De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de basisconfiguratie van Remote Access VPN met IKEv2- en ISE-verificatie op FTD die wordt beheerd door het FMC.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende softwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
IKEv2 en Secure Sockets Layer (SSL) zijn beide protocollen die worden gebruikt voor het opzetten van beveiligde verbindingen, met name in de context van VPN’s. IKEv2 biedt sterke encryptie- en verificatiemethoden die een hoog beveiligingsniveau voor VPN-verbindingen bieden.
Dit document biedt een configuratievoorbeeld voor FTD versie 7.2.0 en hoger, die externe toegang tot VPN biedt om Transport Layer Security (TLS) en IKEv2 te gebruiken. Als client kan Cisco AnyConnect worden gebruikt, wat op meerdere platforms wordt ondersteund.
Certificaten zijn essentieel wanneer AnyConnect is geconfigureerd.
Er zijn beperkingen aan handmatige certificaatinschrijving:
1. Op de FTD is een certificaat van de certificeringsinstantie (CA) vereist voordat een verzoek tot ondertekening van het certificaat (CSR) wordt gegenereerd.
2. Indien de MVO extern wordt gegenereerd, wordt een andere methode van PKCS12 gebruikt.
Er zijn verschillende methoden om een certificaat op FTD-apparaat te verkrijgen, maar de veilige en gemakkelijke manier is om een CSR te maken en het ondertekend te krijgen door een CA. Dit is de manier om dat te doen:
1. Navigeer naarObjects > Object Management > PKI > Cert Enrollment
en klik opAdd Cert Enrollment
.
2. Voer de naam van het trustpoint inRAVPN-SSL-cert
.
3. Kies onder hetCA Information
tabblad Inschrijftype alsManual
en plak het CA-certificaat zoals in de afbeelding.
4. Voer onderCertificate Parameters
de onderwerpnaam in. Voorbeeld:
5. Kies onder hetKey
tabblad het sleuteltype en geef een naam en bitgrootte op. Voor RSA zijn 2048 bits het minimum.
6. Klik opSave
.
7. Navigeer naarDevices > Certificates > Add > New Certificate
.
8. KiesDevice
. Kies onder
Cert Enrollment
, het gemaakte trustpoint en klikAdd
zoals in de afbeelding.
9. Klik opID
, en er wordt een melding getoond om MVO te genereren, kiesYes
.
10. Er wordt een MVO gegenereerd die met de bevoegde instantie kan worden gedeeld om het identiteitsbewijs te verkrijgen.
11. Nadat u het identiteitsbewijs van CA in het base64-formaat hebt ontvangen, kiest u dit op de schijf door opBrowse Identity Certificate
enImport
zoals in het beeld te klikken.
12. Zodra de invoer succesvol is, wordt het trustpointRAVPN-SSL-cert
als volgt beschouwd:
1. Navigeer naarObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
2. Voer de naam inISE
en voeg RADIUS-servers toe door op+
te klikken.
3. Vermeld het IP-adres van de ISE Radius-server en het gedeelde geheim (sleutel), dat hetzelfde is als op de ISE-server.
4. KiesRouting
ofSpecific Interface
door welke het FTD communiceert met de ISE-server.
5. KlikSave
zoals in de afbeelding.
6. Zodra de server is opgeslagen, wordt deze toegevoegd onder de afbeeldingRADIUS Server Group
zoals in de afbeelding wordt weergegeven.
1. Navigeer naar Network Devices
en klik opAdd
.
2. Voer de naam 'Cisco-Radius' in van de server enIP Address
van de radiusclient die de FTD-communicatie-interface is.
3. Voeg onderRadius Authentication Settings
deShared Secret
code toe.
4. Klik opSave
.
5. Ga naarNetwork Access > Identities > Network Access Users
om gebruikers te maken en klik Add
op.
6. Maak indien nodig een gebruikersnaam en inlogwachtwoord aan.
7. Om basisbeleid in te stellen, navigeer naarPolicy > Policy Sets > Default > Authentication Policy > Default
, kiesAll_User_ID_Stores
.
8. Navigeer naarPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access,
en kiesPermitAccess
zoals in de afbeelding.
1. Navigeer naarObjects > Object Management > Address Pools > Add IPv4 Pools
.
2. Voer de naamRAVPN-Pool
en het adresbereik in; het masker is optioneel.
3. Klik op Opslaan.
1. Navigeer naarObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Voer de naam inanyconnect-win-4.10.07073-webdeploy
en klik opBrowse
om het AnyConnect-bestand op de schijf te kiezen. KlikSave
zoals in het beeld.
