Configurer un VPN d'accès à distance sur FTD géré par FDM

Options de téléchargement

  • PDF     (1.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 juin 2025
ID du document:215532

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer le déploiement d'un RAVPN sur FTD géré par le gestionnaire FDM sur le routeur qui exécute la version 6.5.0 et ultérieure.

    Conditions préalables

    Exigences

    Cisco recommande que vous ayez connaissance de la configuration du réseau privé virtuel d'accès à distance (RAVPN) sur Firepower Device Manager (FDM).

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Firepower Threat Defense (FTD) qui exécute la version 6.5.0-115
    • Client de mobilité sécurisée Cisco AnyConnect, version 4.7.01076

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Licences

    • Firepower Threat Defense enregistré sur le portail de licences Smart avec les fonctionnalités d'exportation contrôlée activées (afin de permettre l'activation de l'onglet de configuration RAVPN)
    • Toutes les licences AnyConnect activées (APEX, Plus ou VPN uniquement)

    Informations générales

    La configuration de FTD via FDM pose des difficultés lorsque vous tentez d'établir des connexions pour des clients AnyConnect via l'interface externe alors que la gestion est accessible via la même interface. Il s'agit d'une limitation connue de la FDM. L'ID de bogue Cisco CSCvm76499 de la demande d'amélioration a été déposé pour ce problème.

    Configurer

    Diagramme du réseau

    Authentification client AnyConnect avec l’utilisation de Local.

    Network Diagram

    Vérification des licences sur le FTD

    Étape 1 : vérification de l’enregistrement du périphérique dans Smart Licensing (voir l’image)

    Verification of Device Registration in Smart Licensing

    Étape 2. Vérifiez que les licences AnyConnect sont activées sur le périphérique, comme indiqué dans l’image.

    Verification of AnyConnect License Enablement on the Device

    Étape 3. Vérifiez que les fonctionnalités d'exportation contrôlée sont activées dans le jeton, comme indiqué dans l'image.

    Verify Export-Controlled Feature Enablement in Token

    Définition des réseaux protégés

    Accédez àObjects > Networks > Add new Network. Configurez le pool VPN et les réseaux LAN à partir de l'interface utilisateur graphique de FDM. Créez un pool VPN afin d'être utilisé pour l'attribution d'adresses locales aux utilisateurs AnyConnect, comme illustré dans l'image.

    Create VPN Pool for Local Address Assignment in FDM GUI

    Créez un objet pour le réseau local derrière le périphérique FDM, comme illustré dans l'image.

    Create Object for Local Network in FDM GUI

    Créer des utilisateurs locaux

    Accédez àObjects > Users > Add User. Ajoutez des utilisateurs VPN locaux qui se connectent à FTD via AnyConnect. Créez des utilisateurs locaux comme illustré dans l'image.

    Create VPN Local Users for AnyConnect Connection in FDM GUI

    Ajouter un certificat

    Accédez àObjects > Certificates > Add Internal Certificate. Configurez un certificat comme indiqué dans l'image.

    Configure Internal Certificate in FDM GUI

    Téléchargez à la fois le certificat et la clé privée comme indiqué dans l'image.

    Upload Certificate and Private Key in FDM GUI

    Le certificat et la clé peuvent être téléchargés par copier-coller ou par le bouton de téléchargement de chaque fichier, comme illustré dans l'image.

    Upload Certificate and Key via Copy-Paste or Upload Button in FDM GUI

    Configuration du VPN d'accès distant

    Accédez àRemote Access VPN > Create Connection Profile. Parcourez l'Assistant VPN RA sur FDM, comme illustré dans l'image.

    Create Remote Access VPN Connection Profile with RA VPN Wizard in FDM GUI

    Remote Access VPN Connection Profiles

    Créez un profil de connexion et démarrez la configuration comme indiqué dans l'image.

    Configure Connection Profile in FDM GUI

    Choisissez les méthodes d'authentification comme indiqué dans l'image. Ce guide utilise l'authentification locale.

    Choose Authentication Methods for Remote Access VPN in FDM GUI

    Choisissez l'objetAnyconnect_Poolcomme illustré dans l'image.

    Choose AnyConnect Pool Object in FDM GUI

    Un résumé de la stratégie de groupe par défaut s'affiche sur la page suivante. Une nouvelle stratégie de groupe peut être créée lorsque vous cliquez sur la liste déroulante et choisissez l'optionCreate a new Group Policy. Pour ce guide, la stratégie de groupe par défaut est utilisée. Choisissez l'option edit en haut de la politique comme montré dans l'image.

    Edit Default Group Policy in FDM GUI

    Dans la stratégie de groupe, ajoutez le Split tunneling de sorte que les utilisateurs connectés à AnyConnect envoient uniquement le trafic qui est destiné au réseau FTD interne sur le client AnyConnect tandis que tout autre trafic sort de la connexion FAI de l'utilisateur comme illustré dans l'image.

