FDM によって管理される FTD の設定 リモートアクセス VPN
目次
概要
この資料にバージョン 6.5.0 および それ 以上を実行しているオン ボックス マネージャ Firepower デバイス マネージャ(FDM)が管理する Firepower Threat Defense (FTD)のリモート アクセス バーチャル・プライベート・ネットワーク(RA VPN)の展開を設定する方法を記述されています。
背景説明
管理が同じインターフェイスによって開く間、Anyconnect クライアントのための FDM によって FTD を外部インタフェースに接続するために設定することが不可能。 これは FDM に関する既知制限事項です。 拡張 要求 CSCvm76499 は
この問題のためにファイルされました。
前提条件
要件
Cisco は FDM の RA VPN 設定のナレッジがあることを推奨します。
ライセンス
- エクスポートのスマートな認可ポータルに登録されていた FTD は有効に なった 機能を規制しました(RA VPN Configuration タブが有効に なるようにするため)
- 有効に なるの AnyConnect ライセンス(頂点、プラスまたは VPN だけ)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- バージョン 6.5.0-115 を実行する Cisco FTD
- Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.7.01076
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
設定
ネットワーク図
ローカルの使用の AnyConnect クライアント認証。
FTD の認可を確認して下さい
ステップ 1.デバイスがイメージに示すようにスマートな認可に登録されていることを確認して下さい。
ステップ 2. AnyConnect ライセンスがイメージに示すようにデバイスで有効に なることを確認して下さい。
ステップ 3.エクスポート制御機能がイメージに示すようにトークンで有効に なることを確認して下さい。
保護されたネットワークを定義して下さい
オブジェクト > ネットワーク > Add に新しいネットワーク ナビゲートして下さい。 FDM GUI からの VPN プールおよび LAN ネットワークを設定して下さい。 VPN プールをイメージに示すように AnyConnect ユーザにローカル アドレス割り当てに使用するために作成して下さい。
イメージに示すように FDM デバイスの背後にあるローカル ネットワークのためのオブジェクトを作成して下さい。
ローカル ユーザの作成
オブジェクト > Users > Add ユーザにナビゲートして下さい。 Anyconnect によって FTD に接続する VPN ローカル ユーザを追加して下さい。 イメージに示すようにローカル ユーザを作成して下さい。
証明書を追加して下さい
オブジェクト > 証明書 > Add に内部 証明書ナビゲートして下さい。 イメージに示すように証明書を設定して下さい。
イメージに示すように証明書およびプライベート キーを両方アップ ロードして下さい。
証明書およびキーはイメージに示すようにコピー アンド ペーストしますまたは各ファイルのための Upload ボタンによってアップ ロードすることができます。
設定 リモートアクセス VPN
リモートアクセス VPN > Create Connection プロファイルへの移動。 イメージに示すように FDM のリモートアクセス VPN ウィザードを通過して下さい。
接続プロファイルを作成し、イメージに示すように設定を開始して下さい。
イメージに示すように認証方式を選択して下さい。 このガイドはローカル認証を使用します。
イメージに示すように Anyconnect_Pool オブジェクトを選択して下さい。
Next ページで、デフォルト グループ ポリシーの要約は表示されます。 新しいグループ ポリシーはドロップダウンを見つけ、Create にオプションを選択することによって新しいグループ ポリシー作成することができます。 このガイドに関しては、デフォルト グループ ポリシーは使用されます。 イメージに示すようにポリシーの上で Edit オプションを選択して下さい。
グループ ポリシーでは、分割されたトンネリングを追加して下さいそうすれば他のトラフィックがすべてイメージに示すようにユーザの ISP 接続出かける間、だけ Anyconnect クライアント上の内部 FTD ネットワークに向かう Anyconnect に接続されたユーザはトラフィックを送信 します。
Next ページで、証明書 セクションに追加される Anyconnect_Certificate を選択して下さい。 それから、FTD が Anyconnect 接続を聞き取るインターフェイスを選択して下さい。 復号化されたトラフィック(sysopt 許可 VPN)にバイパス アクセスコントロール ポリシーを選択して下さい。 これは Anyconnect クライアントからのトラフィックがイメージに示すように内部ネットワークにアクセスするようにする sysopt 許可 VPN がアクセスコントロール ポリシー作成する必要があれば選択されない場合オプションのコマンドです。
NAT 免除はポリシー > NAT の下で手動で設定することができますか、またはウィザードによって自動的に設定することができます。 Anyconnect クライアントがイメージに示すようにアクセスする必要があるネットワークおよび内部インターフェイスを選択して下さい。
その各オペレーティング システム(Windows/Mac/Linux)に Anyconnect パッケージをユーザ接続しますイメージに示すようにと選択して下さい。
最後のページは全体の設定の要約を表示します。 正しいパラメータが設定 され、Finish ボタンを押し、確認して下さい新しい設定をことを展開して下さい。
検証
ここでは、設定が正常に動作していることを確認します。
設定が接続する展開された試みなら。 FTD の外部 IP への解決が Anyconnect 接続盤でそれを入力する FQDN があれば。 下記の例では IP アドレスの外部の FTD は使用されます。 イメージに示すように作成される FDM のオブジェクト セクションで username/password を使用して下さい。
FDM 6.5.0 現在で FDM GUI によって Anyconnect ユーザを監視する方法がありません。 唯一のオプションは CLI によって Anyconnect ユーザを監視することです。 FDM GUI の CLI コンソールがユーザが接続されることを確認するのに同様に使用することができます。
VPNsessiondb anyconnect を示して下さい
同じコマンドは CLI から直接実行することができます。
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
ユーザが SSL を使用して FTD に接続できなければ場合 SSL ネゴシエーション問題を特定するために次の手順に従って下さい:
- ユーザのコンピュータが IP アドレスの外部の FTD を ping できることを確認して下さい。
- TCP 3 ウェイ ハンドシェイクが正常であるかどうか確かめるのに外部スニファーを使用して下さい。
AnyConnect クライアント問題
このセクションは 2 つの最もよくある AnyConnect VPN クライアント問題の解決でガイドラインをそれらを解決する方法を提供し。 AnyConnect クライアントを解決するためのガイドはここに見つけることができます: AnyConnect VPN Client トラブルシューティング ガイド
最初の接続上の問題
ユーザは最初の接続上の問題がある場合、FTD のデバッグ webvpn anyconnect を有効に し、デバッグ メッセージを分析して下さい。 デバッグは FTD の CLI で実行する必要があります。 コマンド デバッグ webvpn anyconnect 255 を使用して下さい
anyconnect からログを得るためにクライアントマシンから投げ矢バンドルを集めて下さい。 方法に関する手順は投げ矢バンドルを集めるここに見つけることができます: 投げ矢バンドルの収集
トラフィック仕様問題
接続が正常が、トラフィックが SSL VPN トンネルに失敗したら、トラフィックがクライアントによって受信されて、送信されていることを確認するためにクライアントのトラフィック 統計を検知 して下さい。 詳しいクライアント統計は AnyConnect のすべてのバージョンで利用できます。 トラフィックは送信 されて、受信されていることをクライアントが示したら、受信されたおよび送信されたトラフィックがあるように FTD を確認して下さい。 FTD がフィルタを適用する場合、フィルタ名前は表記され、トラフィックが廃棄されているかどうか確認するために ACL エントリを検知できます。 ユーザが直面するよくあるトラフィック問題は次のとおりです:
- FTD の後ろのルーティングの問題 -- 割り当てられた IP アドレスおよび VPN クライアントにパケットを戻すことが不可能な内部ネットワーク
- トラフィックをブロックするアクセスコントロール アクセス・コントロール・リスト
- ネットワーク アドレス変換(NAT) VPN トラフィックのためにバイパスされません
FDM によって管理される FTD のリモートアクセス VPN に関するさらに詳しい情報については完全なコンフィギュレーション ガイドをここに見つけて下さい: FDM によって管理されるリモート アクセス FTD
フィードバック