Configurar o acesso remoto VPN em FTD controlado por FDM
Índice
Introdução
Este original descreve como configurar a distribuição do Acesso remoto Virtual Private Network (RA VPN) na defesa da ameaça de FirePOWER (FTD) controlada pela versão 6.5.0 e mais recente running do gerenciador de dispositivo de FirePOWER do gerente da em-caixa (FDM).
Informações de Apoio
Incapaz de configurar FTD através de FDM para que os clientes de Anyconnect conectem à interface externa quando o Gerenciamento for aberto através da mesma relação. Esta é uma limitação conhecida de FDM. A requisição de aprimoramento CSCvm76499
foi arquivada para esta edição.
Pré-requisitos
Requisitos
Cisco recomenda que você tem o conhecimento da configuração de VPN do RA em FDM.
Licenciar
- FTD registrado com o portal esperto licenciar com exportação controlou as características permitidas (a fim permitir que a aba da configuração de VPN do RA seja permitida)
- Algumas das licenças de AnyConnect permitidas (VÉRTICE, sinal de adição ou VPN-Somente)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão 6.5.0-115 running de Cisco FTD
- Versão 4.7.01076 do Cliente de mobilidade Cisco AnyConnect Secure
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede
Authenticação do cliente de AnyConnect com o uso do Local.
Verifique licenciar no FTD
Etapa 1. Verifique que o dispositivo está registrado a Smart que licencia segundo as indicações da imagem.
Etapa 2. Verifique que as licenças de AnyConnect estão permitidas no dispositivo segundo as indicações da imagem.
Etapa 3. Verifique que as características Exportação-controladas estão permitidas no token segundo as indicações da imagem.
Defina redes protegidas
Navegue rede nova ao > Add dos objetos > das redes. Configurar o pool e as redes de LAN VPN de FDM GUI. Crie um pool VPN a fim ser usado para a atribuição de endereço local aos usuários de AnyConnect segundo as indicações da imagem.
Crie um objeto para a rede local atrás do dispositivo FDM segundo as indicações da imagem.
Crie usuários locais
Navegue usuário ao > Add dos objetos > dos usuários. Adicionar os usuários locais VPN que conectarão a FTD através de Anyconnect. Crie usuários locais segundo as indicações da imagem.
Adicionar o certificado
Navegue certificado interno ao > Add dos objetos > dos Certificados. Configurar um certificado segundo as indicações da imagem.
Transfira arquivos pela rede o certificado e a chave privada segundo as indicações da imagem.
O certificado e a chave podem ser transferidos arquivos pela rede pela cópia e a pasta ou o botão da transferência de arquivo pela rede para cada arquivo segundo as indicações da imagem.
Configurar o acesso remoto VPN
Navegue ao acesso remoto VPN > criam o perfil de conexão. Dirija o assistente do acesso remoto VPN em FDM segundo as indicações da imagem.
Crie um perfil de conexão e comece a configuração segundo as indicações da imagem.
Selecione os métodos de autenticação segundo as indicações da imagem. Este guia usará a autenticação local.
Selecione o objeto de Anyconnect_Pool segundo as indicações da imagem.
Na página seguinte, um sumário da política do grupo padrão será indicado. Uma grupo-política nova pode ser criada batendo a gota-para baixo e selecionando a opção para Create uma política nova do grupo. Para este guia, a política do grupo padrão será usada. Selecione a opção da edição na parte superior da política segundo as indicações da imagem.
Na política do grupo, adicionar a separação que escava um túnel assim que os usuários conectados a Anyconnect enviarão somente o tráfego que é destinado à rede interna FTD sobre o cliente de Anyconnect quando todo tráfego restante sairá a conexão ISP do usuário segundo as indicações da imagem.
Na página seguinte, selecione o Anyconnect_Certificate adicionado na seção do certificado. Então, selecione a relação que o FTD escutará conexões de Anyconnect. Selecione a política do controle de acesso do desvio para o tráfego decifrado (sysopt licença-VPN). Este é um comando opcional se o sysopt licença-VPN não é selecionado uma política do controle de acesso deve ser criado que permita que o tráfego dos clientes de Anyconnect alcance a rede interna segundo as indicações da imagem.
A isenção NAT pode ser configurada manualmente sob políticas > NAT ou pode ser configurada automaticamente pelo assistente. Selecione a interface interna e as redes que os clientes de Anyconnect precisarão de alcançar segundo as indicações da imagem.
Selecione o pacote de Anyconnect para cada sistema operacional (Windows/Mac/Linux) esse usuários estará conectando com segundo as indicações da imagem.
A última página dá um sumário da configuração completa. Confirme que os parâmetros corretos estiveram ajustados e batidos o botão Finish Button e distribua a configuração nova.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Uma vez que a configuração é tentativa distribuída de conectar. Se você tem um FQDN que as resoluções ao IP exterior do FTD o inscrevam na caixa de conexão de Anyconnect. No exemplo abaixo, o endereço IP externo do FTD é usado. Use o username/senha criados na seção dos objetos de FDM segundo as indicações da imagem.
Até à data de FDM 6.5.0 não há nenhuma maneira de monitorar os usuários de Anyconnect com o FDM GUI. A única opção é monitorar os usuários de Anyconnect através do CLI. O console CLI do FDM GUI pode ser usado também para verificar que os usuários estão conectados.
Mostre o anyconnect VPN-sessiondb
O mesmo comando pode ser executado diretamente do CLI.
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Se um usuário não pode conectar ao FTD usando o SSL, siga estas etapas para isolar as edições da negociação de SSL:
- Verifique que o computador do usuário pode sibilar o endereço IP externo do FTD.
- Use um sniffer externo para verificar se o cumprimento de três vias TCP é bem sucedido.
Problemas de cliente de AnyConnect
Esta seção fornece diretrizes em pesquisar defeitos as duas edições as mais comuns do cliente VPN de AnyConnect e como pesquisá-las defeitos. Um guia para pesquisar defeitos o cliente de AnyConnect pode ser encontrado aqui: Guia de Troubleshooting do cliente VPN de AnyConnect
Edições da conectividade inicial
Se um usuário está tendo a conectividade inicial emite, permite debuga o anyconnect do webvpn no FTD e analise as mensagens debugar. Debugs deve ser executado no CLI do FTD. Use o anyconnect 255 do webvpn do comando debug
Recolha um pacote do DARDO da máquina cliente para obter os logs do anyconnect. As instruções em como recolher um pacote do DARDO podem ser encontradas aqui: Recolhendo pacotes do DARDO
Edições Tráfego-específicas
Se uma conexão é bem sucedida mas o tráfego está falhando sobre o túnel SSL VPN, olhe as estatísticas do tráfego no cliente para verificar que o tráfego está sendo recebido e transmitido pelo cliente. As estatísticas detalhadas do cliente estão disponíveis em todas as versões de AnyConnect. Se o cliente mostra que o tráfego está sendo enviado e recebido, verifique o FTD para ver se há o tráfego recebido e transmitido. Se o FTD aplica um filtro, o nome do filtro está mostrado e você pode olhar as entradas ACL para verificar se seu tráfego esteja sendo deixado cair. As edições comuns do tráfego que os usuários experimentam são:
- Questões de roteamento atrás do FTD -- rede interna incapaz aos pacotes de rota de volta aos endereços IP atribuídos e aos clientes VPN
- Listas de controle de acesso que obstruem o tráfego
- Tradução de endereço de rede que não está sendo contorneada para o tráfego VPN
Para mais informações sobre aos acessos remoto VPN no FTD controlado por FDM, encontre o guia de configuração direta aqui: Acesso remoto FTD controlado por FDM
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)