この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、FMCによって管理されるFTDでのIKEv2およびISE認証を使用したリモートアクセスVPN(RVPN)の基本設定について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
IKEv2とSecure Sockets Layer(SSL)はどちらも、特にVPNのコンテキストでセキュアな接続を確立するために使用されるプロトコルです。IKEv2は強力な暗号化方式と認証方式を提供し、VPN接続に高レベルのセキュリティを提供します。
このドキュメントでは、Transport Layer Security(TLS)とIKEv2を使用するためにリモートアクセスVPNを可能にするFTDバージョン7.2.0以降の設定例を示します。Cisco AnyConnectはクライアントとして使用でき、複数のプラットフォームでサポートされています。
AnyConnectを設定する際には、証明書が不可欠です。
証明書の手動登録には、次のような制限があります。
1. FTDでは、証明書署名要求(CSR)を生成する前に認証局(CA)証明書が必要です。
2. CSRが外部で生成される場合は、別のPKCS12方式が使用されます。
FTDアプライアンスで証明書を取得する方法はいくつかありますが、安全で簡単な方法は、CSRを作成し、CAによって署名を取得することです。その方法を次に示します。
1.に移動しObjects > Object Management > PKI > Cert Enrollment
、をクリックしAdd Cert Enrollment
ます。
2.トラストポイント名を入力しますRAVPN-SSL-cert
。
3.CA Information
のタブで、Enrollment Type asを選択しManual
、図に示すようにCA証明書を貼り付けます。
4. 「Certificate Parameters
」に、サブジェクト名を入力します。例:
5.Key
タブの下で、キーの種類を選択し、名前とビットサイズを指定します。RSAでは、2048ビットが最小です。
6.をクリックしSave
ます。
7.に移動しDevices > Certificates > Add > New Certificate
ます。
8.を選択しDevice
ます。次の図に示すように、で
Cert Enrollment
、作成したトラストポイントAdd
を選択してクリックします。
9.をクリックするとID
、CSRを生成するプロンプトが表示されるので、を選択しYes
ます。
10.アイデンティティ証明書を取得するためにCAと共有できるCSRが生成されます。
11. Base64形式のCAからID証明書を受信した後、図に示すようにをクリックしてディスクからID証明書を選択Browse Identity Certificate
しますImport
。
12.インポートが成功すると、トラストポイントはRAVPN-SSL-cert
次のように表示されます。
1.に移動しますObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group
。
2.名前を入力しISE
、をクリックしてRADIUSサーバーを追加+
します。
3. ISE RadiusサーバのIPアドレスと、ISEサーバと同じ共有秘密(キー)を指定します。
4. FTDがISEサーバと通信するRouting
またはを選択しますSpecific Interface
。
5.図に示Save
すようにクリックします。
6.保存すると、サーバは図に示すようにRADIUS Server Group
の下に追加されます。
1.に移動しNetwork Devices
、をクリックしますAdd
。
2.サーバの名前「Cisco-Radius」と、FTD通信インターフェイスであIP Address
るRADIUSクライアントの名前を入力します。
3.の下にRadius Authentication Settings
、を追加しShared Secret
ます。
4.をクリックしますSave
。
5.ユーザを作成するには、に移動してNetwork Access > Identities > Network Access Users
、をクリックし Add
ます。
6.必要に応じてUsernameandLoginパスワードを作成します。
7.基本ポリシーを設定するには、に移動しPolicy > Policy Sets > Default > Authentication Policy > Default
、を選択しAll_User_ID_Stores
ます。
8.図に示すようにPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access,
に移動PermitAccess
し、選択します。
1.に移動しObjects > Object Management > Address Pools > Add IPv4 Pools
ます。
2.名前RAVPN-Pool
とアドレス範囲を入力します。マスクはオプションです。
3. Saveをクリックします。
1.に移動しObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
ます。
2.名前を入力してanyconnect-win-4.10.07073-webdeploy
をクリックBrowse
し、ディスクからAnyconnectファイルを選択して、図に示すようにクリックSave
します。
1.からプロファイルエディタをダウンロードしsoftware.cisco.com
、開きます。
2.移動Server List > Add
...
3.表示名RAVPN-IKEV2
とFQDN
、ユーザー・グループ(別名)を入力します。
4.図に示すように IPsec
,
、プライマリ・プロトコルOk
をクリックして選択します。
5.サーバリストが追加されます。名前を付けて保存しますClientProfile.xml
。
1.に移動しObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
ます。
2. Nameを入力してClientProfile
をクリックBrowse
し、ディスクからファイルを選択ClientProfile.xml
します。
3.をクリックしSave
ます。
1.図に示すように、接続プロファイルを追加するためにDevices > VPN > Remote Access
に移動し+
、をクリックします。
2.接続プロファイル名を入力しRAVPN-IKEV2
、 +
をクリックしGroup Policy
てください。
3.名前を入力しRAVPN-group-policy
、図に示すようにVPNプロトコルSSL and IPsec-IKEv2
を選択します。
4.AnyConnect > Profile
の下で、ドロップダウンからXMLプロファイルClientProfile
を選択し、図に示すようSave
にクリックします。
5.をクリックしてアドレスプールRAVPN-Pool
を追加+
as shown in the image
します。
6.に移動しAAA > Authentication Method
、を選択しAAA Only
ます。
7. 「Authentication Server
as」を選択しISE (RADIUS)
ます。
8.に移動しAliases
、エイリアス名を入力しますRAVPN-IKEV2
。これは、ClientProfile.xml
でユーザグループとして使用されます。
9.をクリックしSave
ます。
10.に移動しAccess Interfaces
、RAVPN IKEv2を有効にする必要があるインターフェイスを選択します。
11. SSLとIKEv2の両方のID証明書を選択します。
12.をクリックしSave
ます。
13.移動 Advanced
を参照。
14. Anyconnect Clientイメージを追加するには、をクリックし+
ます。
15.の下にIPsec
、図に示すようにCrypto Maps
、を追加します。
16.の下でIPsec
、をクリックして追加IKE Policy
し+
ます。
17.の下にIPsec
、を追加しIPsec/IKEv2 Parameters
ます。
18.の下にConnection Profile
、新しいプロファイルRAVPN-IKEV2
が作成されます。
19.図に示すようにクSave
リックします。
20.設定を展開します。
PC上のプロファイルを以下に保存 C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false </AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry>RAVPN-IKEV2 ftd.cisco.com RAVPN-IKEV2 IPsec </HostEntry> </ServerList> </AnyConnectProfile>
注:クライアントプロファイルがすべてのユーザのPCにダウンロードされたら、グループポリシーでトンネリングプロトコルとしてSSLクライアントをディセーブルにすることを推奨します。これにより、ユーザはIKEv2/IPsecトンネリングプロトコルを使用して排他的に接続できます。
このセクションを使用して、設定が正しく機能していることを確認できます。
1.最初の接続では、FQDN/IPを使用して、ユーザのPCからAnyconnect経由でSSL接続を確立します。
2. SSLプロトコルが無効で、前の手順を実行できない場合は、クライアントプロファイルClientProfile.xml
がパスの下のPC上に存在することを確認しますC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
。
3.プロンプトが表示されたら、認証用のユーザ名とパスワードを入力します。
4.認証に成功すると、クライアントプロファイルがユーザのPCにダウンロードされます。
5. Anyconnectから切断します。
6.プロファイルがダウンロードされたら、IKEv2/IPsecを使用してAnyconnectに接続するために、クライアントプロファイルに記載されていRAVPN-IKEV2
るホスト名をドロップダウンから選択します。
7.をクリックしConnect
ます。
8. ISEサーバで作成された認証用のユーザ名とパスワードを入力します。
9.接続後に使用するプロファイルとプロトコル(IKEv2/IPsec)を確認します。
FTD CLI出力:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ISEログ:
ここでは、設定のトラブルシューティングに使用できる情報を示します。
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
改定 | 発行日 | コメント |
---|---|---|
1.0 |
06-Feb-2024 |
初版 |