概要
このドキュメントでは、バージョン6.5.0以降を実行するオンボックスマネージャFirepower Device Manager(FDM)によって管理されるFirepower Threat Defense(FTD)へのリモートアクセス仮想プライベートネットワーク(RA VPN)の展開を設定する方法について説明します。
背景説明
Anyconnectクライアントが外部インターフェイスに接続するようにFDM経由でFTDを設定できない(管理が同じインターフェイス経由で開かれている場合)。これは、FDMの既知の制限です。拡張要求CSCvm76499
この問題に対して提出されています。
前提条件
要件
FDMのRA VPN設定に関する知識があることが推奨されます。
ライセンス
- [Export Controlled Features]を有効にしてスマートライセンスポータルに登録されたFTD(RA VPN設定タブを有効にするため)
- 有効なAnyConnectライセンス(APEX、Plus、またはVPN-Only)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- バージョン6.5.0-115を実行するCisco FTD
- Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.7.01076
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
ローカルを使用したAnyConnectクライアント認証。

FTDでのライセンスの確認
ステップ1:デバイスがスマートライセンスに登録されていることを確認します(図を参照)。

ステップ2:図に示すように、デバイスでAnyConnectライセンスが有効になっていることを確認します。

ステップ3:図に示すように、トークンでExport-controlled Featuresが有効になっていることを確認します。

保護ネットワークの定義
[Objects] > [Networks] > [Add new Network]に移動します。FDM GUIからVPNプールとLANネットワークを構成します。図に示すように、AnyConnectユーザへのローカルアドレス割り当てに使用するVPNプールを作成します。

図に示すように、FDMデバイスの背後にローカルネットワークのオブジェクトを作成します。

ローカル ユーザの作成
[Objects] > [Users] > [Add User]に移動します。Anyconnect経由でFTDに接続するVPNローカルユーザを追加します。図に示すように、ローカルユーザを作成します。

証明書の追加
[Objects] > [Certificates] > [Add Internal Certificate]に移動し、図に示すように証明書を設定します。

図に示すように、証明書と秘密キーの両方をアップロードします。

証明書とキーは、図に示すように、コピー&ペーストまたは各ファイルのアップロードボタンでアップロードできます。

リモートアクセスVPNの設定
[Remote Access VPN] > [Create Connection Profile]に移動します。図に示すように、FDMでリモートアクセスVPNウィザードを実行します。


接続プロファイルを作成し、図に示すように設定を開始します。

図に示すように、認証方式を選択します。このガイドでは、ローカル認証を使用します。

図に示すように、Anyconnect_Poolオブジェクトを選択します。

次のページに、デフォルトのグループポリシーの概要が表示されます。新しいグループポリシーを作成するには、ドロップダウンをクリックし、[Create a new Group Policy]オプションを選択します。このガイドでは、デフォルトのグループポリシーが使用されます。図に示すように、ポリシーの上部にある編集オプションを選択します。

グループポリシーにスプリットトンネリングを追加し、Anyconnectに接続されたユーザはAnyconnectクライアントを介して内部FTDネットワーク宛てのトラフィックのみを送信し、他のすべてのトラフィックはユーザのISP接続から送信します(図を参照)。

次のページで、証明書セクションに追加されたAnyconnect_Certificateを選択します。次に、FTDがAnyconnect接続をリッスンするインターフェイスを選択します。復号化されたトラフィック(sysopt permit-vpn)に対するBypass Access Controlポリシーを選択します。 これは、sysopt permit-vpnが選択されていない場合のオプションのコマンドです。図に示すように、Anyconnectクライアントからのトラフィックが内部ネットワークにアクセスできるようにするアクセスコントロールポリシーを作成する必要があります。

NAT免除は、[Policies] > [NAT] で手動で設定するか、ウィザードで自動的に設定できます。図に示すように、Anyconnectクライアントがアクセスする必要がある内部インターフェイスとネットワークを選択します。

図に示すように、ユーザが接続する各オペレーティングシステム(Windows/Mac/Linux)のAnyconnectパッケージを選択します。

[Last]ページには、設定全体の概要が表示されます。正しいパラメータが設定されていることを確認し、[Finish]ボタンをクリックして、新しい設定を展開します。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
設定が展開されると、接続が試行されます。FTDの外部IPに解決されるFQDNがある場合は、[Anyconnect connection]ボックスに入力します。次の例では、FTDの外部IPアドレスが使用されています。図に示すように、FDMのオブジェクト・セクションで作成したユーザー名/パスワードを使用します。

FDM 6.5.0では、FDM GUIを使用してAnyconnectユーザを監視する方法はありません。唯一のオプションは、CLIを使用してAnyconnectユーザを監視することです。FDM GUIのCLIコンソールを使用して、ユーザが接続されていることを確認できます。
Show vpn-sessiondb anyconnect

同じコマンドをCLIから直接実行できます。
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ユーザがSSLを使用してFTDに接続できない場合は、次の手順に従ってSSLネゴシエーションの問題を切り分けます。
- ユーザのコンピュータがFTDの外部IPアドレスにpingできることを確認します。
- 外部スニファを使用して、TCP 3ウェイハンドシェイクが成功したかどうかを確認します。
AnyConnectクライアントの問題
このセクションでは、AnyConnect VPNクライアントに関する2つの一般的な問題のトラブルシューティングに関するガイドラインと、それらのトラブルシューティング方法について説明します。AnyConnectクライアントのトラブルシューティングガイドは、『AnyConnect VPN Client Troubleshooting Guide』を参照してください
初期接続の問題
ユーザに初期接続の問題がある場合は、FTDでdebug webvpn anyconnectを有効にし、デバッグメッセージを分析します。デバッグは、FTDのCLIで実行する必要があります。debug webvpn anyconnect 255コマンドを使用します
クライアントマシンからDARTバンドルを収集し、anyconnectからログを取得します。DARTバンドルの収集方法については、次のリンクを参照してください。DARTバンドルの収集
トラフィック固有の問題
接続は成功したが、トラフィックがSSL VPNトンネルで失敗している場合は、クライアントのトラフィック統計情報を調べて、トラフィックがクライアントで送受信されていることを確認します。クライアントの詳細な統計情報は、AnyConnectのすべてのバージョンで入手できます。クライアントがトラフィックの送受信を示している場合は、FTDで送受信トラフィックを確認します。FTDがフィルタを適用すると、フィルタ名が表示され、ACLエントリを調べて、トラフィックがドロップされているかどうかを確認できます。ユーザが経験する一般的なトラフィックの問題は次のとおりです。
- FTDの背後にあるルーティングの問題:内部ネットワークが、割り当てられたIPアドレスとVPNクライアントにパケットをルーティングして戻すことができない
- トラフィックをブロックするアクセスコントロールリスト
- ネットワークアドレス変換(NAT)がVPNトラフィックにバイパスされない
FDMによって管理されるFTD上のリモートアクセスVPNの詳細については、次の完全な構成ガイドを参照してください:FDMによって管理されるリモートアクセスFTD