O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar a implantação da rede privada virtual de acesso remoto (RA VPN) no Firepower Threat Defense (FTD) gerenciado pelo gerenciador de dispositivos Firepower (FDM) executando a versão 6.5.0 e superior.
Não é possível configurar o FTD via FDM para que os clientes do Anyconnect se conectem à interface externa enquanto o gerenciamento é aberto através da mesma interface. Esta é uma limitação conhecida do FDM. Solicitação de aprimoramento CSCvm76499 foi arquivado para este problema.
A Cisco recomenda que você tenha conhecimento da configuração da VPN RA no FDM.
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Autenticação de cliente do AnyConnect com o uso de Local.
Etapa 1. Verifique se o dispositivo está registrado no Smart Licensing, como mostrado na imagem.
Etapa 2. Verifique se as licenças do AnyConnect estão ativadas no dispositivo conforme mostrado na imagem.
Etapa 3. Verifique se Export-control Features (Recursos controlados pela exportação) está ativado no token, como mostrado na imagem.
Navegue até Objetos > Redes > Adicionar nova rede. Configure o pool de VPN e as redes LAN a partir da GUI do FDM. Crie um pool de VPN para ser usado para atribuição de endereço local a usuários do AnyConnect, como mostrado na imagem.
Crie um objeto para a rede local atrás do dispositivo FDM, como mostrado na imagem.
Navegue até Objetos > Usuários > Adicionar Usuário. Adicione usuários VPN locais que se conectarão ao FTD via Anyconnect. Crie usuários locais conforme mostrado na imagem.
Navegue até Objetos > Certificados > Adicionar Certificado Interno. Configure um certificado conforme mostrado na imagem.
Carregue o certificado e a chave privada como mostrado na imagem.
O certificado e a chave podem ser carregados com a cópia e a colagem ou o botão de carregamento de cada arquivo, como mostrado na imagem.
Navegue até Remote Access VPN > Create Connection Profile. Navegue pelo Assistente de VPN de acesso remoto no FDM, conforme mostrado na imagem.
Crie um perfil de conexão e inicie a configuração conforme mostrado na imagem.
Selecione os métodos de autenticação como mostrado na imagem. Este guia usará a autenticação local.
Selecione o objeto Anyconnect_Pool como mostrado na imagem.
Na próxima página, será exibido um resumo da Diretiva de Grupo padrão. Uma nova política de grupo pode ser criada ao clicar no menu suspenso e selecionar a opção Criar uma nova política de grupo. Para este guia, a Política de grupo padrão será usada. Selecione a opção de edição na parte superior da diretiva, conforme mostrado na imagem.
Na política de grupo, adicione o tunelamento Dividido para que os usuários conectados ao Anyconnect enviem apenas o tráfego destinado à rede FTD interna pelo cliente Anyconnect, enquanto todo o tráfego restante saia da conexão ISP do usuário como mostrado na imagem.
Na próxima página, selecione o Anyconnect_Certificate adicionado na seção de certificado. Em seguida, selecione a interface que o FTD ouvirá para conexões do Anyconnect. Selecione a política Ignorar controle de acesso para tráfego descriptografado (sysopt permit-vpn). Este é um comando opcional se o sysopt permit-vpn não estiver selecionado, uma política de controle de acesso deve ser criada para permitir que o tráfego dos clientes do Anyconnect acesse a rede interna como mostrado na imagem.
A isenção de NAT pode ser configurada manualmente em Políticas > NAT ou pode ser configurada automaticamente pelo assistente. Selecione a interface interna e as redes que os clientes do Anyconnect precisarão acessar, conforme mostrado na imagem.
Selecione o pacote do Anyconnect para cada sistema operacional (Windows/Mac/Linux) ao qual os usuários se conectarão, como mostrado na imagem.
A última página fornece um resumo de toda a configuração. Confirme se os parâmetros corretos foram definidos e pressione o botão Concluir e Implante a nova configuração.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Depois que a configuração for implantada, tente se conectar. Se você tiver um FQDN que resolva para o IP externo do FTD, digite-o na caixa de conexão do Anyconnect. No exemplo abaixo, o endereço IP externo do FTD é usado. Use o nome de usuário/senha criado na seção de objetos do FDM, conforme mostrado na imagem.
A partir do FDM 6.5.0, não há como monitorar os usuários do Anyconnect através da GUI do FDM. A única opção é monitorar os usuários do Anyconnect via CLI. O console CLI da GUI do FDM também pode ser usado para verificar se os usuários estão conectados.
Show vpn-sessiondb anyconnect
O mesmo comando pode ser executado diretamente da CLI.
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Se um usuário não puder se conectar ao FTD usando SSL, siga estas etapas para isolar os problemas de negociação de SSL:
Esta seção fornece diretrizes para a solução de problemas dos dois problemas mais comuns do AnyConnect VPN Client e como solucioná-los. Um guia para a solução de problemas do cliente AnyConnect pode ser encontrado aqui: Guia de solução de problemas do AnyConnect VPN Client
Se um usuário estiver tendo problemas de conectividade inicial, ative debug webvpn anyconnect no FTD e analise as mensagens de depuração. As depurações devem ser executadas no CLI do FTD. Use o comando debug webvpn anyconnect 255
Colete um pacote DART da máquina cliente para obter os registros do anyconnect. Instruções sobre como coletar um pacote DART podem ser encontradas aqui: Coleta de pacotes DART
Se uma conexão for bem-sucedida, mas o tráfego estiver falhando no túnel VPN SSL, examine as estatísticas de tráfego no cliente para verificar se o tráfego está sendo recebido e transmitido pelo cliente. Estatísticas detalhadas dos clientes estão disponíveis em todas as versões do AnyConnect. Se o cliente mostrar que o tráfego está sendo enviado e recebido, verifique o FTD quanto ao tráfego recebido e transmitido. Se o FTD aplicar um filtro, o nome do filtro será mostrado e você poderá observar as entradas da ACL para verificar se o tráfego está sendo descartado. Os problemas comuns de tráfego que os usuários enfrentam são:
Para obter mais informações sobre VPNs de acesso remoto no FTD gerenciado pelo FDM, consulte o guia de configuração completo aqui: Remote Access FTD gerenciado pelo FDM