はじめに
このドキュメントでは、FMCによって管理されるFirepower Threat Defense(FTD)v6.3でCiscoリモートアクセスVPNソリューション(AnyConnect)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 基本的なリモートアクセスVPN、Secure Sockets Layer(SSL)、およびInternet Key Exchange version 2(IKEv2)の知識
- 認証、認可、およびアカウンティング(AAA)、および RADIUS に関する基本的な知識
- FMCの基礎知識
- FTDの基礎知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco FMC 6.4
- Cisco FTD 6.3
- AnyConnect 4.7
このドキュメントでは、Firepower Management Center(FMC)によって管理されるFirepower Threat Defense(FTD)バージョン6.3でCiscoリモートアクセスVPN(AnyConnect)ソリューションを設定する手順について説明します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントは、FTDデバイスの設定を対象としています。ASAの設定例については、https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.htmlを参照してください。
制限:
現在、次の機能はFTDではサポートされていませんが、ASAデバイスでは引き続き使用できます。
- ダブルAAA認証(FTDバージョン6.5で使用可能)
- ダイナミック アクセス ポリシー
- ホストスキャン
- ISE ポスチャ
- RADIUS CoA
- VPNロードバランサ
- ローカル認証(Firepower Device Manager 6.3で使用可能)Cisco Bug ID CSCvf92680(登録ユーザ専用)
- LDAP属性マップ(FlexConfig、Cisco Bug ID CSCvd64585で利用可能)
- AnyConnectのカスタマイズ
- AnyConnectスクリプト
- AnyConnectのローカリゼーション
- アプリごとのVPN
- SCEPプロキシ
- WSAの統合
- SAML SSO(Cisco Bug ID CSCvq90789)
- RAおよびL2L VPNの同時IKEv2ダイナミック暗号マップ
- AnyConnectモジュール(NAM、Hostscan、AMPイネーブラ、SBL、Umbrella、Webセキュリティなど)DARTは、このバージョンにデフォルトでインストールされる唯一のモジュールです。
- TACACS、Kerberos(KCD認証およびRSA SDI)
- ブラウザプロキシ
設定
FMCでリモートアクセスVPNウィザードを実行するには、次の手順を実行する必要があります。
ステップ 1:SSL証明書のインポート
証明書は、AnyConnectを設定する際に不可欠です。SSLおよびIPSecでサポートされているのは、RSAベースの証明書だけです。
楕円曲線デジタル署名アルゴリズム(ECDSA)証明書はIPSecでサポートされていますが、ECDSAベースの証明書を使用する場合、新しいAnyConnectパッケージまたはXMLプロファイルを展開することはできません。
これはIPSecに使用できますが、XMLプロファイルとともにAnyConnectパッケージを事前展開する必要があります。すべてのXMLプロファイルの更新は、各クライアントに手動でプッシュする必要があります(Cisco Bug ID CSCtx42595)。
さらに、Webブラウザで「信頼できないサーバ証明書」エラーを回避するために、証明書にはDNS名やIPアドレスを持つ共通名(CN)拡張子が含まれている必要があります。
注:FTDデバイスでは、証明書署名要求(CSR)を生成する前に認証局(CA)証明書が必要です。
- CSRが外部サーバ(Windows ServerやOpenSSLなど)で生成される場合、FTDはキーの手動登録をサポートしていないため、手動登録の方法は失敗します。
- PKCS12など、別の方式を使用する必要があります。
手動登録方式でFTDアプライアンスの証明書を取得するには、CSRを生成し、CAで署名してから、ID証明書をインポートする必要があります。
1. Devices > Certificatesの順に移動し、図に示すようにAddを選択します。
2. Deviceを選択し、図に示すように新しいCert Enrollmentオブジェクトを追加します。
3.手動登録タイプを選択し、CA証明書(CSRへの署名を目的とした証明書)を貼り付けます。
4. Certificate Parametersタブを選択し、Include FQDNフィールドで「Custom FQDN」を選択し、図に示すように証明書の詳細を入力します。
5. 「キー」タブを選択し、キーのタイプを選択します。名前とサイズを選択できます。RSAの最小要件は2048バイトです。
6. 「保存」を選択し、デバイスを確認して、「証明書の登録」で作成したトラストポイントを選択し、「追加」を選択して証明書を展開します。
7. 「ステータス」列で「ID」アイコンを選択し、「はい」を選択して、図に示すようにCSRを生成します。
8. CSRをコピーし、任意のCA(GoDaddyやDigiCertなど)で署名します。
9. CAからID証明書を受信したら(Base64形式である必要があります)、Browse Identity Certificateを選択し、ローカルコンピュータで証明書を見つけます。Importを選択します。
10.インポートすると、CA証明書とID証明書の両方の詳細を表示できるようになります。
ステップ 2:RADIUSサーバの設定
FMCによって管理されるFTDデバイスでは、ローカルユーザデータベースはサポートされていません。RADIUSやLDAPなどの別の認証方式を使用する必要があります。
1.図に示すように、Objects > Object Management > RADIUS Server Group > Add RADIUS Server Groupの順に移動します。
2. RADIUSサーバグループに名前を割り当て、RADIUSサーバのIPアドレスと共有秘密(FTDとRADIUSサーバをペアにするには共有秘密が必要)を追加し、このフォームの入力が完了したら、次の図に示すようにSaveを選択します。
3.図に示すように、RADIUSサーバ情報がRADIUSサーバリストで使用できるようになりました。
ステップ 3:IPプールの作成
1. Objects > Object Management > Address Pools > Add IPv4 Poolsの順に移動します。
2. IPアドレスの名前と範囲を割り当てます。Maskフィールドは必須ではありませんが、図に示すように指定できます。
ステップ 4:XMLプロファイルの作成
1. Cisco.comからProfile Editorツールをダウンロードし、アプリケーションを実行します。
2. Profile Editorアプリケーションで、Server Listに移動し、図に示すようにAddを選択します。
3. 表示名、完全修飾ドメイン名(FQDN)またはIPアドレスを割り当て、図に示すようにOKを選択します。
4.エントリがServer Listメニューに表示されます。
5. File > Save asの順に移動します。
注:プロファイルを.xml拡張子の付いた識別しやすい名前で保存します。
ステップ 5:Anyconnect XMLプロファイルのアップロード
1. FMCで、Objects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileの順に移動します。
2.オブジェクトに名前を割り当て、Browseをクリックし、ローカルシステムでクライアントプロファイルを検索して、Saveを選択します。
注意:ファイルタイプとしてAnyconnect Client Profileを選択していることを確認してください。
手順 6:AnyConnectイメージのアップロード
1. CiscoダウンロードWebページからwebdeploy(.pkg)イメージをダウンロードします。
2. Objects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileの順に移動します。
3. Anyconnectパッケージファイルを選択したら、そのファイルに名前を割り当て、ローカルシステムから.pkgファイルを選択します。
4. Saveを選択します。
注:要件(Windows、Mac、Linux)に基づいて、追加のパッケージをアップロードできます。
手順 7:リモートアクセスVPNウィザード
前の手順に基づいて、リモートアクセスウィザードに従うことができます。
1. Devices > VPN > Remote Accessの順に移動します。
2.リモートアクセスポリシーの名前を割り当て、Available DevicesからFTDデバイスを選択します。
3. 接続プロファイル名(接続プロファイル名はトンネルグループ名)を割り当て、図に示すように認証サーバとアドレスプールを選択します。
4.グループポリシーを作成するには、+記号を選択します。
5. (オプション)ローカルIPアドレスプールは、グループポリシー単位で設定できます。設定されていない場合、プールは接続プロファイル(トンネルグループ)で設定されたプールから継承されます。
6.このシナリオでは、すべてのトラフィックがトンネル経由でルーティングされ、IPv4スプリットトンネリングポリシーは図に示すようにトンネル経由のすべてのトラフィックを許可するように設定されます。
7. Anyconnectプロファイルの.xmlプロファイルを選択し、図に示すようにSaveを選択します。
8.動作環境のシステム要件に基づいて必要なAnyConnectイメージを選択し、図に示すようにNextを選択します。
9. Security ZoneとDeviceCertificatesを選択します。
- この設定では、VPNが終端するインターフェイスと、SSL接続時に提示される証明書を定義します。
注:このシナリオでは、FTDはVPNトラフィックを検査しないように設定され、アクセスコントロールポリシー(ACP)オプションはバイパスされます。
10. Finishを選択し、変更を展開します。
- 図に示すように、VPN、SSL証明書、およびAnyConnectパッケージに関連するすべての設定は、FMC Deployを介してプッシュされます。
NAT除外とヘアピン
ステップ 1:NAT 免除の設定
NAT除外は、トラフィックがVPNトンネル(リモートアクセスまたはサイト間)を経由して流れることを目的としているときにインターネットにルーティングされることを防ぐために使用される、推奨される変換方式です。
これは、内部ネットワークからのトラフィックが、変換を行わずにトンネルを通過することを目的としている場合に必要です。
1.図に示すように、Objects > Network > Add Network > Add Objectの順に移動します。
2. Device > NATに移動し、問題のデバイスで使用されているNATポリシーを選択し、新しい文を作成します。
注:トラフィックフローは内部から外部に向かいます。
3.図に示すように、FTDの背後にある内部リソース(元の送信元および変換済みの送信元)と、AnyconnectユーザのIPローカルプールとしての宛先(元の宛先および変換済みの宛先)を選択します。
4.オプションを切り替えてください(図を参照)。NATルールで「no-proxy-arp」と「route-lookup」を有効にするには、図に示すように「OK」を選択します。
5.これはNAT免除の設定の結果です。
前のセクションで使用したオブジェクトは、次のとおりです。
ステップ 2:ヘアピン設定
U-turnとも呼ばれるこの変換方式を使用すると、トラフィックを受信したのと同じインターフェイス上でトラフィックを流すことができます。
たとえば、Anyconnectがフルトンネルスプリットトンネルポリシーで設定されている場合、内部リソースにはNAT除外ポリシーに従ってアクセスされます。Anyconnectクライアントトラフィックがインターネット上の外部サイトに到達することを目的としている場合、ヘアピンNAT(またはUターン)は外部から外部へのトラフィックのルーティングを行います。
VPNプールオブジェクトは、NAT設定の前に作成する必要があります。
1.新しいNATステートメントを作成し、NAT RuleフィールドでAuto NAT Ruleを選択し、NAT TypeとしてDynamicを選択します。
2. 送信元と宛先のインターフェイスオブジェクト(outside)に同じインターフェイスを選択します。
3. Translationタブで、vpn-poolオブジェクトのOriginal Sourceとして選択し、Destination Interface IPをTranslated Sourceとして選択し、図に示すようにOKを選択します。
4.次の図に示すように、NAT設定の要約を示します。
5. 「保存」をクリックし、変更を配置します。
確認
このセクションでは、設定が正常に動作していることを確認します。
FTDコマンドラインで次のコマンドを実行します。
- sh crypto ca certificates
- show running-config ip local pool
- show running-config webvpnを発行します。
- show running-config tunnel-groupを発行します。
- show running-config group-policyを発行します。
- show running-config ssl
- show running-config nat
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。</>