ISE-houding configureren via AnyConnect Remote Access VPN op FTD

Downloadopties

  • PDF     (5.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 mei 2023
Document-id:215236

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Firepower Threat Defence (FTD) versie 6.4.0 moet configureren om VPN-gebruikers aan te stellen tegen Identity Services Engine (ISE).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • AnyConnect externe toegang tot VPN
    • Configuratie van VPN voor externe toegang op de FTD
    • Identity Services Engine en postuur

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Software voor Cisco Firepower Threat Defence (FTD), versie 6.4.0
    • Software voor Cisco Firepower Management Console (FMC), versie 6.5.0
    • Microsoft Windows 10 met Cisco AnyConnect Secure Mobility-client versie 4.7
    • Cisco Identity Services Engine (ISE) versie 2.6 met Patch 3

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram en verkeersstroom

    Flow diagram

    1. De externe gebruiker gebruikt Cisco AnyConnect voor VPN-toegang tot de FTD.

    2. De FTD stuurt een RADIUS-toegangsverzoek voor die gebruiker naar de ISE.

    3. Dat verzoek raakt het beleid genaamd FTD-VPN-Posture-Unknown op de ISE. De ISE stuurt een RADIUS-toegangsgoedkeuring met drie kenmerken:

    4. Als DACL wordt verzonden, wordt RADIUS-toegangsverzoek/toegangsgoedkeuring uitgewisseld om de inhoud van DACL te downloaden

    5. Wanneer het verkeer van de VPN-gebruiker overeenkomt met de lokaal gedefinieerde ACL, wordt het omgeleid naar ISE-clientprovisioningportal. ISE-bepalingen AnyConnect-postermodule en nalevingsmodule.

    6. Nadat de agent op de clientmachine is geïnstalleerd, zoekt hij automatisch naar ISE met sondes. Wanneer ISE met succes is gedetecteerd, worden de houdingsvereisten gecontroleerd op het eindpunt. In dit voorbeeld controleert de agent op geïnstalleerde anti-malware software. Vervolgens stuurt het een postuur verslag naar de ISE.

    7. Wanneer ISE het postuur rapport van de agent ontvangt, verandert ISE Positie Status voor deze sessie en activeert RADIUS CoA type Push met nieuwe eigenschappen. Ditmaal is de status van de houding bekend en wordt er een andere regel geraakt.

    • Als de gebruiker volgzaam is, dan wordt een DACL naam die volledige toegang toelaat verzonden.
    • Als de gebruiker niet-compatibel is, wordt een DACL-naam die beperkte toegang toestaat verzonden.

    8. Het FTD verwijdert de omleiding. FTD stuurt een toegangsaanvraag om DACL van de ISE te downloaden. De specifieke DACL is gekoppeld aan de VPN-sessie.


    Configuraties

    FTD/FMC

    Stap 1. Maak een netwerkobjectgroep voor ISE- en herstelservers (indien aanwezig). Ga naar Objecten > Objectbeheer > Netwerk.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    Stap 2. Maak omleiding van ACL. Navigeer naar Objecten > Objectbeheer > Toegangslijst > Uitgebreid. Klik op Uitgebreide toegangslijst toevoegen en geef de naam op van ACL-omleiding. Deze naam moet dezelfde zijn als in het resultaat van de ISE-autorisatie.

    ASA configuration - Create Redirect ACL


    Stap 3. Voeg ACL-vermeldingen toe om te leiden. Klik op de knop Toevoegen. Blokkeer verkeer naar DNS, ISE en de herstelservers om deze uit te sluiten van omleiding. Laat de rest van het verkeer toe, dit activeert omleiding (ACL-vermeldingen kunnen specifieker zijn indien nodig).

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    Stap 4. Voeg ISE-PSN-knooppunten toe. Ga naar Objecten > Objectbeheer > RADIUS-servergroep. Klik op RADIUS-servergroep toevoegen, geef de naam op, schakel alle selectievakjes in en klik op het pictogram plus.

    ASA configuration - Add ISE PSN node/nodes

    Stap 5. Voer in het geopende venster ISE-PSN IP-adres, RADIUS-sleutel in, selecteer Specific Interface en selecteer de interface vanwaar ISE bereikbaar is (deze interface wordt gebruikt als bron van RADIUS-verkeer) en selecteer vervolgens ACL-omleiding die eerder is geconfigureerd.

    ASA configuration - Provide ISE PSN IP address


    Stap 6. Maak een adrespool voor VPN-gebruikers. Ga naar Objecten > Objectbeheer > Adrespools > IPv4-pools. Klik op IPv4-pools toevoegen en vul de gegevens in.

    ASA configuration - Create Address Pool for VPN users


    Stap 7. Maak een AnyConnect-pakket. Navigeer naar Objecten > Objectbeheer > VPN > AnyConnect File. Klik op Add AnyConnect File, geef de pakketnaam op, download het pakket van Cisco Software Download en selecteer AnyConnect Client Image File Type.

