Konfigurieren des Remote Access VPN auf dem vom FDM verwalteten FTD
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Konfigurieren des Remote Access VPN auf dem vom FDM verwalteten FTD Inhalt Einführung Hintergrundinformationen Voraussetzungen Anforderungen Lizenzierung Verwendete Komponenten Konfigurieren Netzwerkdiagramm Überprüfen der Lizenzierung für FTD Definition von geschützten Netzwerken Lokale Benutzer erstellen Zertifikat hinzufügen Konfigurieren des Remote Access VPN Überprüfen Fehlerbehebung Probleme mit dem AnyConnect Client Anfängliche Verbindungsprobleme Datenverkehrsspezifische Probleme Einführung In diesem Dokument wird beschrieben, wie Sie die Bereitstellung eines Remote Access Virtual Private Network (RA VPN) auf Firepower Threat Defense (FTD) konfigurieren, das vom integrierten Manager FirePOWER Device Manager (FDM) mit Version 6.5.0 und höher verwaltet wird. Hintergrundinformationen FTD kann nicht über FDM für AnyConnect-Clients konfiguriert werden, um eine Verbindung zur externen Schnittstelle herzustellen, während die Verwaltung über dieselbe Schnittstelle geöffnet wird. Dies ist eine bekannte Einschränkung von FDM. CSCvm76499 für Verbesserungsantrag wurde für dieses Problem abgelegt. Voraussetzungen Anforderungen Cisco empfiehlt, dass Sie über die RA VPN-Konfiguration für FDM verfügen.
Lizenzierung
● FTD registriert im Smart Licensing-Portal mit aktivierten Export-gesteuerten Funktionen (um
die Aktivierung der Registerkarte für die RA VPN-Konfiguration zu ermöglichen)
● Alle aktivierten AnyConnect-Lizenzen (APEX, Plus oder VPN Only)
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und
Hardwareversionen:
● Cisco FTD mit Version 6.5.0-115
● Cisco AnyConnect Secure Mobility Client Version 4.7.01076
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten
Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren
(Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie
die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
Netzwerkdiagramm
AnyConnect-Client-Authentifizierung unter Verwendung von Local.
Überprüfen der Lizenzierung für FTD
Schritt 1: Überprüfen Sie, ob das Gerät wie im Bild gezeigt bei Smart Licensing registriert ist.
Schritt 2: Überprüfen Sie, ob AnyConnect-Lizenzen, wie im Bild gezeigt, auf dem Gerät aktiviert sind.
Schritt 3: Überprüfen Sie, ob im Token die Funktion "Exportieren" aktiviert ist, wie im Bild gezeigt. Definition von geschützten Netzwerken Navigieren Sie zu Objekte > Netzwerke > Neues Netzwerk hinzufügen. Konfigurieren von VPN- Pool und LAN-Netzwerken über die FDM-GUI Erstellen Sie einen VPN-Pool, um wie im Bild gezeigt für die Zuweisung lokaler Adressen zu AnyConnect-Benutzern verwendet zu werden. Erstellen Sie ein Objekt für das lokale Netzwerk hinter dem FDM-Gerät, wie im Bild gezeigt. Lokale Benutzer erstellen Navigieren Sie zu Objekte > Benutzer > Benutzer hinzufügen. Fügen Sie lokale VPN-Benutzer
hinzu, die über AnyConnect mit FTD verbunden werden. Erstellen Sie lokale Benutzer, wie im Bild gezeigt. Zertifikat hinzufügen Navigieren Sie zu Objekte > Zertifikate > Internes Zertifikat hinzufügen. Konfigurieren Sie ein Zertifikat wie im Bild gezeigt. Laden Sie sowohl das Zertifikat als auch den privaten Schlüssel hoch, wie im Bild gezeigt.
Das Zertifikat und der Schlüssel können durch Kopieren und Einfügen oder durch Hochladen für jede Datei hochgeladen werden, wie im Bild gezeigt.
Konfigurieren des Remote Access VPN Navigieren Sie zu Remotezugriffs-VPN > Verbindungsprofil erstellen. Gehen Sie den Remote Access VPN-Assistenten für FDM durch, wie im Bild gezeigt.
Erstellen Sie ein Verbindungsprofil, und starten Sie die Konfiguration wie im Bild gezeigt.
Wählen Sie die Authentifizierungsmethoden wie im Bild gezeigt aus. In diesem Handbuch wird die lokale Authentifizierung verwendet.
Wählen Sie das Objekt Anyconnect_Pool wie im Bild gezeigt aus.
Auf der nächsten Seite wird eine Zusammenfassung der Standardgruppenrichtlinie angezeigt. Sie können eine neue Gruppenrichtlinie erstellen, indem Sie auf das Dropdown-Menü klicken und die Option zum Erstellen einer neuen Gruppenrichtlinie auswählen. Für dieses Handbuch wird die Standardgruppenrichtlinie verwendet. Wählen Sie die Bearbeitungsoption oben in der Richtlinie aus, wie im Bild gezeigt. Fügen Sie in der Gruppenrichtlinie Split-Tunneling hinzu, sodass Benutzer, die mit AnyConnect verbunden sind, nur Datenverkehr an das interne FTD-Netzwerk über den Anyconnect-Client senden, während der gesamte andere Datenverkehr die ISP-Verbindung des Benutzers verlässt, wie im Bild gezeigt. Wählen Sie auf der nächsten Seite das im Zertifikatsbereich hinzugefügte AnyConnect_Certificate aus. Wählen Sie dann die Schnittstelle aus, die die FTD auf AnyConnect-Verbindungen überwacht. Wählen Sie die Zugriffskontrollrichtlinie für entschlüsselten Datenverkehr umgehen (sysopt permit-vpn). Dies ist ein optionaler Befehl, wenn sysopt permit-vpn nicht ausgewählt ist. Es muss eine Zugriffskontrollrichtlinie erstellt werden, die es dem Datenverkehr der AnyConnect- Clients ermöglicht, wie im Bild gezeigt auf das interne Netzwerk zuzugreifen.