    Configure Split Tunneling in Group Policy for AnyConnect Users in FDM GUI

    Sur la page suivante, choisissez leAnyconnect_Certificateajouté dans la section Certificate. Ensuite, choisissez l'interface sur laquelle le FTD écoute les connexions AnyConnect. Choisissez la stratégie Bypass Access Control pour le trafic déchiffré (sysopt permit-vpn). Il s'agit d'une commande facultative si le n'sysopt permit-vpnest pas choisi. Une stratégie de contrôle d’accès doit être créée pour permettre au trafic provenant des clients AnyConnect d’accéder au réseau interne, comme illustré dans l’image.

    Configure AnyConnect Certificate, Interface, and Access Control Policy in FDM GUI

    L'exemption NAT peut être configurée manuellement sousPolicies > NATou elle peut être configurée automatiquement par l'assistant. Choisissez l’interface interne et les réseaux dont les clients AnyConnect ont besoin pour accéder, comme illustré dans l’image.

    Configure NAT Exemption for AnyConnect Clients in FDM GUI

    Choisissez le package AnyConnect pour chaque système d'exploitation (Windows/Mac/Linux) auquel les utilisateurs peuvent se connecter, comme illustré dans l'image.

    Choose AnyConnect Packages for Different Operating Systems in FDM GUI

    La dernière page donne un résumé de la configuration complète. Vérifiez que les paramètres corrects ont été définis et appuyez sur le bouton Finish et Deploy la nouvelle configuration.

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Une fois la configuration déployée, essayez de vous connecter. Si vous disposez d'un nom de domaine complet (FQDN) qui correspond à l'adresse IP externe du FTD, entrez-le dans la zone Connexion AnyConnect. Dans cet exemple, l'adresse IP externe du FTD est utilisée. Utilisez le nom d'utilisateur/mot de passe créé dans la section des objets de FDM, comme illustré dans l'image.

    Verify Connection to AnyConnect with FQDN and User Credentials in FDM GUI

    Depuis la version 6.5.0 de FDM, il n'existe aucun moyen de surveiller les utilisateurs AnyConnect via l'interface utilisateur graphique de FDM. La seule option consiste à surveiller les utilisateurs AnyConnect via l’interface de ligne de commande. La console CLI de l'interface utilisateur graphique de FDM peut également être utilisée pour vérifier que les utilisateurs sont connectés. Utilisez cette commande, Show vpn-sessiondb anyconnect.

    Monitor AnyConnect Users via CLI in FDM GUI

    La même commande peut être exécutée directement à partir de l'interface de ligne de commande.

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    Dépannage

    Cette section fournit les informations que vous pouvez utiliser pour dépanner votre configuration.

    Si un utilisateur ne parvient pas à se connecter au FTD avec SSL, procédez comme suit afin d'isoler les problèmes de négociation SSL :

    1. Vérifiez que l'adresse IP en dehors de FTD peut faire l'objet d'une requête ping sur l'ordinateur de l'utilisateur.
    2. Utilisez un analyseur externe afin de vérifier si la connexion TCP en trois étapes est réussie.

    Problèmes du client AnyConnect

    Cette section fournit des directives pour dépanner les deux problèmes de client VPN AnyConnect les plus courants. Un guide de dépannage pour le client AnyConnect est disponible ici : Guide de dépannage du client VPN AnyConnect.

    Problèmes de connectivité initiaux

    Si un utilisateur rencontre des problèmes de connectivité initiaux, activez debugwebvpnAnyConnect sur le FTD et analysez les messages de débogage. Les débogages doivent être exécutés sur l'interface de ligne de commande du FTD. Utilisez la commandedebug webvpn anyconnect 255. Collectez un bundle DART à partir de la machine client afin d'obtenir les journaux d'AnyConnect. Les instructions relatives à la collecte d'un bundle DART sont disponibles ici : Collecte des bundles DART.

    Problèmes spécifiques au trafic

    Si une connexion réussit mais que le trafic échoue sur le tunnel VPN SSL, examinez les statistiques de trafic sur le client pour vérifier que le trafic est reçu et transmis par le client. Des statistiques client détaillées sont disponibles dans toutes les versions d’AnyConnect. Si le client indique que du trafic est en cours d’envoi et de réception, recherchez le trafic reçu et transmis dans le FTD. Si le FTD applique un filtre, le nom du filtre s'affiche et vous pouvez consulter les entrées de la liste de contrôle d'accès afin de vérifier si votre trafic est abandonné. Les problèmes de trafic courants rencontrés par les utilisateurs sont les suivants :

    • Problèmes de routage derrière le FTD : le réseau interne ne parvient pas à router les paquets vers les adresses IP et les clients VPN attribués.
    • Listes de contrôle d'accès bloquant le trafic.
    • Traduction d'adresses réseau non contournée pour le trafic VPN.

    Pour plus d'informations sur les VPN d'accès à distance sur le FTD géré par FDM, consultez le guide de configuration complet ici : Remote Access FTD géré par FDM.

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    02-Jun-2025
    Mise à jour de l'introduction, du référencement, des exigences de style et du formatage.
    1.0
    18-May-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Cameron Schaeffer
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits