration VPN RA sur FDM.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Authentification du client AnyConnect à l'aide de Local.
Étape 1. Vérifiez que le périphérique est enregistré sous Smart Licensing, comme l'illustre l'image.
Étape 2. Vérifiez que les licences AnyConnect sont activées sur le périphérique, comme l’illustre l’image.
Étape 3. Vérifiez que l'option Fonctions contrôlées par exportation est activée dans le jeton, comme l'illustre l'image.
Accédez à Objets > Réseaux > Ajouter un nouveau réseau. Configurez le pool VPN et les réseaux LAN à partir de l'interface utilisateur FDM. Créez un pool VPN afin d'être utilisé pour l'attribution d'adresses locales à des utilisateurs AnyConnect, comme illustré dans l'image.
Créez un objet pour le réseau local derrière le périphérique FDM, comme l'illustre l'image.
Accédez à Objets > Utilisateurs > Ajouter un utilisateur. Ajoutez des utilisateurs VPN locaux qui se connecteront à FTD via Anyconnect. Créez des utilisateurs locaux comme l'illustre l'image.
Accédez à Objets > Certificats > Ajouter un certificat interne. Configurez un certificat comme indiqué dans l'image.
Téléchargez à la fois le certificat et la clé privée, comme illustré dans l'image.
Le certificat et la clé peuvent être téléchargés par copier-coller ou par le bouton de téléchargement de chaque fichier, comme indiqué dans l'image.
Accédez à Remote Access VPN > Create Connection Profile. Passez en revue l'assistant VPN d'accès à distance sur FDM comme illustré dans l'image.
Créez un profil de connexion et démarrez la configuration comme indiqué dans l'image.
Sélectionnez les méthodes d'authentification comme indiqué dans l'image. Ce guide utilise l'authentification locale.
Sélectionnez l'objet Anyconnect_Pool comme indiqué dans l'image.
Sur la page suivante, un résumé de la stratégie de groupe par défaut s'affiche. Une nouvelle stratégie de groupe peut être créée en appuyant sur la liste déroulante et en sélectionnant l'option Créer une nouvelle stratégie de groupe. Pour ce guide, la stratégie de groupe par défaut sera utilisée. Sélectionnez l'option de modification en haut de la stratégie, comme indiqué dans l'image.
Dans la stratégie de groupe, ajoutez la tunnellisation fractionnée afin que les utilisateurs connectés à Anyconnect n'envoient que le trafic destiné au réseau FTD interne via le client Anyconnect, tandis que tout autre trafic sort de la connexion ISP de l'utilisateur, comme illustré dans l'image.
Sur la page suivante, sélectionnez Anyconnect_Certificate ajouté dans la section certificate. Ensuite, sélectionnez l'interface que le FTD écoutera pour les connexions Anyconnect. Sélectionnez la stratégie de contrôle d'accès de contournement pour le trafic déchiffré (sysopt permit-vpn). Il s'agit d'une commande facultative si sysopt permit-vpn n'est pas sélectionné. Une stratégie de contrôle d'accès doit être créée pour permettre au trafic des clients Anyconnect d'accéder au réseau interne, comme illustré dans l'image.
L'exemption NAT peut être configurée manuellement sous Policies > NAT ou elle peut être configurée automatiquement par l'Assistant. Sélectionnez l'interface interne et les réseaux auxquels les clients Anyconnect doivent accéder, comme illustré dans l'image.
Sélectionnez le package Anyconnect pour chaque système d'exploitation (Windows/Mac/Linux) auquel les utilisateurs se connecteront, comme indiqué dans l'image.
La dernière page présente un résumé de l'ensemble de la configuration. Vérifiez que les paramètres corrects ont été définis et appuyez sur le bouton Terminer et Déployez la nouvelle configuration.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Une fois la configuration déployée, essayez de vous connecter. Si vous avez un FQDN qui se résout à l'IP externe du FTD, saisissez-le dans la zone de connexion Anyconnect. Dans l'exemple ci-dessous, l'adresse IP externe du FTD est utilisée. Utilisez le nom d'utilisateur/mot de passe créé dans la section des objets de FDM, comme illustré dans l'image.
Depuis FDM 6.5.0, il n'y a aucun moyen de surveiller les utilisateurs Anyconnect via l'interface utilisateur graphique FDM. La seule option est de surveiller les utilisateurs Anyconnect via l'interface de ligne de commande. La console CLI de l'interface utilisateur graphique FDM peut également être utilisée pour vérifier que les utilisateurs sont connectés.
Show vpn-sessiondb anyconnect
La même commande peut être exécutée directement à partir de l'interface de ligne de commande.
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Si un utilisateur ne peut pas se connecter au FTD à l'aide de SSL, procédez comme suit pour isoler les problèmes de négociation SSL :
Cette section fournit des directives sur le dépannage des deux problèmes les plus courants des clients VPN AnyConnect et la façon de les résoudre. Un guide de dépannage du client AnyConnect est disponible ici : Guide de dépannage du client VPN AnyConnect
Si un utilisateur rencontre des problèmes de connectivité initiaux, activez debug webvpn anyconnect sur le FTD et analysez les messages de débogage. Les débogages doivent être exécutés sur la CLI du FTD. Utilisez la commande debug webvpn anyconnect 255
Collectez un bundle DART à partir de la machine cliente pour obtenir les journaux de anyconnect. Des instructions sur la collecte d'un bundle DART sont disponibles ici : Collecte de bundles DART
Si une connexion réussit mais que le trafic échoue sur le tunnel VPN SSL, consultez les statistiques de trafic sur le client pour vérifier que le trafic est reçu et transmis par le client. Des statistiques détaillées sur les clients sont disponibles dans toutes les versions d’AnyConnect. Si le client indique que le trafic est en cours d'envoi et de réception, vérifiez le FTD pour le trafic reçu et transmis. Si le FTD applique un filtre, le nom du filtre est affiché et vous pouvez consulter les entrées de la liste de contrôle d'accès pour vérifier si votre trafic est abandonné. Les problèmes courants de trafic rencontrés par les utilisateurs sont les suivants :
Pour plus d'informations sur les VPN d'accès à distance sur le FTD géré par FDM, consultez le guide de configuration complet ici : Remote Access FTD géré par FDM