简介
本文档介绍如何配置在运行版本6.5.0及更高版本的机上管理器FDM管理的FTD上的RA VPN部署。
先决条件
要求
思科建议您了解Firepower设备管理器(FDM)上的远程访问虚拟专用网(RA VPN)配置。
许可
- Firepower威胁防御(FTD)注册到智能许可门户,并启用导出控制功能(以便启用RA VPN配置选项卡)
- 任何已启用的AnyConnect许可证(APEX、Plus或仅VPN)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行版本6.5.0-115的Cisco FTD
- Cisco AnyConnect Secure Mobility Client 版本 4.7.01076
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
通过FDM配置FTD时,当您尝试通过外部接口为AnyConnect客户端建立连接时,如果通过同一接口访问管理,则会遇到困难。这是FDM的已知限制。已针对此问题提出CSCvm76499增强请求。
配置
网络图
AnyConnect Client Authentication with use of Local(AnyConnect客户端身份验证使用本地)。
验证FTD上的许可
步骤1:验证设备是否已注册到智能许可,如图所示:
第二步: 验证设备上是否启用了AnyConnect许可证,如图所示。
第三步: 验证是否在令牌中启用了导出控制功能,如图所示:
定义受保护的网络
导航至 Objects > Networks > Add new Network
.从FDM GUI配置VPN池和LAN网络。 创建VPN池以用于AnyConnect用户的本地地址分配,如图所示:
在FDM设备后面创建本地网络对象,如图所示:
创建本地用户
导航至 Objects > Users > Add User
.添加通过Anyconnect连接到FTD的VPN本地用户。创建本地用户,如图所示:
添加证书
导航至 Objects > Certificates > Add Internal Certificate
. 配置证书,如图所示:
上传证书和私钥,如图所示:
可以通过复制并粘贴或每个文件的上传按钮上传证书和密钥,如图所示:
配置远程访问VPN
导航至 Remote Access VPN > Create Connection Profile
. 在FDM上浏览RA VPN向导,如图所示:
创建连接配置文件并开始配置,如图所示:
选择身份验证方法,如图所示。本指南使用本地身份验证。
选择 Anyconnect_Pool
对象,如图所示:
默认组策略的摘要显示在下一页上。当您点击下拉菜单并选择以下选项时,可以创建新的组策略 Create a new Group Policy
.在本指南中,使用默认组策略。选择策略顶部的编辑选项,如图所示:
在组策略中,添加拆分隧道,以便连接到Anyconnect的用户仅通过Anyconnect客户端发送发往内部FTD网络的流量,而所有其他流量均流出用户的ISP连接,如图所示:
在下一页上,选择 Anyconnect_Certificate
已添加到证书部分。 接下来,选择FTD侦听AnyConnect连接的接口。 选择用于已解密流量的旁路访问控制策略(sysopt permit-vpn
影响。这是一个可选命令,如果 sysopt permit-vpn
未选择。必须创建访问控制策略,以允许来自Anyconnect客户端的流量访问内部网络,如图所示:
NAT免除可以手动配置在 Policies > NAT
也可以由向导自动配置。如图所示,选择Anyconnect客户端访问所需的内部接口和网络。
为用户可以连接的每个操作系统(Windows/Mac/Linux)选择Anyconnect软件包,如图所示。
最后一页提供了整个配置的摘要。确认已设置正确的参数,然后点击Finish(完成)按钮并部署新配置。
验证
使用本部分可确认配置能否正常运行。
部署配置后,尝试连接。如果您有一个解析为FTD的外部IP的FQDN,请在Anyconnect连接框中输入该FQDN。在本示例中,使用FTD的外部IP地址。使用在FDM的对象部分中创建的用户名/密码,如图所示。
从FDM 6.5.0开始,无法通过FDM GUI监视Anyconnect用户。唯一的选项是通过CLI监控Anyconnect用户。FDM GUI的CLI控制台也可用于验证用户是否已连接。使用此命令, Show vpn-sessiondb anyconnect
.
同一命令可以直接从CLI运行。
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : Anyconnect_User Index : 15
Assigned IP : 192.168.19.1 Public IP : 172.16.100.15
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 38830 Bytes Rx : 172
Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect
Login Time : 01:08:10 UTC Thu Apr 9 2020
Duration : 0h:00m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none Tunnel Zone : 0
故障排除
本节提供可用于对配置进行故障排除的信息。
如果用户无法通过SSL连接到FTD,请执行以下步骤以隔离SSL协商问题:
- 验证可以通过用户的计算机ping FTD以外的IP地址。
- 使用外部嗅探器验证TCP三次握手是否成功。
AnyConnect客户端问题
本部分提供了对两个最常见的AnyConnect VPN客户端问题进行故障排除的指南。有关AnyConnect客户端的故障排除指南,请参阅AnyConnect VPN客户端故障排除指南。
初始连接问题
如果用户存在初始连接问题,请启用调试 webvpn
FTD上的AnyConnect并分析调试消息。调试必须在FTD的CLI上运行。使用命令 debug webvpn anyconnect 255
.
从客户端计算机收集DART捆绑包以从AnyConnect获取日志。有关如何收集DART捆绑包的说明,请参阅收集DART捆绑包。
特定流量问题
如果连接成功,但流量在SSL VPN隧道上失败,请查看客户端上的流量统计信息,以验证客户端正在接收和传输流量。详细的客户端统计信息在AnyConnect的所有版本中均可用。如果客户端显示正在发送和接收流量,请检查FTD中是否有已接收和已传输的流量。如果FTD应用过滤器,则会显示过滤器名称,您可以查看ACL条目以检查您的流量是否被丢弃。用户遇到的常见流量问题包括:
- FTD后的路由问题 — 内部网络无法将数据包路由回分配的IP地址和VPN客户端
- 访问控制列表阻止流量
- VPN流量未绕过网络地址转换
有关由FDM管理的FTD上的远程访问VPN的详细信息,请在此找到完整配置指南:由FDM管理的远程访问FTD。