为使用HairPin NAT的FTD上的VPN用户配置内部资源访问

问题

目标是在Cisco安全防火墙FTD上使用RADIUS（针对Windows加入域的服务器）成功进行VPN身份验证后，使VPN用户能够完全访问内部网络资源。

VPN设置已可操作；您可以下载并安装VPN客户端并成功进行身份验证。问题的重点是配置必要的访问控制和NAT规则以允许通过VPN访问所需的内部资源。

环境

• 产品：Cisco Secure Firewall Firepower(FTD)，版本7.6.0（适用于所有FTD）
• 管理：Firepower管理中心(FMC)、云交付FMC(cdFMC)或Firepower设备管理器(FDM)
• 软件版本：7.6.0

分辨率

这些步骤详细说明了允许VPN用户访问Cisco FTD上的内部资源（如RDP和Active Directory）所需的配置。这包括创建访问策略规则、为VPN流量配置NAT豁免和发夹NAT，以及使用故障排除命令验证配置。

1：添加访问列表条目以允许VPN地址池访问内部资源。

access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528 

access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: Default Access Control Policy - Mandatory

access-list CSM_FW_ACL_remark rule-id 268438528: L7 RULE: Permit_VPN_Pool

2：添加访问列表规则，以允许内部资源将返回流量发送到VPN池：

access-list CSM_FW_ACL_ advanced permit ip any object VPN_Pool

以后可根据需要收紧这些规则，以限制特定源和目标。

3：为VPN流量配置NAT免除或发夹NAT

有两种常用方法：

• • 选项A:VPN池到内部子网的NAT免除

nat(outside，inside)source static VPN_Pool VPN_Pool destination static Net_192.168.95.1-24 Net_192.168.95.1-24 route-lookup

• • 选项B：同一接口上VPN池的发夹NAT(no-proxy-arp)

nat(any，any)源静态VPN_Pool VPN_Pool no-proxy-arp

• • 选项C：外部接口上VPN池的动态发夹NAT

nat（外部，外部）动态VPN_Pool接口

 正确的方法取决于内部资源是位于同一物理接口（需要发夹NAT）还是不同接口（NAT免除）。

4：使用packet-tracer命令模拟从VPN池到内部资源的流量，并验证预期规则、NAT和路由是否允许流量。 

packet-tracer input outside icmp 192.168.250.1 8 0 192.168.95.1

packet-tracer输入tcp 192.168.250.1 12345 192.168.95.1 80

packet-tracer input inside icmp 192.168.95.1 8 0 192.168.250.1

packet-tracer input inside tcp 192.168.250.1 54321 192.168.95.1 443

—

第 5 阶段

ID:5

类型：ACCESS-LIST

结果：允许

配置：access-group CSM_FW_ACL_ globalaccess-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528：访问策略：默认访问控制策略 — 强制访问列表CSM_FW_ACL_ remark rule-id 268438528:L7规则：Permit_VPN_Pool

其他信息：此数据包将发送至snort以进行其他处理，判定结果将到达基于转发流的查找结果规则：在id=0x40009d6ae190,priority=12,domain=permit，deny=false hits=1300,user_data=0x0000000000000000,cs_id=0x0,use_real_addr，flags=0x0,protocol=0 src ip/id=240.0.0,mask=255.255.255,port=0,tag=any， ifc=any dst ip/id=240.5.0.2, mask=255.255.255.255, port=0, tag=any， ifc=any， dscp=0x0, input_ifc=any， output_ifc=any

运行时间：0纳秒

—

第 7 阶段

ID:7

类型：NAT

结果：允许

配置：nat(outside，outside)动态VPN_Pool接口

其他信息：静态转换192.168.250.1/12345 to 192.168.250.1/12345 Forward Flow based lookup yields rule: in id=0x40009d6ad0a0, priority=6, domain=nat, deny=false hits=274, user_data=0x000040009963a2d0, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.250.1, mask=255.255.255.255, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dscp=0x0, input_ifc=any, output_ifc=any

运行时间：0纳秒

注:WebVPN阶段的Packet-tracer输出可能显示外部接口上VPN流量的丢弃。这是外部接口上纯文本流量的预期行为，仍可用于验证NAT。

其他说明：

• 威胁防御UI中的数据包捕获可能只显示传入请求。如果未观察到丢包，但流量未到达内部资源，请检查NAT和访问列表规则。
• 当SSH不可用时，可通过cdFMC中的威胁防御UI功能执行所有故障排除，但命令使用受到限制。
• 可能需要对相邻设备进行一些修改才能建立端到端连接。请确保根据需要对这些修改进行验证。

原因

根本原因是VPN到内部和内部到VPN池流量的访问策略和NAT配置不足。默认配置不允许从VPN池到内部资源以及回传的完全双向通信，也不处理同一接口上流量传入和传出的发夹NAT要求。

相关内容

• 在FTD上配置NAT免除
• 思科技术支持和下载