    ASA configuration - Create AnyConnect package


    Stap 8. Navigeer naar certificaatobjecten > Objectbeheer > PKI > Cert-inschrijving. Klik op Add Cert Inschrijving, geef naam op en kies Self Signed Certificate in Inschrijftype. Klik op het tabblad Certificaatparameters en geef de GN op.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    Stap 9. Start de wizard Externe toegang tot VPN. Navigeer naar Apparaten > VPN > Externe toegang en klik op Toevoegen.

    ASA configuration - Launch Remote Access VPN wizard

    Stap 10. Geef de naam, controleer SSL als VPN Protocol, kies FTD die wordt gebruikt als VPN concentrator en klik op Volgende.

    ASA configuration - configure FTD use as vpn concentrator

    Stap 1. Geef de naam van het verbindingsprofiel op, selecteer Verificatie-/boekhoudservers, selecteer de adrespool die eerder is geconfigureerd en klik op Volgende.

    Opmerking: Selecteer niet de autorisatieserver. Het brengt twee toegangsaanvragen voor één gebruiker (eenmaal met het gebruikerswachtwoord en de tweede keer met wachtwoord cisco).

    ASA configuration - Connection Profile

    Stap 12. Selecteer het AnyConnect-pakket dat eerder is geconfigureerd en klik op Volgende.

    ASA configuration - AnyConnect package that was configured previously

    Stap 13. Selecteer de interface waarvan VPN-verkeer wordt verwacht, selecteer Certificaatinschrijving die eerder is geconfigureerd en klik op Volgende.

    ASA configuration - Select interface from which VPN traffic is expected

    Stap 14. Controleer de overzichtspagina en klik op Voltooien.

    ASA configuration - Check the summary page


    Stap 15. Stel configuratie in op FTD. Klik op Implementeren en selecteer FTD die wordt gebruikt als VPN-concentrator.

    ASA configuration - Deploy configuration to FTD

    ISE

    Stap 1. Start de aanpassingsupdates. Ga naar Beheer > Systeem > Instellingen > Houding > Updates.

    ISE configuration - Run Posture Updates

    Stap 2. Module voor naleving van uploadstatus. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources. Klik op Add en selecteer Agent resources vanaf Cisco-site

    ISE configuration - Upload Compliance Module


    Stap 3. Download AnyConnect van Cisco Software Download en upload het vervolgens naar ISE. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.

    Klik op Add en selecteer Agent Resources from Local Disk. Kies Cisco Provided Packages onder Category, selecteer AnyConnect-pakket op de lokale schijf en klik op Indienen.

    ISE configuration - Download AnyConnect from Cisco Software Download


    Stap 4. Maak een AnyConnect-poortprofiel. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.

    Klik op Add en selecteer AnyConnect Posture Profile. Vul de naam en het Posture Protocol in.

    Onder *Server naam regels zet * en zet een dummy IP-adres onder Discovery host.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    Stap 5. Navigeer naar Policy > Policy Elements > Results > Client Provisioning > Resources en creëer AnyConnect Configuration. Klik op Add en selecteer AnyConnect Configuration. Selecteer AnyConnect-pakket, geef de configuratienaam op, selecteer compliancemodule, controleer het diagnostische en rapportageprogramma, selecteer Profiel houding en klik op Opslaan.

    ISE configuration - create AnyConnect Configuration


    Stap 6. Navigeer naar Beleid > Clientprovisioning en voer een clientprovisioningbeleid in. Klik op Bewerken en selecteer vervolgens Regel invoegen hierboven, geef naam op, selecteer het besturingssysteem en kies AnyConnect Configuration die in de vorige stap is gemaakt.

    ISE configuration - create Client Provisioning Policy.

    Stap 7. Maak een houding aan onder Beleid > Beleidselementen > Voorwaarden > Houding > Anti-Malware Conditie. In dit voorbeeld, wordt "ANY_am_win_inst" vooraf gedefinieerd.

    .

    ISE configuration - Create Anti-Malware Condition


    Stap 8. Navigeer naar Policy > Policy Elements > Results > Posture > Remediation Actions en creëer Posture Remediation. In dit voorbeeld wordt het overgeslagen. Oplossingsactie kan een tekstbericht zijn.


    Stap 9. Navigeer naar Policy > Policy Elements > Results > Posture > Requirements en creëer Posture Requirements. Vooraf gedefinieerde vereiste Any_AM_Installatie_Win wordt gebruikt.

    ISE configuration - create Posture Requirements


    Stap 10. Maak een posteriebeleid onder Beleid > Posterijen. Standaard posterbeleid voor alle AntiMalware Check voor Windows OS wordt gebruikt.


    ISE configuration - Create Posture Policies


    Stap 1. Navigeer naar Beleid > Beleidselementen > Resultaten > Vergunning > Downloadbare ACLS en maak DACL's voor verschillende postuur-statussen.

