Configura VPN ad accesso remoto su FTD Gestito da FDM

Opzioni per il download

  • PDF     (1.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.2 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:2 giugno 2025
ID documento:215532

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare la distribuzione di una VPN su FTD gestita dal manager incluso FDM con versione 6.5.0 e successive.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza della configurazione di RAVPN (Virtual Private Network) di accesso remoto su Firepower Device Manager (FDM).

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Firepower Threat Defense (FTD) con versione 6.5.0-115
    • Cisco AnyConnect Secure Mobility Client versione 4.7.01076

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Licenze

    • Firepower Threat Defense registrato nel portale delle licenze intelligenti con l'opzione Esporta funzionalità controllate abilitata (per consentire l'attivazione della scheda di configurazione RAVPN)
    • Una delle licenze AnyConnect abilitata (APEX, Plus o VPN Only)

    Premesse

    La configurazione di FTD tramite FDM crea problemi quando si cerca di stabilire connessioni per i client AnyConnect tramite l'interfaccia esterna e si accede alla gestione tramite la stessa interfaccia. Si tratta di una limitazione nota di FDM. Richiesta di miglioramento. Per questo problema è stato archiviato l'ID bug Cisco CSCvm76499.

    Configurazione

    Esempio di rete

    Autenticazione del client AnyConnect con l'uso di Local.

    Network Diagram

    Verifica delle licenze sull'FTD

    Passaggio 1. Verificare che il dispositivo sia registrato in Smart Licensing, come mostrato nell'immagine.

    Verification of Device Registration in Smart Licensing

    Passaggio 2. Verificare che le licenze AnyConnect siano abilitate sul dispositivo, come mostrato nell'immagine.

    Verification of AnyConnect License Enablement on the Device

    Passaggio 3. Verificare che nel token siano abilitate le funzionalità controllate per l'esportazione, come mostrato nell'immagine.

    Verify Export-Controlled Feature Enablement in Token

    Definizione di reti protette

    Passare aObjects > Networks > Add new Network. Configurare il pool e le reti LAN della VPN dall'interfaccia utente di FDM. Creare un pool VPN da utilizzare per l'assegnazione degli indirizzi locali agli utenti AnyConnect, come mostrato nell'immagine.

    Create VPN Pool for Local Address Assignment in FDM GUI

    Creare un oggetto per la rete locale dietro il dispositivo FDM, come mostrato nell'immagine.

    Create Object for Local Network in FDM GUI

    Crea utenti locali

    Passare aObjects > Users > Add User. Aggiungere gli utenti locali VPN che si connettono a FTD tramite AnyConnect. Creare utenti locali come mostrato nell'immagine.

    Create VPN Local Users for AnyConnect Connection in FDM GUI

    Aggiungi certificato

    Passare aObjects > Certificates > Add Internal Certificate. Configurare un certificato come illustrato nell'immagine.

    Configure Internal Certificate in FDM GUI

    Caricare sia il certificato che la chiave privata, come mostrato nell'immagine.

    Upload Certificate and Private Key in FDM GUI

    Il certificato e la chiave possono essere caricati tramite copia e incolla o tramite il pulsante di caricamento per ciascun file, come mostrato nell'immagine.

    Upload Certificate and Key via Copy-Paste or Upload Button in FDM GUI

    Configura VPN di accesso remoto

    Passare aRemote Access VPN > Create Connection Profile. Passare alla Creazione guidata VPN per Autorità registrazione su FDM come mostrato nell'immagine.

    Create Remote Access VPN Connection Profile with RA VPN Wizard in FDM GUI

    Remote Access VPN Connection Profiles

    Create un profilo di connessione e avviate la configurazione come mostrato nell'immagine.

    Configure Connection Profile in FDM GUI

    Scegliere i metodi di autenticazione come illustrato nell'immagine. In questa guida viene utilizzata l'autenticazione locale.

    Choose Authentication Methods for Remote Access VPN in FDM GUI

    Scegliete l'oggettoAnyconnect_Poolcome mostrato nell'immagine.

    Choose AnyConnect Pool Object in FDM GUI

    Nella pagina successiva verrà visualizzato un riepilogo dei Criteri di gruppo predefiniti. È possibile creare un nuovo criterio di gruppo quando si preme l'elenco a discesa e si sceglie l'opzioneCreate a new Group Policy. In questa guida viene utilizzato il criterio di gruppo predefinito. Scegliere l'opzione edit nella parte superiore del criterio, come mostrato nell'immagine.

    Edit Default Group Policy in FDM GUI

    Nei Criteri di gruppo, aggiungere il tunneling split in modo che gli utenti connessi ad AnyConnect inviino solo il traffico destinato alla rete FTD interna sul client AnyConnect, mentre tutto il resto del traffico esce dalla connessione ISP dell'utente, come mostrato nell'immagine.