Die NAT-Ausnahme kann manuell unter Richtlinien > NAT konfiguriert oder automatisch vom Assistenten konfiguriert werden. Wählen Sie die interne Schnittstelle und die Netzwerke aus, auf die AnyConnect-Clients zugreifen müssen, wie im Bild gezeigt. Wählen Sie das AnyConnect-Paket für jedes Betriebssystem (Windows/Mac/Linux) aus, mit dem Benutzer eine Verbindung herstellen möchten, wie im Bild gezeigt.
Die Seite "Letzte" bietet eine Zusammenfassung der gesamten Konfiguration. Bestätigen Sie, dass die richtigen Parameter festgelegt wurden, drücken Sie die Schaltfläche "Beenden" und die neue Konfiguration bereitstellen. Überprüfen In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert. Nach der Bereitstellung der Konfiguration versuchen Sie, eine Verbindung herzustellen. Wenn Sie einen FQDN haben, der zur externen IP der FTD aufgelöst wird, geben Sie ihn in das Feld AnyConnect-Verbindung ein. Im folgenden Beispiel wird die externe IP-Adresse der FTD verwendet. Verwenden Sie den im Objektbereich von FDM erstellten Benutzernamen/Kennwort, wie im Bild gezeigt.
Ab FDM 6.5.0 ist es nicht mehr möglich, die AnyConnect-Benutzer über die FDM-GUI zu überwachen. Die einzige Option ist die Überwachung der AnyConnect-Benutzer über die CLI. Die CLI-Konsole der FDM-GUI kann auch verwendet werden, um zu überprüfen, ob Benutzer verbunden sind. VPN-SitzungDB AnyConnect anzeigen
Derselbe Befehl kann direkt über die CLI ausgeführt werden. > show vpn-sessiondb anyconnect Session Type: AnyConnect Username : Anyconnect_User Index : 15 Assigned IP : 192.168.19.1 Public IP : 172.16.100.15 Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 Bytes Tx : 38830 Bytes Rx : 172 Group Policy : DfltGrpPolicy Tunnel Group : Anyconnect Login Time : 01:08:10 UTC Thu Apr 9 2020 Duration : 0h:00m:53s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000f0005e8e757a Security Grp : none Tunnel Zone : 0 Fehlerbehebung Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration. Wenn ein Benutzer über SSL keine Verbindung zum FTD herstellen kann, gehen Sie
folgendermaßen vor, um die SSL-Aushandlungsprobleme zu isolieren:
1. Überprüfen Sie, ob der Computer des Benutzers die externe IP-Adresse des FTD anpingen
kann.
2. Verwenden Sie einen externen Sniffer, um zu überprüfen, ob der Drei-Wege-TCP-
Handshake erfolgreich ist.
Probleme mit dem AnyConnect Client
Dieser Abschnitt enthält Richtlinien zur Behebung der beiden häufigsten Probleme mit dem
AnyConnect VPN-Client und zur Behebung dieser Probleme. Eine Anleitung zur Fehlerbehebung
für den AnyConnect-Client finden Sie hier: AnyConnect VPN-Client-Fehlerbehebungsleitfaden
Anfängliche Verbindungsprobleme
Wenn ein Benutzer anfängliche Verbindungsprobleme hat, aktivieren Sie debug webvpn
anyconnect am FTD, und analysieren Sie die Debug-Meldungen. Debugs müssen in der CLI der
FTD ausgeführt werden. Verwenden des Befehls debug webvpn anyconnect 255
Erfassen Sie ein DART-Paket vom Client-Computer, um die Protokolle von anyconnect abzurufen.
Anweisungen zum Sammeln eines DART-Pakets finden Sie hier: Sammeln von DART-Paketen
Datenverkehrsspezifische Probleme
Wenn eine Verbindung erfolgreich ist, der Datenverkehr jedoch über den SSL VPN-Tunnel
fehlschlägt, überprüfen Sie die Datenverkehrsstatistiken des Clients, um zu überprüfen, ob der
Datenverkehr vom Client empfangen und übertragen wird. Detaillierte Client-Statistiken sind in
allen AnyConnect-Versionen verfügbar. Wenn der Client anzeigt, dass Datenverkehr gesendet
und empfangen wird, überprüfen Sie die FTD auf empfangenen und übertragenen Datenverkehr.
Wenn die FTD einen Filter anwendet, wird der Filtername angezeigt, und Sie können die ACL-
Einträge überprüfen, ob Ihr Datenverkehr verworfen wird. Häufige Datenverkehrsprobleme der
Benutzer sind:
● Routingprobleme hinter der FTD - internes Netzwerk, das Pakete nicht an die zugewiesenen
IP-Adressen und VPN-Clients weiterleiten kann
● Zugriffskontrolllisten blockieren Datenverkehr
● Network Address Translation wird für VPN-Datenverkehr nicht umgangen.
Weitere Informationen zu Remote-Access-VPNs auf dem vom FDM verwalteten FTD finden Sie im
vollständigen Konfigurationsleitfaden: Remote Access FTD, verwaltet von FDMSie können auch lesen
