AnyConnect VPN met FTD configureren via IKEv2 met ISE

Inleiding

Dit document beschrijft de basisconfiguratie van Remote Access VPN met IKEv2- en ISE-verificatie op FTD die wordt beheerd door het FMC.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Basis VPN, TLS en Internet Key Exchange versie 2 (IKEv2)
• Basisverificatie, autorisatie en accounting (AAA) en RADIUS 
• Ervaring met Firepower Management Center (FMC)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende softwareversies:

• Cisco Firepower Threat Defence (FTD) 7.2.0
• Cisco VCC 7.2.0
• AnyConnect 4.10.07073
• Cisco ISE-lijnkaart 3.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

IKEv2 en Secure Sockets Layer (SSL) zijn beide protocollen die worden gebruikt voor het opzetten van beveiligde verbindingen, met name in de context van VPN’s. IKEv2 biedt sterke encryptie- en verificatiemethoden die een hoog beveiligingsniveau voor VPN-verbindingen bieden.

Dit document biedt een configuratievoorbeeld voor FTD versie 7.2.0 en hoger, die externe toegang tot VPN biedt om Transport Layer Security (TLS) en IKEv2 te gebruiken. Als client kan Cisco AnyConnect worden gebruikt, wat op meerdere platforms wordt ondersteund.

Configureren

1. Voer het SSL-certificaat in

Certificaten zijn essentieel wanneer AnyConnect is geconfigureerd.

Er zijn beperkingen aan handmatige certificaatinschrijving:
1. Op de FTD is een certificaat van de certificeringsinstantie (CA) vereist voordat een verzoek tot ondertekening van het certificaat (CSR) wordt gegenereerd.
2. Indien de MVO extern wordt gegenereerd, wordt een andere methode van PKCS12 gebruikt.

Er zijn verschillende methoden om een certificaat op FTD-apparaat te verkrijgen, maar de veilige en gemakkelijke manier is om een CSR te maken en het ondertekend te krijgen door een CA. Dit is de manier om dat te doen:

1. Navigeer naarObjects > Object Management > PKI > Cert Enrollmenten klik opAdd Cert Enrollment.
2. Voer de naam van het trustpoint inRAVPN-SSL-cert.

3. Kies onder hetCA Informationtabblad Inschrijftype alsManualen plak het CA-certificaat zoals in de afbeelding.

VCC - CA-certificaat

4. Voer onderCertificate Parametersde onderwerpnaam in. Voorbeeld:

VCC - certificaatparameters

5. Kies onder hetKey tabblad het sleuteltype en geef een naam en bitgrootte op. Voor RSA zijn 2048 bits het minimum.

6. Klik opSave.

VCC - certificaatsleutel

7. Navigeer naarDevices > Certificates > Add > New Certificate.

8. KiesDevice. Kies onderCert Enrollment, het gemaakte trustpoint en klikAddzoals in de afbeelding.

FMC - Inschrijving certificaat bij FTD

9. Klik opID, en er wordt een melding getoond om MVO te genereren, kiesYes.

VCC - Certificaat CA ingeschreven

VCC - CSR genereren

10. Er wordt een MVO gegenereerd die met de bevoegde instantie kan worden gedeeld om het identiteitsbewijs te verkrijgen.

11. Nadat u het identiteitsbewijs van CA in het base64-formaat hebt ontvangen, kiest u dit op de schijf door opBrowse Identity CertificateenImportzoals in het beeld te klikken.

VCC - Identificatiecertificaat voor invoer

12. Zodra de invoer succesvol is, wordt het trustpointRAVPN-SSL-certals volgt beschouwd:

FMC - Trustpoint inschrijving geslaagd

2. RADIUS-server configureren

2.1. FTD op het VCC beheren

1. Navigeer naarObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group.

2. Voer de naam inISEen voeg RADIUS-servers toe door op+te klikken.

FMC - Configuratie van RADIUS-server

3. Vermeld het IP-adres van de ISE Radius-server en het gedeelde geheim (sleutel), dat hetzelfde is als op de ISE-server.