    Configure Split Tunneling in Group Policy for AnyConnect Users in FDM GUI

    Nella pagina successiva, scegliere l'interfacciaAnyconnect_Certificateaggiunta nella sezione certificato. Quindi, scegliere l'interfaccia su cui l'FTD resta in ascolto delle connessioni AnyConnect. Scegliere il criterio Bypass Access Control per il traffico decriptato (sysopt permit-vpn). Se non si è scelto questo comando,sysopt permit-vpnè facoltativo. È necessario creare un criterio di controllo dell'accesso che consenta al traffico proveniente dai client AnyConnect di accedere alla rete interna, come mostrato nell'immagine.

    Configure AnyConnect Certificate, Interface, and Access Control Policy in FDM GUI

    L'esenzione NAT può essere configurata manualmente in oppurePolicies > NATautomaticamente dalla procedura guidata. Selezionare l'interfaccia interna e le reti di cui i client AnyConnect hanno bisogno per accedere, come mostrato nell'immagine.

    Configure NAT Exemption for AnyConnect Clients in FDM GUI

    Scegliere il pacchetto AnyConnect per ciascun sistema operativo (Windows/Mac/Linux) a cui gli utenti possono connettersi, come mostrato nell'immagine.

    Choose AnyConnect Packages for Different Operating Systems in FDM GUI

    L'ultima pagina fornisce un riepilogo dell'intera configurazione. Verificare che siano stati impostati i parametri corretti, fare clic sul pulsante Fine e distribuire la nuova configurazione.

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Una volta distribuita la configurazione, tentare la connessione. Se si dispone di un FQDN che si risolve nell'IP esterno dell'FTD, immetterlo nella casella della connessione AnyConnect. Nell'esempio, viene usato l'indirizzo IP esterno dell'FTD. Utilizzare il nome utente e la password creati nella sezione relativa agli oggetti di FDM, come illustrato nell'immagine.

    Verify Connection to AnyConnect with FQDN and User Credentials in FDM GUI

    A partire dalla versione FDM 6.5.0, non è possibile monitorare gli utenti AnyConnect tramite l'interfaccia utente di FDM. L'unica opzione è monitorare gli utenti AnyConnect tramite la CLI. È possibile utilizzare la console CLI della GUI di FDM anche per verificare che gli utenti siano connessi. Utilizzare questo comando, Show vpn-sessiondb anyconnect.

    Monitor AnyConnect Users via CLI in FDM GUI

    lo stesso comando può essere eseguito direttamente dalla CLI.

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    Se un utente non è in grado di connettersi all'FTD con SSL, eseguire la procedura seguente per isolare i problemi di negoziazione SSL:

    1. Verificare che sia possibile eseguire il ping dell'indirizzo IP esterno a FTD tramite il computer dell'utente.
    2. Utilizzare uno sniffer esterno per verificare se l'handshake a tre vie TCP ha esito positivo.

    Problemi del client AnyConnect

    In questa sezione vengono fornite le linee guida per la risoluzione dei due problemi più comuni dei client VPN AnyConnect. Una guida alla risoluzione dei problemi per il client AnyConnect è disponibile qui: Guida alla risoluzione dei problemi dei client VPN AnyConnect.

    Problemi iniziali di connettività

    Se un utente ha problemi di connettività iniziali, abilitare il comando debug AnyConnectwebvpnsull'FTD e analizzare i messaggi di debug. i debug devono essere eseguiti sulla CLI dell'FTD. Usare il comandodebug webvpn anyconnect 255. Raccogliere un bundle DART dal computer client per ottenere i log da AnyConnect. Le istruzioni su come raccogliere un pacchetto DART sono disponibili qui: Raccolta dei bundle DART.

    Problemi specifici del traffico

    Se la connessione ha esito positivo ma il traffico sul tunnel VPN SSL ha esito negativo, esaminare le statistiche sul traffico sul client per verificare che il traffico venga ricevuto e trasmesso dal client. Le statistiche dettagliate sui client sono disponibili in tutte le versioni di AnyConnect. Se il client mostra che il traffico è in fase di invio e ricezione, controllare l'FTD per il traffico ricevuto e trasmesso. Se il FTD applica un filtro, il nome del filtro viene visualizzato ed è possibile controllare le voci dell'ACL per controllare se il traffico viene scartato. Di seguito sono riportati i problemi più comuni che gli utenti riscontrano nel traffico:

    • Problemi di routing dietro l'FTD - La rete interna non è in grado di indirizzare i pacchetti indietro agli indirizzi IP e ai client VPN assegnati.
    • Access Control List che blocca il traffico.
    • Non è possibile ignorare Network Address Translation per il traffico VPN.

    Per ulteriori informazioni sulle VPN ad accesso remoto sull'FTD gestito da FDM, consultare la guida alla configurazione completa qui: FTD ad accesso remoto gestito da FDM.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    02-Jun-2025
    Introduzione, SEO, requisiti di stile e formattazione aggiornati.
    1.0
    18-May-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Cameron Schaeffer
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti