简介
本文档介绍如何在FMC管理的Firepower威胁防御(FTD)v6.3上配置思科远程访问VPN解决方案(AnyConnect)。
先决条件
要求
Cisco 建议您了解以下主题:
- 基本的远程访问VPN、安全套接字层(SSL)和互联网密钥交换版本2(IKEv2)知识
- 基本身份验证、授权和记帐(AAA)以及RADIUS知识
- 基本的FMC知识
- 基本的FTD知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科FMC 6.4
- 思科FTD 6.3
- AnyConnect 4.7
本文档介绍在Firepower威胁防御(FTD)版本6.3(由Firepower管理中心(FMC)管理)上配置思科远程访问VPN解决方案(AnyConnect)的过程。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档旨在介绍FTD设备上的配置。如果您寻找ASA配置示例,请参阅文档:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html
限制:
目前,这些功能在FTD上不受支持,但在ASA设备上仍然可用:
- 双AAA身份验证(在FTD 6.5版上可用)
- 动态访问策略
- 主机扫描
- ISE终端安全评估
- RADIUS CoA
- VPN负载均衡器
- 本地身份验证(在Firepower设备管理器6.3上可用。Cisco Bug ID CSCvf92680)
- LDAP属性映射(通过FlexConfig提供,思科漏洞ID CSCvd64585)
- AnyConnect自定义
- AnyConnect脚本
- AnyConnect本地化
- 每应用VPN
- SCEP代理
- WSA集成
- SAML SSO(思科漏洞ID CSCvq90789)
- RA和L2L VPN的同步IKEv2动态加密映射
- AnyConnect模块(NAM、Hostscan、AMP Enabler、SBL、Umbrella、网络安全等)。DART是此版本中默认安装的唯一模块。
- TACACS、Kerberos(KCD身份验证和RSA SDI)
- 浏览器代理
配置
要通过FMC中的远程访问VPN向导,必须完成以下步骤:
步骤1:导入SSL证书
配置AnyConnect时,证书至关重要。SSL和IPSec仅支持基于RSA的证书。
IPSec支持椭圆曲线数字签名算法(ECDSA)证书,但是,当使用基于ECDSA的证书时,无法部署新的AnyConnect软件包或XML配置文件。
它可用于IPSec,但您必须预部署AnyConnect软件包和XML配置文件,所有XML配置文件更新必须在每个客户端上手动推送(Cisco bug ID CSCtx42595)。
此外,证书必须包含带有DNS名称和/或IP地址的公用名(CN)扩展,以避免Web浏览器中出现“不受信任的服务器证书”错误。
注意:在FTD设备上,生成证书签名请求(CSR)之前需要证书颁发机构(CA)证书。
- 如果在外部服务器(例如Windows Server或OpenSSL)中生成CSR,manual enrollment method将会失败,因为FTD不支持手动密钥注册。
- 必须使用其他方法,例如PKCS12。
为了使用手动注册方法获取FTD设备的证书,需要生成CSR,使用CA对其进行签名,然后导入身份证书。
1.导航到设备>证书,然后选择添加,如图所示。
2.选择Device并添加新的Cert Enrollment对象,如图所示。
3.选择手动注册类型并粘贴CA证书(用于签署CSR的证书)。
4.选择Certificate Parameters选项卡,然后为Include FQDN字段选择“自定义FQDN”,并填写图像中所示的证书详细信息。
5.选择键选项卡,然后选择键类型,您可以选择名称和大小。对于RSA,最低要求为2048字节。
6.选择“保存”,确认设备,然后在证书注册下,选择刚创建的信任点,选择添加以部署证书。
7.在状态列中,选择ID图标,然后选择是以生成CSR,如图所示。
8.复制CSR并用您首选的CA(例如GoDaddy或DigiCert)签名。
9.从CA收到身份证书(必须采用base64格式)后,选择Browse Identity Certificate,然后在本地计算机上查找证书。选择导入。
10.导入后,CA和ID证书详细信息将可供显示。
第二步:配置RADIUS服务器
在FMC管理的FTD设备上,不支持本地用户数据库,必须使用其他身份验证方法,例如RADIUS或LDAP。
1.导航到对象 > 对象管理 > RADIUS服务器组 > 添加RADIUS服务器组,如图所示。
2.为Radius Server Group分配名称并添加Radius服务器IP地址以及共享密钥(需要共享密钥才能将FTD与Radius服务器配对),完成此表单后,请选择Save(如图所示)。
3. RADIUS服务器信息现在在Radius服务器列表中可用,如图所示。
第三步:创建IP池
1.导航到对象 > 对象管理 > 地址池 > 添加IPv4池。
2.分配IP地址的名称和范围,不需要Mask字段,但可以如图所示指定。
第四步:创建XML配置文件
1.从Cisco.com下载配置文件编辑器工具并运行该应用程序。
2.在“配置文件编辑器”应用程序中,导航到服务器列表,然后选择添加,如图所示。
3.分配显示名称、完全限定域名(FQDN)或IP地址,然后选择确定(如图所示)。
4.现在可在Server List菜单中看到该条目:
5.定位至文件 > 另存为。
注意:使用带有.xml扩展名的易于识别名称保存配置文件。
第五步:上传Anyconnect XML配置文件
1.在FMC中,导航至Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。
2.为对象指定名称,然后单击浏览,在本地系统中找到客户端配置文件,然后选择保存。
注意:确保选择Anyconnect Client Profile作为文件类型。
第六步:上传AnyConnect映像
1.从思科下载网页下载webdeploy(.pkg)映像。
2.导航到“对象”(Objects)> “对象管理”(Object Management)> “VPN”(VPN)> AnyConnect文件(AnyConnect File)> 添加AnyConnect文件(Add AnyConnect File)。
3.为Anyconnect软件包文件指定名称,并在选择文件后从本地系统选择.pkg文件。
4.选择保存。
注意:可根据您的要求(Windows、Mac、Linux)上传其他软件包。
步骤 7.远程访问VPN向导
根据前面的步骤,可以相应地执行远程访问向导。
1.导航到设备 > VPN > 远程访问。
2.分配远程访问策略的名称,然后从Available Devices中选择FTD设备。
3.分配连接配置文件名称(连接配置文件名称是隧道组名称),选择Authentication Server和Address Pools,如图所示。
4.选择+符号以创建组策略。
5.(可选)可以基于组策略配置本地IP地址池。如果未配置,则从连接配置文件(隧道组)中配置的池继承该池。
6.对于此场景,所有流量都通过隧道路由,IPv4分割隧道策略设置为Allow all traffic over the tunnel,如图所示。
7.为Anyconnect配置文件选择.xml配置文件,然后选择保存,如图所示。
8.根据运行的系统要求选择所需的AnyConnect映像,然后选择Next(如图所示)。
9.选择安全区和设备证书:
- 此配置定义VPN终止所在的接口以及SSL连接上显示的证书。
注意:在此场景中,FTD配置为不检查任何VPN流量,并会切换访问控制策略(ACP)选项。
10.选择完成并部署更改:
- 与VPN、SSL证书和AnyConnect软件包相关的所有配置均通过FMC Deploy进行推送,如图所示。
NAT免除和发夹
步骤1:NAT免除配置
NAT免除是首选转换方法,用于防止流量在流经VPN隧道(远程访问或站点到站点)时路由到互联网。
当来自内部网络的流量要流经隧道而不进行任何转换时,需要执行此操作。
1.导航至对象>网络>添加网络>添加对象,如图所示。
2.导航到设备(Device)> NAT,选择相关设备使用的NAT策略,并创建新语句。
注:流量从内部流向外部。
3.选择FTD(原始源和转换后的源)后面的内部资源和目标作为Anyconnect用户的ip本地池(原始目标和转换后的目标),如图所示。
4.确保切换选项(如图所示),要在NAT规则中启用“no-proxy-arp”和“route-lookup”,请选择OK(如图所示)。
5.这是NAT免除配置的结果。
上一节中使用的对象如下所述。
第二步:发夹配置
这种转换方法也称为U-turn,它允许流量通过接收流量的同一接口进行传输。
例如,当Anyconnect配置了Full tunnel拆分隧道策略时,根据NAT免除策略访问内部资源。如果Anyconnect客户端流量要到达互联网上的外部站点,发夹NAT(或U-turn)负责将流量从外部路由到外部。
在NAT配置之前,必须创建VPN池对象。
1.创建新的NAT语句,在NAT Rule字段中选择Auto NAT Rule,然后选择Dynamic作为NAT Type。
2.为源接口对象和目标接口对象(外部)选择同一接口:
3.在“转换”选项卡中,选择vpn-pool对象作为原始源,然后选择目标接口IP作为转换源,然后选择确定(如图所示)。
4.这是NAT配置的摘要,如图所示。
5.单击保存并部署更改。
验证
使用本部分可确认配置能否正常运行。
在FTD命令行中运行这些命令。
- sh crypto ca certificates
- show running-config ip local pool
- show running-config webvpn
- show running-config tunnel-group
- show running-config group-policy
- show running-config ssl
- show running-config nat
故障排除
当前没有可用于此配置的特定故障排除信息。</>