uitgeven
Het doel is om volledige toegang voor VPN-gebruikers tot interne netwerkbronnen mogelijk te maken na succesvolle VPN-verificatie met RADIUS (tegen een Windows-domein-gekoppelde server) op Cisco Secure Firewall FTD.
De VPN-installatie is al operationeel; u kunt de VPN-client downloaden en installeren en met succes verifiëren. Het probleem is gericht op het configureren van de nodige toegangscontrole en NAT-regels om de vereiste interne bronnentoegang via de VPN mogelijk te maken.
milieu
- Product: Cisco Secure Firewall Firepower (FTD), versie 7.6.0 (van toepassing op alle FTD's)
- Beheer: Firepower Management Center (FMC), door de cloud geleverde FMC (cdFMC) of Firepower Device Manager (FDM)
- Softwareversie: 7.6.0
resolutie
Deze stappen beschrijven de configuratie die nodig is om VPN-gebruikers toegang te geven tot interne bronnen (zoals RDP en Active Directory) op Cisco FTD. Dit omvat het maken van toegangsbeleidsregels, het configureren van NAT-vrijstellingen en hairpin NAT voor VPN-verkeer en het gebruik van opdrachten voor probleemoplossing om de configuratie te valideren.
1: Voeg een vermelding in de toegangslijst toe zodat de VPN-adresgroep toegang heeft tot interne bronnen.
access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528
toegangslijst CSM_FW_ACL_ opmerking regel-id 268438528: TOEGANGSBELEID: Standaard toegangscontrolebeleid - Verplicht
toegangslijst CSM_FW_ACL_ opmerking regel-id 268438528: L7 REGEL: Permit_VPN_Pool
2: Voeg een regel voor de toegangslijst toe zodat interne bronnen retourverkeer naar de VPN-pool kunnen verzenden:
access-list CSM_FW_ACL_ advanced permit ip elk object VPN_Pool
Deze regels kunnen later worden aangescherpt om specifieke bronnen en bestemmingen zo nodig te beperken.
3: NAT-vrijstelling of Hairpin NAT configureren voor VPN-verkeer
Er zijn twee gemeenschappelijke benaderingen:
- Optie A: NAT-vrijstelling voor VPN-pool naar intern subnet
nat (buiten, binnen) bron statische VPN_Pool VPN_Pool bestemming statische Net_192.168.95.1-24 Net_192.168.95.1-24 route-opzoeken
- Optie B: Hairpin NAT voor VPN-pool op dezelfde interface (geen proxy-arp)
nat (elke, elke) statische bron VPN_Pool VPN_Pool no-proxy-arp
- Optie C: Dynamic Hairpin NAT voor VPN-pool op externe interface
nat (buiten, buiten) dynamische VPN_Pool-interface
De juiste methode hangt af van de vraag of de interne middelen zich op dezelfde fysieke interface bevinden (waarvoor een hairpin NAT vereist is) of op verschillende interfaces (NAT-vrijstelling).
4: Gebruik de packet-tracer-opdracht om verkeersstromen van de VPN-pool naar interne bronnen te simuleren en te valideren of het verkeer is toegestaan door de beoogde regel, NAT en route.
Packet-Tracer-invoer buiten ICMP 192.168.250.1 8 0 192.168.95.1
Packet-Tracer-invoer buiten TCP 192.168.250.1 12345 192.168.95.1 80
Packet-Tracer-invoer binnen ICMP 192.168.95.1 8 0 192.168.250.1
Packet-Tracer-invoer binnen TCP 192.168.250.1 54321 192.168.95.1 443
--
Fase 5
ID: 5
Type: ACCESS-LIST
RESULTAAT: TOESTAAN
Config: access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: Default Access Control Policy - Mandatory access-list CSM_FW_ACL_ remark rule-id 268438528: L7 RULE: Permit_VPN_Pool
Aanvullende informatie: Dit pakket wordt verzonden om te snuiven voor aanvullende verwerking waarbij een vonnis wordt bereikt Forward Flow based lookup yields regel: in id=0x40009d6ae190, prioriteit=12, domein=permit, deny=false hits=1300, user_data=0x00000000000000000, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src IP/ID=240.0.0.0, mask=255.255.255.255, port=0, tag=any, ifc=any DST IP/ID=240.5.0.2, mask=255.255.255.255, port=0, tag=any, ifc=any, dscp=0x0, input_ifc=any, output_ifc=any
Verstreken tijd: 0 ns
--
Fase 7
ID: 7
Type: NAT
RESULTAAT: TOESTAAN
Configuratie: dynamische VPN_Pool-interface (buiten, buiten)
Aanvullende informatie: Statisch vertalen 192.168.250.1/12345 naar 192.168.250.1/12345 Forward Flow based lookup yields regel: in id=0x40009d6ad0a0, prioriteit=6, domein=nat, ontkennen=false hits=274, user_data=0x000040009963a2d0, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.250.1, Mask=255.255.255.255, poort=0, tag=willekeurige DST IP/ID=0.0.0.0, masker=0.0.0.0, poort=0, tag=willekeurige DSCP=0x0, input_ifc=willekeurige, output_ifc=willekeurige
Verstreken tijd: 0 ns
Opmerking: De packet-tracer uitvoer voor de WebVPN fase kan een daling voor VPN-verkeer op de externe interface tonen. Dit gedrag wordt verwacht voor platte tekstverkeer op de externe interface en kan nog steeds worden gebruikt om NAT te valideren.
Aanvullende opmerkingen:
- Het is mogelijk dat pakketopnames in de Threat Defense UI alleen inkomende verzoeken weergeven. Als er geen dalingen worden waargenomen, maar het verkeer de interne bron niet bereikt, controleert u NAT en toegangslijstregels.
- Wanneer SSH niet beschikbaar is, kan alle probleemoplossing worden uitgevoerd via de Threat Defense UI-functies in cdFMC, maar het gebruik van de opdracht is beperkt.
- Het is mogelijk dat sommige aanpassingen nodig zijn op aangrenzende apparaten voor end-to-end connectiviteit. Zorg ervoor dat deze worden gevalideerd als dat nodig is.
Oorzaak
De hoofdoorzaak was onvoldoende toegangsbeleid en NAT-configuratie voor VPN-naar-intern en intern-naar-VPN-poolverkeer. De standaardconfiguratie stond geen volledige bidirectionele communicatie toe van de VPN-pool naar interne bronnen en terug, noch behandelde het de haarspeldbehoeften van NAT voor het binnendringen en teruggaan van verkeer op dezelfde interface.
Verwante inhoud
Feedback