    In dit voorbeeld:

    • Posture Unknown DACL - maakt verkeer mogelijk naar DNS-, PSN- en HTTP- en HTTPS-verkeer. 
    • Posture NonCompliant DACL - ontzegt toegang tot Private Subnets en staat alleen internetverkeer toe.
    • Laat Alle DACL toe - staat al verkeer voor Posture Volgzame Status toe. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    Stap 12. Maak drie autorisatieprofielen voor de status Onbekend, niet-conform en niet-conform. Hiervoor bladert u naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Selecteer in het profiel Onbekend maken de optie Onbekend DACL, controleer webomleiding, selecteer Client Provisioning, geef Redirect ACL-naam (dat is ingesteld op FTD) en selecteer de portal.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Selecteer in het profiel Posture NonCompliant DACL om de toegang tot het netwerk te beperken.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Selecteer in het profiel Posture Compliant DACL om volledige toegang tot het netwerk mogelijk te maken.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    Stap 13. Maak een autorisatiebeleid aan onder Beleid > Beleidssets > Standaard > Autorisatiebeleid. Als conditie Positie Status en VNP TunnelGroup Naam wordt gebruikt.

    ISE configuration - Create Authorization Policies

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Op ISE is de eerste verificatiestap RADIUS Live Log. Navigeer naar Operations > RADIUS Live Log. Hier is de gebruiker Alice verbonden en wordt het verwachte autorisatiebeleid geselecteerd.

    ISE Live log - user Alice is connected and the expected authorization policy

    Het FTD-VPN-Posture-Unknown autorisatiebeleid wordt gematched en als gevolg daarvan wordt het FTD-VPN-Profiel naar FTD verzonden.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    Houdbaarheid status in behandeling.

    ISE detailed live log report - Posture Status Pending
    De sectie Resultaat toont welke eigenschappen naar FTD worden verzonden. 
    ISE detailed live log report - attributes are sent to FTD

    Op FTD, om de verbinding van VPN te verifiëren, SSH aan het vakje, voer systeemsteun kenmerkend-cli uit en toon dan vpn-sessiondb detail om het even welk verbinden. Van deze output, verifieer dat de attributen die van ISE worden verzonden voor deze VPN zitting worden toegepast.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    Het beleid voor clientprovisioning kan worden geverifieerd. Ga naar Operations > Rapporten > Endpoints en gebruikers > Clientprovisioning.

    ISE report - Client Provisioning policies be verified

    Het rapport van de houding dat van AnyConnect wordt verzonden kan worden gecontroleerd. Ga naar Operations > Rapporten > Eindpunten en gebruikers > Posture Assessment by Endpoint.

    ISE report - Posture Report sent from AnyConnect

    Klik op Details om meer details te zien in het poortrapport.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    Nadat het rapport is ontvangen op ISE, wordt de postuur status bijgewerkt. In dit voorbeeld is de postuur status compatibel en CoA Push wordt geactiveerd met een nieuwe reeks kenmerken.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    Controleer op FTD dat nieuwe Redirect ACL en Redirect URL worden verwijderd voor VPN-sessie en PermitAll DACL wordt toegepast.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    Controleer deze link voor een gedetailleerde postenstroom en voor het oplossen van problemen met AnyConnect en ISE: ISE-poortstijlvergelijking voor Pre en Post 2.2.

    • Spilt Tunnel

    Een van de meest voorkomende problemen, wanneer er een spit tunnel is ingesteld. In dit voorbeeld wordt standaard groepsbeleid gebruikt, dat alle verkeer tunnelt. In het geval dat alleen het specifieke verkeer wordt getunneld, dan moeten AnyConnect-sondes (enroll.cisco.com en discovery host) door de tunnel gaan, naast het verkeer naar ISE en andere interne bronnen.

    Om het tunnelbeleid op FMC te controleren, controleer eerst welk groepsbeleid wordt gebruikt voor VPN-verbinding. Navigeer naar Apparaten > VPN Remote Access.

    FTD GUI - check the tunnel policy on FMC

    Ga vervolgens naar Objecten > Objectbeheer > VPN > Groepsbeleid en klik op Groepsbeleid geconfigureerd voor VPN.

    FTD GUI -check the tunnel policy on FMC

    • Identity NAT

    Een ander veelvoorkomend probleem is wanneer het retourverkeer van VPN-gebruikers wordt vertaald met het gebruik van een onjuiste NAT-ingang. Om dit probleem op te lossen, moet Identity NAT in een juiste volgorde worden gemaakt.

    Controleer eerst NAT-regels voor dit apparaat. Navigeer naar Apparaten > NAT en klik vervolgens op Regel toevoegen om een nieuwe regel te maken.

    FTD GUI -check NAT rules for this device

    Selecteer in het geopende venster op het tabblad Interfaceobjecten de optie Beveiligingszones. In dit voorbeeld, wordt de NAT ingang gemaakt van streek-BINNENKANT aan streek-buitenkant.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    Selecteer onder het tabblad Vertaling de optie oorspronkelijke en vertaalde pakketdetails. Aangezien het Identity NAT is, worden de bron en de bestemming onveranderd gehouden:

    FTD GUI -Translation tab

    Schakel in het tabblad Geavanceerd de selectievakjes in zoals in deze afbeelding:

    FTD GUI -Advanced tab

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    25-May-2023
    Hercertificering
    2.0
    22-Oct-2021
    Autorisatieveld verwijderd en ACL gecorrigeerd.
    1.0
    07-Feb-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Farid Yusifov
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten