Beveiligde client (AnyConnect) configureren voor externe toegang via VPN op FTD

Downloadopties

  • PDF     (1.5 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:16 juni 2026
Document-id:212424

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt de configuratie beschreven voor Secure Client (AnyConnect) Remote Access VPN op Secure Firewall Threat Defense.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Basiskennis van VPN, TLS en IKEv2
  • Basiskennis van authenticatie, autorisatie en boekhouding (AAA) en RADIUS
  • Ervaring met het Secure Firewall Management Center

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Beveiligde firewall Threat Defense (SFTD) 7.2.5
  • Secure Firewall Management Center (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Dit document biedt een configuratievoorbeeld voor Secure Firewall Threat Defense (FTD) versie 7.2.5 en hoger, waarmee externe toegang tot VPN mogelijk is voor het gebruik van Transport Layer Security (TLS) en Internet Key Exchange versie 2 (IKEv2). Als client kan Secure Client (AnyConnect) worden gebruikt, dat op meerdere platforms wordt ondersteund.

Configuratie

1. Voorwaarden

Ga als volgt door de wizard Externe toegang in Secure Firewall Management Center:

  • Maak een certificaat dat wordt gebruikt voor serververificatie.
  • RADIUS- of LDAP-server configureren voor gebruikersverificatie.
  • Maak een pool van adressen voor VPN-gebruikers.
  • Upload AnyConnect-afbeeldingen voor verschillende platforms.

a) Het SSL-certificaat importeren

Certificaten zijn essentieel bij het configureren van Secure Client. Het certificaat moet een Subject Alternative Name-extensie met DNS-naam en/of IP-adres hebben om fouten in webbrowsers te voorkomen.

Opmerking: Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne tools en buginformatie.

Er zijn beperkingen voor handmatige certificaatregistratie:

  • Bij SFTD heb je het CA-certificaat nodig voordat je de CSR genereert.
  • Als de CSR extern wordt gegenereerd, mislukt de handmatige methode, daarom moet een andere methode worden gebruikt (PKCS12).

Er zijn verschillende methoden om een certificaat op SFTD-apparaat te verkrijgen, maar de veilige en gemakkelijke is om een Certificate Signing Request (CSR) te maken, te ondertekenen met een Certificate Authority (CA) en vervolgens een certificaat te importeren dat is uitgegeven voor openbare sleutel, die in de CSR stond.

Stappen om te voltooien:

  • Navigeer naar Objecten > Objectbeheer > PKI > Cert-inschrijving, klik op Cert-inschrijving toevoegen.
  • Selecteer Inschrijvingstype en plak het certificaat van de certificeringsinstantie (het certificaat dat wordt gebruikt om de CSR te ondertekenen).

CA Certificate Import

  • Ga vervolgens naar het tweede tabblad en selecteer Aangepaste FQDN en vul alle benodigde velden in, bijvoorbeeld:

Certificate Parameters

  • Selecteer op het derde tabblad Sleuteltype, kies naam en grootte. Voor RSA is 2048 bits minimaal.
  • Klik op Opslaan en navigeer naar Apparaten > Certificaten > Toevoegen.
  • Selecteer vervolgens Apparaat en selecteer onder Inschrijving voor cert het vertrouwenspunt dat u zojuist hebt gemaakt en klik op Toevoegen:

Add New Certificate

  • Klik vervolgens naast de naam van het trustpoint op de ID Icon pictogram, dan Ja, en daarna kopiëren CSR naar CA en ondertekenen. Het certificaat moet dezelfde kenmerken hebben als een normale HTTPS-server.
  • Nadat u het certificaat van de CA in base64-indeling hebt ontvangen, selecteert u Bladeren door identiteitscertificaat, selecteert u op de schijf en klikt u op Importeren. Als dat lukt, zie je:

Certificate List


b) RADIUS-server configureren

  • Navigeer naar Objecten > Objectbeheer > RADIUS-servergroep > RADIUS-servergroep toevoegen > +.
  • Vul de naam in en voeg het IP-adres samen met het gedeelde geheim toe en klik op Opslaan:

RADIUS Server Properties

  • Daarna kunt u de server in de lijst zien:

RADIUS Server List

c) Maak een pool van adressen voor VPN-gebruikers

  • Ga naar Objecten > Objectbeheer > Adresgroepen > IPv4-groepen > IPv4-groepen toevoegen.
  • Voer de naam en het bereik in, het masker is niet nodig: 

Address Pool Properties

d) XML-profiel maken

  • Download de profieleditor van de Cisco-site en open deze.
  • Navigeer naar Serverlijst > Toevoegen... 
  • Voer de naam van het beeldscherm en de FQDN in. U kunt de vermeldingen in de serverlijst bekijken:

Profile Editor Server List

  • Klik op OK en Bestand > Opslaan als...  

e) AnyConnect-afbeeldingen uploaden

  • Download pkg-afbeeldingen van de Cisco-site.
  • Ga naar Objecten > Objectbeheer > VPN > AnyConnect-bestand > AnyConnect-bestand toevoegen.
  • Typ de naam en selecteer het PKG-bestand vanaf de schijf, klik op Opslaan:

Secure Client Image Import Form

  • Voeg meer pakketten toe op basis van uw eigen vereisten.

