简介
本文档介绍在FMC管理的Firepower威胁防御(FTD)上为SSL和IKEv2 AnyConnect配置自定义端口的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 基本了解远程访问VPN(RAVPN)
- 具有Firepower管理中心(FMC)的经验
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科FTD - 7.6
- 思科FMC - 7.6
- Windows 10
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
AnyConnect的SSL/DTLS端口更改
1.导航到设备> VPN >远程访问,并编辑现有的远程访问策略。
2.导航到Access Interfaces部分,将SSL设置下的Web Access Port Number和DTLS Port Number更改为您选择的端口。
AnyConnect的SSL和DTLS端口更改
3.保存配置。
AnyConnect的IKEv2端口更改
1.导航到设备> VPN >远程访问,并编辑现有的远程访问策略。
2.导航到高级部分,然后导航到IPsec >加密映射。编辑策略并将端口更改为所需的端口。
AnyConnect的IKEv2端口更改
3.保存配置并进行部署。
注意:将自定义端口与AnyConnect客户端配置文件一起使用时,请注意服务器列表中的主机地址字段必须具有X.X.X.X:port(192.168.50.5:444)才能进行连接。
验证
1.部署后,可使用show run webvpn和show run crypto ikev2命令验证配置:
> show run webvpn
webvpn
port 444 <----- Custom Port that has been configured for SSL
enable outside
dtls port 444 <----- Custom Port that has been configured for DTLS
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-X.X.X.X-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
> show run crypto ikev2
crypto ikev2 policy 10
encryption aes-gcm-256 aes-gcm-192 aes-gcm
integrity null
group 21 20 19 16 15 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 444 <----- Custom Port configured for IKEv2 Client Services
2.通过自定义端口从浏览器/AnyConnect应用访问远程访问进行验证:
通过自定义端口访问AnyConnect进行验证
故障排除
- 确保远程访问配置中使用的端口不在其他服务中使用。
- 确保ISP或任何中间设备未阻塞端口。
- FTD上的捕获可用于验证数据包是否到达防火墙以及是否发送了响应。