AnyConnect在FTD的远程访问VPN配置

简介

本文为Firepower威胁防御(FTD)版本6.2.2和以上提供配置示例，那允许远程访问VPN使用传输层安全(TLS)和互联网密钥交换版本2 (IKEv2)。作为客户端，将使用Cisco AnyConnect，多个平台支持。

要求

Cisco 建议您了解以下主题：

• 基本的VPN、TLS和IKEv2知识
• 基本认证、授权和记帐(AAA)和RADIUS知识
• 体验与Firepower管理中心

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco FTD 6.2.2
• AnyConnect 4.5

配置

1. Preresiquites

为了通过远程访问向导在Firepower管理中心，您首先将需要遵从这些步骤：

• 创建用于服务器验证的一个认证，
• 配置用户认证的RADIUS或LDAP服务器，
• 创建地址池VPN用户的，
• 上载另外平台的AnyConnect镜像。

a) 导入SSL认证

当您配置AnyConnect时，证书是重要的。RSA SSL和IPSec支持仅基于证书。 IPSec，但是它支持椭圆曲线数字签名算法证书(ECDSA)不是可能配置新的AnyConnect程序包或XML配置文件，当ECDSA使用时基于认证。意味着您能使用它IPSec，但是您将必须predeploy AnyConnect程序包，并且对每个用户的XML配置文件和在XML配置文件上的所有变化在每个客户端(Bug将必须手工被反映：CSCtx42595 )。认证应该另外有与DNS名和IP地址的避免附属的代替命名的扩展名在Web浏览器的错误。

有获得在FTD工具上的一个认证的几个方法，但是安全和容易一个是创建认证署名请求(CSR)，签署为公共密钥然后进口证明书发行的它，在CSR。这是如何执行那：

• 去对象>对象Management> PKI > Cert登记，点击Add Cert登记：

• 选择登记类型并且粘贴Certificate Authority (CA)认证，
• 即然后请去第二个选项并且选择自定义FQDN并且填装所有必要的字段， ：

• 在第三个选项， Select键类型，选择名字和大小。对于RSA， 2048个字节最低。
• 点击保存并且去设备>证书>Add >New认证。然后请选择设备，并且在Cert登记下请选择您创建的信任点，点击添加：

• 以后，在信任点名字旁边，是和以后请点击图标，然后该复制CSR对CA并且签署它。认证应该有属性作为正常HTTPS服务器。
• 在接受认证以后从CA以base64格式，请从磁盘选择它并且点击导入。当这成功时，您应该看到：

b) 配置RADIUS服务器

在FTD platftorm，不可能使用本地用户数据库，因此您需要用户认证的RADIUS或LDAP服务器。配置RADIUS ：

• 去对象>对象Management> RADIUS服务器组>Add RADIUS服务器组。
• 填装名字并且与共有的秘密一起添加IP地址，点击“Save” ：

• 以后您应该看到在列表的服务器：

c) 创建地址池VPN用户的

• 去对象>对象Management>地址池>Add IPv4池：
• 放置名字，并且范围，掩码不是需要的：

d) 创建XML配置文件

• 从Cisco站点下载配置文件编辑器并且打开它。
• 去服务器列表>Add…
• 放置显示名字和FQDN。您应该看到在服务器列表的条目：

• 点击OK键和File > Save As… 

e) 加载的AnyConnect镜像

• 下载从Cisco站点的pkg镜像。
• 去对象>对象Management> VPN > AnyConnect File>添加AnyConnect文件。
• 键入名字，并且挑选PKG文件从磁盘，点击“Save” ：

• 根据您的需求添加更多程序包。

2. 远程访问向导

• 去设备> VPN >远程访问>Add一种新的配置。
• 根据您的需要给出配置文件，挑选FTD设备：

• 在步骤连接配置文件，类型连接配置文件名字，选择您及早创建了的认证服务器和地址池：

• 点击Edit组策略和由于选项AnyConnect，选择客户端配置文件，然后点击“Save” ：

• 在Next页，请选择AnyConnect镜像并且其次点击：

• 在Next屏幕上，请选择网络接口和DeviceCertificates ：

• 当正确地时配置一切，您能点击完成然后配置：

• 这与证书和AnyConnect程序包一起将复制全部的配置到FTD工具。

连接

连接到您需要打开浏览器的FTD，类型DNS名或IP地址指向外部接口，在本例中https://vpn.cisco.com。您然后将必须登陆使用在RADIUS服务器存储的证件和遵从指令在屏幕。 一旦AnyConnect安装，您在AnyConnect窗口然后需要放置同一个地址并且点击连接。

限制

当前不支持在FTD，但是可用在ASA ：

• 双AAA认证
• 动态访问策略
• 主机扫描
• ISE状态
• RADIUS CoA
• VPN负载平衡器
• 本地认证(增进：CSCvf92680 )
• LDAP属性映射
• AnyConnect定制
• AnyConnect脚本
• AnyConnect本地化
• 每APP VPN
• SCEP代理
• WSA集成
• SAML SSO
• RA和L2L的VPN同时IKEv2动态加密映射
• 默认情况下–箭安装AnyConnect模块(NAM、Hostscan， AMP启动器等)
• TACACS， Kerberos (KCD认证和RSA SDI)
• 浏览器代理

安全注意事项

默认情况下您需要切记那， sysopt连接permit-vpn选项是失效的。这意味着，您需要允许来自地址池的数据流在外部接口的通过访问控制策略的那。虽然PRE过滤器或访问控制规则是被添加的打算允许仅VPN流量，如果明文数据流偶然匹配规则标准，不正确允许。

有两个途径对此问题。首先， TAC建议使用的选项，是对enable (event)反电子欺骗(在叫作单播反向路径转发的ASA - uRPF)外部接口的，并且第二是对enable (event) sysopt完全地绕过喷鼻息检查的连接permit-vpn。第一个选项准许通常检查去到/从VPN用户的数据流。

a) 启用uRPF

• 创建用于远程访问用户的网络的无效路由，定义在部分c。去设备>设备管理> Edit >路由>静态路由>Add路由：

• 第二，您需要在终止VPN连接的接口的enable (event) uRPF。您在设备>设备管理> Edit >接口> Edit能找到它>Advanced > Security Configuration> Enable (event)反伪装：

当用户被联络时， 32位路由为该用户安装在路由表里。从其他发出的明文数据流，从池的未使用的IP地址由uRFP降低。反电子欺骗在此页被描述了：

设置在Firepower威胁防御的安全配置参数

b) 启用sysopt连接permit-vpn选项

• 如果有版本6.2.3或以上，有要执行它的选项在向导期间或在设备> VPN >远程访问> VPN配置文件下>Access接口：

• 对于在6.2.3之前的版本，请去对象>对象Management> FlexConfig >文本对象>Add文本对象。
• 例如创建一个文本对象变量， ：vpnSysVar与值“sysopt”的单个条目
• 去对象>对象Management> FlexConfig > FlexConfig对象>Add FlexConfig对象。
• 用CLI “连接permit-vpn”创建FlexConfig对象：
• 插入文本对象变量在flexconfig对象在CLI的开始作为“$vpnSysVar连接permit-vpn”，点击“Save” ：
  
  
  
  
• 应用FlexConfig对象和添附并且选择配置对每次：
  
  
  
  
• 去设备> FlexConfig并且编辑现有策略或用新的策略按钮创建新的。
• 添加被创建的FlexConfig，点击“Save”。
• 配置配置设置“sysopt连接permit-vpn” on命令设备。

然而这，将去除可能性使用访问控制策略检查来自用户的数据流。您能仍然使用VPN过滤器或可下载的ACLS过滤用户数据流。

如果看到丢弃信息包的喷鼻息的问题从VPN用户，请与参考CSCvg91399的TAC联系 。