2. Wizard Externe toegang

  • Navigeer naar Apparaten > VPN > Externe toegang > Een nieuwe configuratie toevoegen.
  • Geef het profiel een naam en selecteer FTD-apparaat:

Remote Access Wizard Step 1

  • Typ in de stap Verbindingsprofiel de naam van het verbindingsprofiel, selecteer de eerder gemaakte verificatieserver en adresgroepen:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • Klik op Groepsbeleid bewerken en selecteer op het tabblad AnyConnect de optie Clientprofiel en klik vervolgens op Opslaan:

Profile Selection in Group Policy Properties

  • Selecteer op de volgende pagina AnyConnect-images en klik op Volgende.

Secure Endpoint Image

  • Selecteer in het volgende scherm Netwerkinterface en Apparaatcertificaten:

Network Interface Selection

  • Wanneer alles correct is geconfigureerd, kunt u klikken op Voltooien en vervolgens Implementeren:

The Last Step in Remote Access Wizard

  • Hiermee wordt de volledige configuratie samen met certificaten en AnyConnect-pakketten naar het FTD-toestel gekopieerd.

Connection

Als u verbinding wilt maken met FTD, moet u een browser openen en de DNS-naam of het IP-adres typen dat naar de externe interface verwijst. Meld u vervolgens aan met de referenties die zijn opgeslagen op de RADIUS-server en voer de stappen uit op het scherm. Nadat AnyConnect is geïnstalleerd, moet u hetzelfde adres invoeren in het venster AnyConnect en op Verbinden klikken.

Beperkingen

Momenteel niet ondersteund op FTD, maar beschikbaar op ASA:

  • FTDposture VPN ondersteunt geen groepsbeleidswijziging door dynamische autorisatie of RADIUS-autorisatiewijziging (CoA)

  • Aanpassing AnyConnect (verbetering: Cisco-bug-ID CSCvq87631)
  • AnyConnect-scripts (verbetering: Cisco-bug-ID CSCvt58044)
  • AnyConnect-lokalisatie
  • WSA-integratie
  • Gelijktijdig IKEv2 dynamische crypto-kaart voor RA en L2L VPN (Enhancement: Cisco bug ID CSCvr52047)
  • TACACS, Kerberos - KCD-verificatie en RSA SDI (verbetering: Cisco bug ID CSCvx55859)
  • browserproxy

Veiligheidsoverwegingen

Standaard is de optie Sysopt Connection Permit-vpnoption uitgeschakeld. Dit betekent dat u het verkeer dat afkomstig is uit de pool van adressen op een externe interface moet toestaan via het toegangscontrolebeleid. Hoewel de regel voor filter of toegangscontrole is toegevoegd om alleen VPN-verkeer toe te staan, is het ten onrechte toegestaan als clear-text-verkeer overeenkomt met de regelcriteria.

Er zijn twee manieren om dit probleem aan te pakken. Ten eerste is de aanbevolen optie voor TAC's om Anti-Spoofing (op ASA stond het bekend als Unicast Reverse Path Forwarding - uRPF) in te schakelen voor de buiteninterface, en ten tweede is het mogelijk om sysopt-verbindingsvergunning-vpn in staat te stellen Snort-inspectie volledig te omzeilen. De eerste optie maakt een normale inspectie mogelijk van het verkeer dat van en naar VPN-gebruikers gaat.

a) uRPF inschakelen

  • Maak een nulroute voor het netwerk dat wordt gebruikt voor gebruikers met externe toegang, zoals gedefinieerd in sectie C. Navigeer naar Apparaten > Apparaatbeheer > Bewerken > Routering > Statische route en selecteer Route toevoegen.

New Static Route Properties

  • Schakel vervolgens uRPF in op de interface waar de VPN-verbindingen worden beëindigd. Ga hiervoor naar Apparaten > Apparaatbeheer > Bewerken > Interfaces > Bewerken > Geavanceerd > Beveiligingsconfiguratie > Antispoofing inschakelen

Edit Physical Interface

Wanneer een gebruiker is verbonden, wordt de 32-bits route voor die gebruiker in de routeringstabel geïnstalleerd. Duidelijk tekstverkeer afkomstig van de andere, ongebruikte IP-adressen uit de pool die door uRFP wordt weggelaten. Als u een beschrijving van antispoofing wilt bekijken, raadpleegt u Beveiligingsconfiguratieparameters instellen op Firewall Threat Defense.

b) Systeemverbindingsvergunning-vpn Option inschakelen

  • Er is een optie om te voltooien met de wizard of onder Apparaten > VPN > Externe toegang > VPN-profiel > Toegangsinterfaces.

Bypass Access Control Policy Option Selected

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
7.0
16-Jun-2026
Bijgewerkte spelling, spatiëring, enige grammatica en lichte wijziging in Inleiding.
6.0
05-Dec-2024
Bijgewerkte alt-tekst, linkdoelen, grammatica en opmaak.
5.0
25-Nov-2024
Wijziging van naamgevingsconventie en weerspiegeling van wijzigingen in GUI
4.0
05-Dec-2023
hercertificering
3.0
16-Dec-2022
Herschrijven. Opmaak bijwerken. Hercertificering.
2.0
08-Nov-2022
Bijgewerkte opmaak en gecorrigeerde spelling hercertificering
1.0
07-Nov-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Radoslaw Olszowy
    technisch adviseur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten