問題
目標是在Cisco安全防火牆FTD上使用RADIUS(針對Windows加入域的伺服器)成功進行VPN身份驗證後,使VPN使用者能夠完全訪問內部網路資源。
VPN安裝程式已正常運行;您可以下載並安裝VPN客戶端並成功進行身份驗證。問題集中在配置必要的訪問控制和NAT規則以允許通過VPN進行所需的內部資源訪問。
環境
- 產品:思科安全防火牆Firepower(FTD)7.6.0版(適用於所有FTD)
- 管理:Firepower管理中心(FMC)、雲交付的FMC(cdFMC)或Firepower裝置管理器(FDM)
- 軟體版本:7.6.0
解析
這些步驟詳細說明了允許VPN使用者訪問Cisco FTD上的內部資源(如RDP和Active Directory)所需的配置。這包括建立訪問策略規則、為VPN流量配置NAT豁免和髮夾型NAT,以及使用故障排除命令驗證配置。
1: 新增訪問清單條目以允許VPN地址池訪問內部資源。
access-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528
access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY:預設訪問控制策略 — 必備
access-list CSM_FW_ACL_ remark rule-id 268438528: L7 RULE: Permit_VPN_Pool
2: 新增訪問清單規則以允許內部資源將返回流量傳送到VPN池:
access-list CSM_FW_ACL_ advanced permit ip any object VPN_Pool
以後可以對這些規則進行收緊,以根據需要限制特定源和目標。
3:為VPN流量配置NAT免除或髮夾型NAT
有兩種常見方法:
nat(outside,inside)source static VPN_Pool VPN_Pool destination static Net_192.168.95.1-24 Net_192.168.95.1-24 route-lookup
- 選項B:同一介面上VPN池的髮夾NAT(no-proxy-arp)
nat(any,any)source static VPN_Pool VPN_Pool no-proxy-arp
nat(outside,outside)動態VPN_Pool介面
正確的方法取決於內部資源是位於同一物理介面(要求髮夾型NAT)還是不同介面(NAT免除)。
4:使用packet-tracer命令模擬從VPN池到內部資源的流量流,並驗證目標規則、NAT和路由是否允許該流量。
icmp 192.168.250.1 8 0 192.168.95.1外部的packet-tracer輸入
tcp 192.168.250.1 12345 192.168.95.1 80以外的packet-tracer輸入
icmp 192.168.95.1 8 0 192.168.250.1內部的packet-tracer輸入
tcp 192.168.250.1 54321 192.168.95.1 443內部的packet-tracer輸入
—
第5階段
ID:5
型別:ACCESS-LIST
Result: ALLOW
Config: access-group CSM_FW_ACL_ globalaccess-list CSM_FW_ACL_ advanced permit ip object VPN_Pool any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: Default Access Control Policy - Mandatoryaccess-list CSM_FW_ACL_ remark rule-id 268438528: L7 RULE: Permit_VPN_Pool
其他資訊:此資料包將傳送到snort以進行其他處理,在此過程中將達到判定結果基於轉發流的查詢結果規則:在id=0x40009d6ae190,priority=12,domain=permit,deny=false hits=1300,user_data=0x0000000000000000,cs_id=0x0,use_real_addr,flags=0x0,protocol=0 src ip/id=240.0.0.0,mask=255.255.255,port=0,tag=any, ifc=any dst ip/id=240.5.0.2, mask=255.255.255.255, port=0, tag=any, ifc=any, dscp=0x0, input_ifc=any, output_ifc=any
運行時間:0納秒
—
第7階段
ID:7
型別:NAT
Result: ALLOW
配置:nat(outside,outside)動態VPN_Pool介面
其他資訊:靜態轉換192.168.250.1/12345 to 192.168.250.1/12345 Forward Flow based lookup yields rule: in id=0x40009d6ad0a0, priority=6, domain=nat, deny=false hits=274, user_data=0x000040009963a2d0, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.250.1, mask=255.255.255.255, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dscp=0x0, input_ifc=any, output_ifc=any
運行時間:0納秒
註: WebVPN階段的Packet Tracer輸出可能顯示外部介面上的VPN流量下降。這是外部介面上的純文字檔案流量的預期行為,仍然可用於驗證NAT。
其他注意事項:
- 威脅防禦UI中的資料包捕獲可能只顯示傳入請求。如果未觀察到丟包,但流量未到達內部資源,請檢查NAT和訪問清單規則。
- 當SSH不可用時,可通過cdFMC中的威脅防禦UI功能執行所有故障排除,但命令使用受到限制。
- 可能需要對相鄰裝置進行某些修改才能實現端到端連線。請確保根據需要驗證這些修改。
原因
根本原因是VPN到內部和內部到VPN池流量的訪問策略和NAT配置不足。預設配置不允許從VPN池到內部資源進行完全雙向通訊並返回,也不處理在同一介面上流量傳入和傳出的髮夾型NAT要求。
相關內容
意見