Configurar VPN de acesso remoto no FTD gerenciado pelo FDM

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (858.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de Maio de 2020
ID do documento:215532

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a implantação da rede privada virtual de acesso remoto (RA VPN) no Firepower Threat Defense (FTD) gerenciado pelo gerenciador de dispositivos Firepower (FDM) executando a versão 6.5.0 e superior.

    Informações de Apoio

    Não é possível configurar o FTD via FDM para que os clientes do Anyconnect se conectem à interface externa enquanto o gerenciamento é aberto através da mesma interface. Esta é uma limitação conhecida do FDM. Solicitação de aprimoramento CSCvm76499 foi arquivado para este problema.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento da configuração da VPN RA no FDM.

    Licenciamento

    • FTD registrado no portal de licenciamento inteligente com recurso controlado de exportação habilitado (para permitir que a guia de configuração de VPN RA seja ativada)
    • Qualquer licença do AnyConnect habilitada (APEX, Plus ou somente VPN)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco FTD executando a versão 6.5.0-115
    • Cisco AnyConnect Secure Mobility Client versão 4.7.01076

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Autenticação de cliente do AnyConnect com o uso de Local.

    Verificar o licenciamento no FTD

    Etapa 1. Verifique se o dispositivo está registrado no Smart Licensing, como mostrado na imagem.

    Etapa 2. Verifique se as licenças do AnyConnect estão ativadas no dispositivo conforme mostrado na imagem.

    Etapa 3. Verifique se Export-control Features (Recursos controlados pela exportação) está ativado no token, como mostrado na imagem.

    Definir redes protegidas

    Navegue até Objetos > Redes > Adicionar nova rede. Configure o pool de VPN e as redes LAN a partir da GUI do FDM. Crie um pool de VPN para ser usado para atribuição de endereço local a usuários do AnyConnect, como mostrado na imagem. 

    Crie um objeto para a rede local atrás do dispositivo FDM, como mostrado na imagem.

    Criar usuários locais

    Navegue até Objetos > Usuários > Adicionar Usuário. Adicione usuários VPN locais que se conectarão ao FTD via Anyconnect. Crie usuários locais conforme mostrado na imagem.

    Adicionar certificado

    Navegue até Objetos > Certificados > Adicionar Certificado Interno. Configure um certificado conforme mostrado na imagem.

    Carregue o certificado e a chave privada como mostrado na imagem.

    O certificado e a chave podem ser carregados com a cópia e a colagem ou o botão de carregamento de cada arquivo, como mostrado na imagem.

    Configurar VPN de acesso remoto

    Navegue até Remote Access VPN > Create Connection Profile. Navegue pelo Assistente de VPN de acesso remoto no FDM, conforme mostrado na imagem. 

    Crie um perfil de conexão e inicie a configuração conforme mostrado na imagem. 

    Selecione os métodos de autenticação como mostrado na imagem. Este guia usará a autenticação local.

    Selecione o objeto Anyconnect_Pool como mostrado na imagem.

    Na próxima página, será exibido um resumo da Diretiva de Grupo padrão. Uma nova política de grupo pode ser criada ao clicar no menu suspenso e selecionar a opção Criar uma nova política de grupo. Para este guia, a Política de grupo padrão será usada. Selecione a opção de edição na parte superior da diretiva, conforme mostrado na imagem.

    Na política de grupo, adicione o tunelamento Dividido para que os usuários conectados ao Anyconnect enviem apenas o tráfego destinado à rede FTD interna pelo cliente Anyconnect, enquanto todo o tráfego restante saia da conexão ISP do usuário como mostrado na imagem.

    Na próxima página, selecione o Anyconnect_Certificate adicionado na seção de certificado. Em seguida, selecione a interface que o FTD ouvirá para conexões do Anyconnect. Selecione a política Ignorar controle de acesso para tráfego descriptografado (sysopt permit-vpn). Este é um comando opcional se o sysopt permit-vpn não estiver selecionado, uma política de controle de acesso deve ser criada para permitir que o tráfego dos clientes do Anyconnect acesse a rede interna como mostrado na imagem.

    A isenção de NAT pode ser configurada manualmente em Políticas > NAT ou pode ser configurada automaticamente pelo assistente. Selecione a interface interna e as redes que os clientes do Anyconnect precisarão acessar, conforme mostrado na imagem.

    Selecione o pacote do Anyconnect para cada sistema operacional (Windows/Mac/Linux) ao qual os usuários se conectarão, como mostrado na imagem.

    A última página fornece um resumo de toda a configuração. Confirme se os parâmetros corretos foram definidos e pressione o botão Concluir e Implante a nova configuração.

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Depois que a configuração for implantada, tente se conectar. Se você tiver um FQDN que resolva para o IP externo do FTD, digite-o na caixa de conexão do Anyconnect. No exemplo abaixo, o endereço IP externo do FTD é usado. Use o nome de usuário/senha criado na seção de objetos do FDM, conforme mostrado na imagem.

    A partir do FDM 6.5.0, não há como monitorar os usuários do Anyconnect através da GUI do FDM. A única opção é monitorar os usuários do Anyconnect via CLI. O console CLI da GUI do FDM também pode ser usado para verificar se os usuários estão conectados.

    Show vpn-sessiondb anyconnect

    O mesmo comando pode ser executado diretamente da CLI.

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    Troubleshoot

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    Se um usuário não puder se conectar ao FTD usando SSL, siga estas etapas para isolar os problemas de negociação de SSL:

    1. Verifique se o computador do usuário pode fazer ping no endereço IP externo do FTD.
    2. Use um sniffer externo para verificar se o handshake triplo do TCP foi bem-sucedido.

    Problemas do AnyConnect Client

    Esta seção fornece diretrizes para a solução de problemas dos dois problemas mais comuns do AnyConnect VPN Client e como solucioná-los. Um guia para a solução de problemas do cliente AnyConnect pode ser encontrado aqui: Guia de solução de problemas do AnyConnect VPN Client

    Problemas iniciais de conectividade

    Se um usuário estiver tendo problemas de conectividade inicial, ative debug webvpn anyconnect no FTD e analise as mensagens de depuração. As depurações devem ser executadas no CLI do FTD. Use o comando debug webvpn anyconnect 255

    Colete um pacote DART da máquina cliente para obter os registros do anyconnect. Instruções sobre como coletar um pacote DART podem ser encontradas aqui: Coleta de pacotes DART

    Problemas específicos de tráfego

    Se uma conexão for bem-sucedida, mas o tráfego estiver falhando no túnel VPN SSL, examine as estatísticas de tráfego no cliente para verificar se o tráfego está sendo recebido e transmitido pelo cliente. Estatísticas detalhadas dos clientes estão disponíveis em todas as versões do AnyConnect. Se o cliente mostrar que o tráfego está sendo enviado e recebido, verifique o FTD quanto ao tráfego recebido e transmitido. Se o FTD aplicar um filtro, o nome do filtro será mostrado e você poderá observar as entradas da ACL para verificar se o tráfego está sendo descartado. Os problemas comuns de tráfego que os usuários enfrentam são:

    • Problemas de roteamento por trás do FTD — a rede interna não consegue rotear pacotes de volta para os endereços IP e clientes VPN atribuídos
    • Listas de controle de acesso bloqueando tráfego
    • Tradução de endereço de rede não está sendo ignorada para tráfego de VPN

    Para obter mais informações sobre VPNs de acesso remoto no FTD gerenciado pelo FDM, consulte o guia de configuração completo aqui: Remote Access FTD gerenciado pelo FDM  

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Cameron Schaeffer
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos