ISEを使用したIKEv2経由のFTDへのAnyconnect VPNの設定
はじめに
このドキュメントでは、FMCによって管理されるFTDでのIKEv2およびISE認証を使用したリモートアクセスVPN(RVPN)の基本設定について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 基本的なVPN、TLS、およびインターネットキーエクスチェンジバージョン2(IKEv2)
- 基本認証、許可、アカウンティング(AAA)およびRADIUS
- Firepower Management Center(FMC)の使用経験
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Firepower Threat Defense(FTD)7.2.0
- Cisco FMC 7.2.0
- AnyConnect 4.10.07073
- Cisco ISE 3.1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
IKEv2とSecure Sockets Layer(SSL)はどちらも、特にVPNのコンテキストでセキュアな接続を確立するために使用されるプロトコルです。IKEv2は強力な暗号化方式と認証方式を提供し、VPN接続に高レベルのセキュリティを提供します。
このドキュメントでは、Transport Layer Security(TLS)とIKEv2を使用するためにリモートアクセスVPNを可能にするFTDバージョン7.2.0以降の設定例を示します。Cisco AnyConnectはクライアントとして使用でき、複数のプラットフォームでサポートされています。
設定
1. SSL証明書のインポート
AnyConnectを設定する際には、証明書が不可欠です。
証明書の手動登録には、次のような制限があります。
1. FTDでは、証明書署名要求(CSR)を生成する前に認証局(CA)証明書が必要です。
2. CSRが外部で生成される場合は、別のPKCS12方式が使用されます。
FTDアプライアンスで証明書を取得する方法はいくつかありますが、安全で簡単な方法は、CSRを作成し、CAによって署名を取得することです。その方法を次に示します。
1.に移動しObjects > Object Management > PKI > Cert Enrollment、をクリックしAdd Cert Enrollmentます。
2.トラストポイント名を入力しますRAVPN-SSL-cert。
3.CA Informationのタブで、Enrollment Type asを選択しManual、図に示すようにCA証明書を貼り付けます。
FMC:CA証明書
4. 「Certificate Parameters」に、サブジェクト名を入力します。例:
FMC:証明書パラメータ
5.Key タブの下で、キーの種類を選択し、名前とビットサイズを指定します。RSAでは、2048ビットが最小です。
6.をクリックしSaveます。
FMC:Certificate Key(証明書キー)
7.に移動しDevices > Certificates > Add > New Certificateます。
8.を選択しDeviceます。次の図に示すように、でCert Enrollment、作成したトラストポイントAddを選択してクリックします。
FMC:FTDへの証明書の登録
9.をクリックするとID、CSRを生成するプロンプトが表示されるので、を選択しYesます。
FMC – 証明書CAの登録済み
FMC:CSRの生成
10.アイデンティティ証明書を取得するためにCAと共有できるCSRが生成されます。
11. Base64形式のCAからID証明書を受信した後、図に示すようにをクリックしてディスクからID証明書を選択Browse Identity CertificateしますImport。
FMC:ID証明書のインポート
12.インポートが成功すると、トラストポイントはRAVPN-SSL-cert次のように表示されます。
FMC:トラストポイントの登録に成功
2. RADIUSサーバの設定
2.1. FMCでのFTDの管理
1.に移動しますObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group。
2.名前を入力しISE、をクリックしてRADIUSサーバーを追加+します。
FMC:Radiusサーバの設定
3. ISE RadiusサーバのIPアドレスと、ISEサーバと同じ共有秘密(キー)を指定します。
4. FTDがISEサーバと通信するRouting またはを選択しますSpecific Interface。
5.図に示Save すようにクリックします。
FMC:ISEサーバ
6.保存すると、サーバは図に示すようにRADIUS Server Group の下に追加されます。
FMC:RADIUS Server Group(RADIUSサーバグループ)
2.2. ISEでのFTDの管理
1.に移動しNetwork Devices 、をクリックしますAdd。
2.サーバの名前「Cisco-Radius」と、FTD通信インターフェイスであIP AddressるRADIUSクライアントの名前を入力します。
3.の下にRadius Authentication Settings、を追加しShared Secretます。
4.をクリックしますSave。
ISE:Network Devices(ネットワークデバイス)
5.ユーザを作成するには、に移動してNetwork Access > Identities > Network Access Users、をクリックし Addます。
6.必要に応じてUsernameandLoginパスワードを作成します。
ISE – ユーザ
7.基本ポリシーを設定するには、に移動しPolicy > Policy Sets > Default > Authentication Policy > Default、を選択しAll_User_ID_Storesます。
8.図に示すようにPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access, に移動PermitAccessし、選択します。
ISE:Authentication Policy(認証ポリシー)
ISE:Authorization Policy(認可ポリシー)
3. FMC上のVPNユーザ用のアドレスプールの作成
1.に移動しObjects > Object Management > Address Pools > Add IPv4 Poolsます。
2.名前RAVPN-Poolとアドレス範囲を入力します。マスクはオプションです。
3. Saveをクリックします。
FMC:Address Pool(アドレスプール)
4. AnyConnectイメージのアップロード
1.に移動しObjects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileます。
2.名前を入力してanyconnect-win-4.10.07073-webdeployをクリックBrowse し、ディスクからAnyconnectファイルを選択して、図に示すようにクリックSave します。
FMC:Anyconnectクライアントイメージ
5. XMLプロファイルの作成
5.1.プロファイルエディタ
1.からプロファイルエディタをダウンロードしsoftware.cisco.com、開きます。
2.移動Server List > Add...
