AnyConnect在FTD的远程访问VPN配置

简介

本文为Firepower威胁防御(FTD)版本6.2.2和以上提供配置示例，那允许远程访问VPN使用传输层安全(TLS)和互联网密钥交换版本2 (IKEv2)。作为客户端，将使用Cisco AnyConnect，多个平台支持。

要求

Cisco 建议您了解以下主题：

• 基本VPN、TLS和IKEv2知识
• 基本认证、授权和核算(AAA)和RADIUS知识
• 体验与Firepower管理中心

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco FTD 6.2.2
• AnyConnect 4.5

配置

1. Preresiquites

为了通过远程访问向导在Firepower管理中心，您首先将需要遵从这些步骤：

• 创建用于服务器验证的证书，
• 配置RADIUS或LDAP服务器用户认证的，
• 创建VPN用户的地址池，
• 上载另外平台的AnyConnect镜像。

a) 导入SSL证书

当您配置AnyConnect时，证书是重要的。RSA SSL和IPSec支持仅基于证书。 IPSec，但是它支持椭圆曲线数字签名算法证书(ECDSA)不是可能部署新建的AnyConnect包或XML配置文件，当ECDSA使用时基于证书。意味着您能使用它IPSec，但是您将必须predeploy AnyConnect包，并且对每个用户的XML配置文件和在XML配置文件上的所有变化在每个客户端(bug将必须手工反射：CSCtx42595 )。证书应该另外有与DNS名和IP地址的避免附属的替代方案名称的分机在Web浏览器的错误。

有获取在FTD设备的一证书的几个方法，但是安全和容易那个是创建证书签名请求(CSR)，签署为公共密钥然后进口证明书发出的它，在CSR。这是如何执行那：

• 去对象>对象Management> PKI > Cert登记，点击Add Cert登记：

• 选择登记类型并且粘贴Certificate Authority (CA)证书，
• 即然后请去第二选项卡并且选择自定义FQDN并且填装所有必要的字段， ：

• 在第三选项卡， Select键类型，选择名称和大小。对于RSA， 2048个字节最低。
• 点击保存并且去设备>证书>Add >New证书。然后请选择设备，并且在Cert登记下请选择您已创建，点击添加的信任点：

• 以后，在信任点名称旁边，请点击图标、然后是和以后该复制CSR对CA并且签署它。证书应该有属性作为正常HTTPS服务器。
• 在接收从CA的证书以后在base64格式，请从磁盘选择它并且点击导入。当这成功时，您应该看到：

b) 配置RADIUS服务器

在FTD platftorm，不可能使用本地用户数据库，因此您需要RADIUS或LDAP服务器用户认证的。配置RADIUS ：

• 去对象>对象Management> RADIUS服务器组>Add RADIUS服务器组。
• 填装名称并且与共享机密一起添加IP地址，点击“Save” ：

• 以后您应该看到在列表的服务器：

c) 创建VPN用户的地址池

• 去对象>对象Management>地址池>Add IPv4池：
• 放置名称，并且范围，掩码不是需要的：

d) 创建XML配置文件

• 下载从Cisco站点的配置文件编辑器并且打开它。
• 去服务器列表>Add…
• 放置显示名称和FQDN。您应该看到在服务器列表的条目：

• 点击OK键和File > Save As… 

e) 上载AnyConnect镜像

• 下载从Cisco站点的pkg镜像。
• 去对象>对象Management> VPN > AnyConnect File>添加AnyConnect文件。
• 键入名称，并且挑选PKG文件从磁盘，点击“Save” ：

• 根据您的需求添加更多包。

2. 远程访问向导

• 去设备> VPN >远程访问>Add一新的配置。
• 根据您的需要给出配置文件，挑选FTD设备：

• 在步骤连接配置文件，类型连接配置文件名称，选择您及早创建的认证服务器和地址池：

• 点击Edit组策略和在选项卡AnyConnect，选择客户端配置文件，然后点击“Save” ：

• 在Next页，请选择AnyConnect镜像并且其次单击：

• 在Next屏幕上，请选择网络接口和DeviceCertificates ：

• 当一切正确地时配置，您能点击芬通社然后部署：

• 这与证书和AnyConnect包一起将复制全部的配置到FTD设备。

连接

连接到您需要打开浏览器的FTD，类型DNS名或者IP地址指向外部接口，在本例中https://vpn.cisco.com。您然后将必须登陆使用在RADIUS服务器存储的凭证和遵从关于屏幕的说明。 一旦AnyConnect安装，您在AnyConnect窗口然后需要放置同一个地址并且单击连接。

限制

当前不支持的在FTD，但是联机在ASA ：

• 双AAA认证
• 动态访问策略
• 主机扫描
• ISE状态
• RADIUS CoA
• VPN负载均衡设备
• 本地认证(增强：CSCvf92680 )
• LDAP属性地图
• AnyConnect自定义
• AnyConnect脚本
• AnyConnect本地化
• 每APP VPN
• SCEP代理
• WSA集成
• SAML SSO
• RA和L2L的VPN同时IKEv2动态加密映射
• AnyConnect模块(NAM、Hostscan， AMP启动器等)默认情况下–箭安装
• TACACS， Kerberos (KCD验证和RSA SDI)
• 浏览器代理

安全考虑

默认情况下您需要记住那， sysopt连接permit-vpn选项禁用。这意味着，您需要允许来自外部接口的地址池的流量通过访问控制策略的那。虽然PRE过滤器或访问控制规则是被添加的打算允许仅VPN流量，如果明文流量偶然匹配规则标准，不正确允许。

有两个途径对此问题。首先， TAC推荐了选项，是启用反电子欺骗(在叫作单播反向路径转发的ASA - uRPF)外部接口的和第二是使sysopt连接permit-vpn绕过喷鼻息检查完全。第一个选项准许通常检查去到/从VPN用户的流量。

a) 启用uRPF

• 创建用于远程访问用户的网络的无效路由，定义在部分c。去设备>设备管理> Edit >路由>静态路由>Add路由：

• 第二，您需要启用在终止VPN连接的接口的uRPF。您在设备>设备管理> Edit >接口> Edit能找到它>Advanced > Security Configuration> Enable (event)反伪装：

当用户连接时， 32位路由为该用户在路由表里安装。从其他发出的明文流量，从池的未使用IP地址由uRFP丢弃。反电子欺骗在此页描述：

设置在Firepower威胁防御的安全配置参数

b) 启用sysopt连接permit-vpn选项

• 如果有版本6.2.3或以上，有选项执行它在向导期间或在设备> VPN >远程访问> VPN配置文件下>Access接口：

• 对于在6.2.3之前的版本，请去对象>对象Management> FlexConfig >文本对象>Add文本对象。
• 例如创建文本对象变量， ：vpnSysVar与值“sysopt”的单个条目
• 去对象>对象Management> FlexConfig > FlexConfig对象>Add FlexConfig对象。
• 创建与CLI “连接permit-vpn”的FlexConfig对象：
• 在CLI的开始插入在flexconfig对象的文本对象变量作为“$vpnSysVar连接permit-vpn”，点击“Save” ：
  
  
  
  
• 应用FlexConfig对象如追加并且选择部署对每次：
  
  
  
  
• 去设备> FlexConfig并且编辑现有策略或创建新的用新的策略按钮。
• 添加已创建FlexConfig，点击“Save”。
• 部署配置设置“sysopt连接permit-vpn” on命令设备。

然而这，将删除可能性使用访问控制策略检查来自用户的流量。您能仍然使用VPN过滤器或可下载的ACLs过滤用户数据流。

如果看到与丢弃数据包的喷鼻息的问题从VPN用户，请与参考CSCvg91399的TAC联系 。