4. KiesRouting ofSpecific Interfacedoor welke het FTD communiceert met de ISE-server.

5. KlikSave  zoals in de afbeelding.

FMC - ISE-server

 6. Zodra de server is opgeslagen, wordt deze toegevoegd onder de afbeeldingRADIUS Server Group  zoals in de afbeelding wordt weergegeven.

FMC - RADIUS-servergroep

2.2. FTD beheren op ISE

1. Navigeer naar Network Devices  en klik opAdd.

2. Voer de naam 'Cisco-Radius' in van de server enIP Addressvan de radiusclient die de FTD-communicatie-interface is.

3. Voeg onderRadius Authentication SettingsdeShared Secretcode toe.

4. Klik opSave.

ISE - netwerkapparaten

5. Ga naarNetwork Access > Identities > Network Access Usersom gebruikers te maken en klik Addop.

6. Maak indien nodig een gebruikersnaam en inlogwachtwoord aan.

ISE - gebruikers

7. Om basisbeleid in te stellen, navigeer naarPolicy > Policy Sets > Default > Authentication Policy > Default, kiesAll_User_ID_Stores.

8. Navigeer naarPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access, en kiesPermitAccesszoals in de afbeelding.

ISE - verificatiebeleid

ISE - autorisatiebeleid

3. Maak een adresgroep voor VPN-gebruikers op FMC

1. Navigeer naarObjects > Object Management > Address Pools > Add IPv4 Pools.
2. Voer de naamRAVPN-Poolen het adresbereik in; het masker is optioneel.
3. Klik op Opslaan.

VCC - adresgroep

4. AnyConnect-afbeeldingen uploaden

1. Navigeer naarObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Voer de naam inanyconnect-win-4.10.07073-webdeployen klik opBrowse om het AnyConnect-bestand op de schijf te kiezen. KlikSave zoals in het beeld.

FMC - AnyConnect-clientafbeelding

5. XML-profiel maken

5.1. Over de profieleditor

1. Download de Profile Editor vansoftware.cisco.comen open het.
2. Navigeren naar Server List > Add...

3. Voer de Display NameRAVPN-IKEV2enFQDNtezamen met de User Group (alias naam) in.

4. Kies het Primaire protocol zoals IPsec ,   Ok  u het in de afbeelding ziet.

Profieleditor - Serverlijst

5. De serverlijst wordt toegevoegd. Sla dit op alsClientProfile.xml.

Profieleditor - ClientProfile.xml

5.2. VCC

1. Navigeer naarObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Voer een naam inClientProfileen klik opBrowse om bestand van schijf te kiezenClientProfile.xml.
3. Klik op  Save .

FMC - AnyConnect VPN-profiel

6. Externe toegang configureren

1. Navigeer naarDevices > VPN > Remote Accessen klik op+om een verbindingsprofiel toe te voegen zoals in de afbeelding.

FMC - profiel voor externe toegangsverbinding

2. Voer de naam van het verbindingsprofiel inRAVPN-IKEV2en voer een groepsbeleid in door op te klikken  +in  Group Policyzoals in de afbeelding.

FMC - Groepsbeleid

3. Voer de naam inRAVPN-group-policyen kies de VPN-protocollen  SSL and IPsec-IKEv2  zoals in de afbeelding.

FMC - VPN-protocollen

4. Kies onderAnyConnect > Profile, het XML-profielClientProfileuit de vervolgkeuzelijst en klik opSavezoals in de afbeelding.

FMC - AnyConnect-profiel

5. Voeg de adrespool toeRAVPN-Pooldoor op+ as shown in the imagete klikken.

FMC - Toewijzing van clientadres

6. Navigeer naarAAA > Authentication Methoden kiesAAA Only.

7. KiesAuthentication ServeralsISE (RADIUS).

FMC - AAA-verificatie

8. Navigeer naarAliases , voer een aliasnaam inRAVPN-IKEV2, die wordt gebruikt als gebruikersgroep inClientProfile.xml.

9. Klik opSave.

FMC - Aliassen

10. Navigeer naarAccess Interfacesen kies de interface waar RAVPN IKEv2 ingeschakeld moet worden.

11. Kies het identiteitscertificaat voor zowel SSL als IKEv2.

12. Klik opSave.

FMC - toegangsinterfaces

13. Navigeer naar Advanced .

14. Voeg de AnyConnect-clientafbeeldingen toe door op+te klikken.

FMC - AnyConnect-clientpakket

15. Voeg onderIPsecde afbeelding toeCrypto Mapszoals in de afbeelding.

FMC - cryptokaarten

16. Voeg onderIPsec de afbeelding toeIKE Policy door te klikken+.

FMC - IKE-beleid

17. OnderIPsec , voeg deIPsec/IKEv2 Parameters.

FMC - IPsec/IKEv2-parameters

18. OnderConnection Profilewordt een nieuw profielRAVPN-IKEV2gemaakt.

19.SaveClickas op de afbeelding.

FMC - Verbindingsprofiel RAVPN-IKEV2

20. Stel de configuratie in.

FMC - FTD-implementatie

7. Profielconfiguratie voor AnyConnect

Profiel op pc, opgeslagen onder  C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile .

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd">
   <ClientInitialization>
	  <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
	  <AutomaticCertSelection UserControllable="true">false
      </AutomaticCertSelection>
	  <ShowPreConnectMessage>false</ShowPreConnectMessage>
	  <CertificateStore>All</CertificateStore>
	  <CertificateStoreOverride>false</CertificateStoreOverride>
	  <ProxySettings>Native</ProxySettings>
	  <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
	  <AuthenticationTimeout>12</AuthenticationTimeout>
	  <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
	  <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
	  <LocalLanAccess UserControllable="true">false</LocalLanAccess>
	  <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
	  <AutoReconnect UserControllable="false">true
		 <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend 
 		  </AutoReconnectBehavior>
	  </AutoReconnect>
	  <AutoUpdate UserControllable="false">true</AutoUpdate>
	  <RSASecurIDIntegration UserControllable="true">Automatic
      </RSASecurIDIntegration>
	  <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
	  <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
	  <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
	  <PPPExclusion UserControllable="false">Disable
		 <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
	  </PPPExclusion>
	  <EnableScripting UserControllable="false">false</EnableScripting>
	  <EnableAutomaticServerSelection UserControllable="false">false
		 <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
		 <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
	  </EnableAutomaticServerSelection>
	  <RetainVpnOnLogoff>false
	  </RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			
    
    
      RAVPN-IKEV2 
    
			
    
    
      ftd.cisco.com 
    
			
    
    
      RAVPN-IKEV2 
    
		        
    
    
      IPsec 
    
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Verifiëren

U kunt deze sectie gebruiken om te bevestigen dat uw configuratie correct werkt.

1. Gebruik voor de eerste verbinding de FQDN/IP om via AnyConnect een SSL-verbinding vanaf de pc van de gebruiker tot stand te brengen.
2. Als het SSL-protocol is uitgeschakeld en de vorige stap niet kan worden uitgevoerd, moet u ervoor zorgen dat het clientprofielClientProfile.xmlop de pc onder het padC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profileaanwezig is.
3. Voer de gebruikersnaam en het wachtwoord voor verificatie in zodra dit wordt gevraagd.
4. Na succesvolle verificatie wordt het clientprofiel gedownload op de pc van de gebruiker.
5. Verbinding met AnyConnect verbreken.
  RAVPN-IKEV2  6. Zodra het profiel is gedownload, gebruikt u de vervolgkeuzelijst om de hostnaam te kiezen die in het clientprofiel wordt vermeld, zodat u verbinding kunt maken met AnyConnect via IKEv2/IPsec.
7. Klik opConnect.

AnyConnect-vervolgkeuzelijst

8. Voer de gebruikersnaam en het wachtwoord in voor verificatie die op de ISE-server is gemaakt.

AnyConnect

9. Controleer het gebruikte profiel en het gebruikte protocol (IKEv2/IPsec) zodra er verbinding mee is gemaakt.

AnyConnect verbonden

FTD CLI-uitgangen:

firepower# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect

Username : ikev2-user                    Index        : 9
Assigned IP  : 10.1.1.1                  Public IP    : 10.106.55.22
Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
License      : AnyConnect Premium
Encryption   : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing      : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none
Bytes Tx     : 450                         Bytes Rx     : 656
Pkts Tx      : 6                           Pkts Rx      : 8
Pkts Tx Drop : 0                           Pkts Rx Drop : 0
Group Policy : RAVPN-group-policy          Tunnel Group : RAVPN-IKEV2
Login Time   : 07:14:08 UTC Thu Jan 4 2024
Duration     : 0h:00m:08s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                          VLAN         : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none                         Tunnel Zone  : 0

IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1

AnyConnect-Parent:
Tunnel ID    : 9.1
Public IP    : 10.106.55.22
Encryption.  : none.                           Hashing     : none 

Auth Mode    : userPassword 
Idle Time out: 30 Minutes                      Idle TO Left : 29 Minutes 
Client OS    : win 
Client OS Ver: 10.0.15063 
Client Type  : AnyConnect 
Client Ver   : 4.10.07073 

IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220                            UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption   : AES256                            Hashing      : SHA512
Rekey Int (T): 86400 Seconds                     Rekey Left(T): 86391 Seconds
PRF : SHA512                                     D/H Group    : 19
Filter Name  : 
Client OS    : Windows Client                    Type         : AnyConnect 

IPsecOverNatT:
Tunnel ID    : 9.3
Local Addr   : 0.0.0.0/0.0.0.0/0/0
Remote Addr  : 10.1.1.1/255.255.255.255/0/0
Encryption   : AES-GCM-256                       Hashing       : none 
Encapsulation: Tunnel 
Rekey Int (T): 28800 Seconds                     Rekey Left(T) : 28791 Seconds 
Idle Time Out: 30 Minutes                        Idle TO Left  : 29 Minutes 
Bytes Tx     : 450 Bytes                         Rx            : 656 
Pkts Tx      : 6                                 Pkts Rx       : 8 



firepower# show crypto ikev2 sa 

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                         Remote                                           fvrf/ivrf            Status     Role
16530741  10.197.167.5/4500             10.106.55.22/65220                                                    READY      RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8 


firepower# show crypto ipsec sa 

interface: Outside
    Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
    
      Protected vrf: 
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
      current_peer: 10.106.55.22, username: ikev2-user
      dynamic allocated peer ip: 10.1.1.1
      dynamic allocated peer ip(ipv6): 0.0.0.0
     
      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
      path mtu 1468, ipsec overhead 62(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: DED2CBC8
      current inbound spi : 6F7EFD61

  inbound esp sas:
     spi: 0x6F7EFD61 (1870593377)
     SA State: active
     transform: esp-aes-gcm-256 esp-null-hmac no compression 
     in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
     slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
     sa timing: remaining key lifetime (sec): 28723
     IV size: 8 bytes
     replay detection support: Y
     Anti replay bitmap: 
     0x00000000 0x000001FF

  outbound esp sas:
    spi: 0xDED2CBC8 (3738356680)
    SA State: active
    transform: esp-aes-gcm-256 esp-null-hmac no compression 
    in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
    slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
    sa timing: remaining key lifetime (sec): 28723
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap: 
    0x00000000 0x00000001

ISE-logbestanden:

ISE - Live logs

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255