1. Download de Profile Editor vansoftware.cisco.com
en open het.
2. Navigeren naar Server List > Add
...
3. Voer de Display NameRAVPN-IKEV2
enFQDN
tezamen met de User Group (alias naam) in.
4. Kies het Primaire protocol zoals IPsec
,
Ok
u het in de afbeelding ziet.
5. De serverlijst wordt toegevoegd. Sla dit op alsClientProfile.xml
.
1. Navigeer naarObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Voer een naam inClientProfile
en klik opBrowse
om bestand van schijf te kiezenClientProfile.xml
.
3. Klik op Save
.
1. Navigeer naarDevices > VPN > Remote Access
en klik op+
om een verbindingsprofiel toe te voegen zoals in de afbeelding.
2. Voer de naam van het verbindingsprofiel inRAVPN-IKEV2
en voer een groepsbeleid in door op te klikken +
in Group Policy
zoals in de afbeelding.
3. Voer de naam inRAVPN-group-policy
en kies de VPN-protocollen SSL and IPsec-IKEv2
zoals in de afbeelding.
4. Kies onderAnyConnect > Profile
, het XML-profielClientProfile
uit de vervolgkeuzelijst en klik opSave
zoals in de afbeelding.
5. Voeg de adrespool toeRAVPN-Pool
door op+
as shown in the image
te klikken.
6. Navigeer naarAAA > Authentication Method
en kiesAAA Only
.
7. KiesAuthentication Server
alsISE (RADIUS)
.
8. Navigeer naarAliases
, voer een aliasnaam inRAVPN-IKEV2
, die wordt gebruikt als gebruikersgroep inClientProfile.xml
.
9. Klik opSave
.
10. Navigeer naarAccess Interfaces
en kies de interface waar RAVPN IKEv2 ingeschakeld moet worden.
11. Kies het identiteitscertificaat voor zowel SSL als IKEv2.
12. Klik opSave
.
13. Navigeer naar Advanced
.
14. Voeg de AnyConnect-clientafbeeldingen toe door op+
te klikken.
15. Voeg onderIPsec
de afbeelding toeCrypto Maps
zoals in de afbeelding.
16. Voeg onderIPsec
de afbeelding toeIKE Policy
door te klikken+
.
17. OnderIPsec
, voeg deIPsec/IKEv2 Parameters
.
18. OnderConnection Profile
wordt een nieuw profielRAVPN-IKEV2
gemaakt.
19.Save
Clickas op de afbeelding.
20. Stel de configuratie in.
Profiel op pc, opgeslagen onder C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false </AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry>RAVPN-IKEV2 ftd.cisco.com RAVPN-IKEV2 IPsec </HostEntry> </ServerList> </AnyConnectProfile>
Opmerking: aanbevolen wordt om de SSL-client uit te schakelen als een tunnelprotocol onder het groepsbeleid zodra het clientprofiel is gedownload naar de pc van alle gebruikers. Dit waarborgt dat gebruikers uitsluitend verbinding kunnen maken met behulp van het IKEv2/IPsec-tunnelprotocol.
U kunt deze sectie gebruiken om te bevestigen dat uw configuratie correct werkt.
1. Gebruik voor de eerste verbinding de FQDN/IP om via AnyConnect een SSL-verbinding vanaf de pc van de gebruiker tot stand te brengen.
2. Als het SSL-protocol is uitgeschakeld en de vorige stap niet kan worden uitgevoerd, moet u ervoor zorgen dat het clientprofielClientProfile.xml
op de pc onder het padC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
aanwezig is.
3. Voer de gebruikersnaam en het wachtwoord voor verificatie in zodra dit wordt gevraagd.
4. Na succesvolle verificatie wordt het clientprofiel gedownload op de pc van de gebruiker.
5. Verbinding met AnyConnect verbreken.
RAVPN-IKEV2
6. Zodra het profiel is gedownload, gebruikt u de vervolgkeuzelijst om de hostnaam te kiezen die in het clientprofiel wordt vermeld, zodat u verbinding kunt maken met AnyConnect via IKEv2/IPsec.
7. Klik opConnect
.
8. Voer de gebruikersnaam en het wachtwoord in voor verificatie die op de ISE-server is gemaakt.
9. Controleer het gebruikte profiel en het gebruikte protocol (IKEv2/IPsec) zodra er verbinding mee is gemaakt.
FTD CLI-uitgangen:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ISE-logbestanden:
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
06-Feb-2024 |
Eerste vrijgave |