3.表示名RAVPN-IKEV2とFQDN、ユーザー・グループ(別名)を入力します。
4.図に示すように IPsec ,、プライマリ・プロトコルOkをクリックして選択します。
プロファイルエディタ – サーバー一覧
5.サーバリストが追加されます。名前を付けて保存しますClientProfile.xml。
プロファイルエディタ – ClientProfile.xml
5.2. FMC上
1.に移動しObjects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileます。
2. Nameを入力してClientProfileをクリックBrowse し、ディスクからファイルを選択ClientProfile.xmlします。
3.をクリックしSaveます。
FMC:Anyconnect VPNプロファイル
6.リモートアクセスの設定
1.図に示すように、接続プロファイルを追加するためにDevices > VPN > Remote Accessに移動し+、をクリックします。
FMC:Remote Access Connection Profile(リモートアクセス接続プロファイル)
2.接続プロファイル名を入力しRAVPN-IKEV2、 +をクリックしGroup Policyてください。
FMC:Group Policy(グループポリシー)
3.名前を入力しRAVPN-group-policy、図に示すようにVPNプロトコルSSL and IPsec-IKEv2を選択します。
FMC:VPNプロトコル
4.AnyConnect > Profileの下で、ドロップダウンからXMLプロファイルClientProfileを選択し、図に示すようSaveにクリックします。
FMC:Anyconnectプロファイル
5.をクリックしてアドレスプールRAVPN-Poolを追加+ as shown in the imageします。
FMC:Client Address Assignment(クライアントアドレス割り当て)
6.に移動しAAA > Authentication Method、を選択しAAA Onlyます。
7. 「Authentication Server as」を選択しISE (RADIUS)ます。
FMC:AAA認証
8.に移動しAliases 、エイリアス名を入力しますRAVPN-IKEV2。これは、ClientProfile.xmlでユーザグループとして使用されます。
9.をクリックしSaveます。
FMC:エイリアス
10.に移動しAccess Interfaces、RAVPN IKEv2を有効にする必要があるインターフェイスを選択します。
11. SSLとIKEv2の両方のID証明書を選択します。
12.をクリックしSaveます。
FMC:アクセスインターフェイス
13.移動 Advanced を参照。
14. Anyconnect Clientイメージを追加するには、をクリックし+ます。
FMC:Anyconnectクライアントパッケージ
15.の下にIPsec、図に示すようにCrypto Maps、を追加します。
FMC:暗号マップ
16.の下でIPsec 、をクリックして追加IKE Policy し+ます。
FMC:IKEポリシー
17.の下にIPsec 、を追加しIPsec/IKEv2 Parametersます。
FMC:IPsec/IKEv2パラメータ
18.の下にConnection Profile、新しいプロファイルRAVPN-IKEV2が作成されます。
19.図に示すようにクSaveリックします。
FMC:接続プロファイルRAVPN-IKEV2
20.設定を展開します。
FMC:FTDの導入
7. Anyconnectプロファイルの設定
PC上のプロファイルを以下に保存 C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile .
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false
</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="true">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
RAVPN-IKEV2
ftd.cisco.com
RAVPN-IKEV2
IPsec
</HostEntry>
</ServerList>
</AnyConnectProfile>
注:クライアントプロファイルがすべてのユーザのPCにダウンロードされたら、グループポリシーでトンネリングプロトコルとしてSSLクライアントをディセーブルにすることを推奨します。これにより、ユーザはIKEv2/IPsecトンネリングプロトコルを使用して排他的に接続できます。
確認
このセクションを使用して、設定が正しく機能していることを確認できます。
1.最初の接続では、FQDN/IPを使用して、ユーザのPCからAnyconnect経由でSSL接続を確立します。
2. SSLプロトコルが無効で、前の手順を実行できない場合は、クライアントプロファイルClientProfile.xmlがパスの下のPC上に存在することを確認しますC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile。
3.プロンプトが表示されたら、認証用のユーザ名とパスワードを入力します。
4.認証に成功すると、クライアントプロファイルがユーザのPCにダウンロードされます。
5. Anyconnectから切断します。
6.プロファイルがダウンロードされたら、IKEv2/IPsecを使用してAnyconnectに接続するために、クライアントプロファイルに記載されていRAVPN-IKEV2るホスト名をドロップダウンから選択します。
7.をクリックしConnectます。
Anyconnectドロップダウン
8. ISEサーバで作成された認証用のユーザ名とパスワードを入力します。
Anyconnect接続
9.接続後に使用するプロファイルとプロトコル(IKEv2/IPsec)を確認します。
Anyconnect接続済み
FTD CLI出力:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ISEログ:
ISE:ライブログ
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
06-Feb-2024 |
初版 |
フィードバック