المقدمة
يصف هذا المستند كيفية تكوين نفق إدارة VPN آمن للعميل على حماية تهديد جدار الحماية الآمنة التي تتم إدارتها بواسطة FMC من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- محرر ملف تعريف AnyConnect من Cisco
- تكوين SSL AnyConnect من خلال مركز إدارة الجدار الناري (FMC)
- مصادقة شهادة العميل
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- برنامج الدفاع ضد تهديد جدار الحماية (FTD) من Cisco، الإصدار 6.7.0 (Build 65)
- Cisco FMC، الإصدار 6.7.0 (بنية 65)
- تم تثبيت Cisco AnyConnect 4.9.01095 على الجهاز الذي يعمل بنظام التشغيل Windows 10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
في المثال، يتم إستخدام طبقة مآخذ التوصيل الآمنة (SSL) لإنشاء شبكة خاصة ظاهرية (VPN) بين FTD وعميل Windows 10.
من الإصدار 6.7، يدعم بروتوكول FTD من Cisco تكوين أنفاق إدارة AnyConnect. هذا مفتاح فتح سابقا تحسين طلب cisco بق id CSCvs78215.
تتيح لك ميزة "إدارة AnyConnect" إنشاء نفق VPN فورا بعد أن تنتهي نقطة النهاية من بدء تشغيله. لا توجد حاجة لأن يقوم المستخدمون بتشغيل تطبيق AnyConnect يدويا. بمجرد تشغيل نظامهم، تستشعر خدمة وكيل AnyConnect VPN ميزة Management VPN وتبدأ جلسة عمل AnyConnect باستخدام إدخال المضيف المحدد في قائمة الخوادم الخاصة بملف تعريف AnyConnect Management VPN.
القيود
- مصادقة شهادة العميل هي فقط المعتمدة.
- يتم اعتماد "مخزن شهادات الجهاز" فقط لعملاء Windows.
- لا يساند على cisco Firepower أداة مدير (FDM) cisco بق id CSCvx90058.
- غير مدعومة على عملاء لينوكس.
يتم وصف القيود الكاملة في دليل مسؤول Cisco Secure Client، الإصدار 5.
التكوين
التكوينات
الخطوة 1. إنشاء ملف تعريف VPN لإدارة AnyConnect
افتح محرر ملف تعريف AnyConnect لإنشاء ملف تعريف VPN لإدارة AnyConnect. يحتوي ملف تعريف الإدارة على جميع الإعدادات المستخدمة لإنشاء نفق VPN بعد تمهيد نقطة النهاية.
في هذا المثال، يتم تحديد إدخال قائمة الخوادم الذي يشير إلى اسم المجال المؤهل بالكامل (FQDN) dperezve.jyoungta-labdomain.cisco.com ويتم تحديد SSL كبروتوكول أساسي. لإضافة قائمة خوادم، انتقل إلى قائمة الخوادم وحدد الزر إضافة . قم بتعبئة الحقول المطلوبة وحفظ التغييرات.
إلى جانب قائمة الخوادم، يجب أن يحتوي ملف تعريف إدارة VPN على بعض التفضيلات الإلزامية:
- يجب تعيين AutomaticCertSelection إلى true.
- يجب تعيين AutoReconnect إلى true.
- يجب تكوين AutoReconnectBehavior ل ReconnectAfterResume.
- يجب تعيين AutoUpdate إلى false.
- يجب تعيين BlockUntrustedServers إلى true.
- يجب تكوين CertificateStore ل MachineStore.
- يجب تعيين CertificateStoreOverride إلى true.
- يجب تعيين EnableAutomaticServerSelection إلى false.
- يجب تعيين EnableScripting إلى false.
- يجب تعيين RetainVPNOnLogoff إلى true.
في محرر ملف تعريف AnyConnect، انتقل إلى التفضيلات (الجزء 1) واضبط الإعدادات كما يلي:
ثم انتقل إلى التفضيلات (الجزء 2) وقم بإلغاء تحديد خيار تعطيل تحديد الشهادة التلقائي.
الخطوة 2. إنشاء ملف تعريف AnyConnect VPN
كإضافة إلى ملف تعريف الشبكة الخاصة الظاهرية (VPN) للإدارة، يلزم تكوين ملف تعريف AnyConnect VPN العادي. يتم إستخدام ملف تعريف AnyConnect VPN في محاولة الاتصال الأولى. أثناء جلسة العمل هذه، يتم تنزيل ملف تعريف Management VPN من FTD.
أستخدم محرر ملف تعريف AnyConnect لإنشاء ملف تعريف AnyConnect VPN. في هذه الحالة، يحتوي كلا الملفين على نفس الإعدادات بحيث يمكن اتباع نفس الإجراء.
الخطوة 3. تحميل ملف تعريف AnyConnect Management VPN وملف تعريف AnyConnect VPN إلى FMC
بمجرد إنشاء التوصيفات، تكون الخطوة التالية هي تحميلهم إلى FMC ككائنات ملف AnyConnect.
لتحميل ملف تعريف AnyConnect Management VPN الجديد إلى FMC، انتقل إلى كائنات > إدارة الكائن واختر VPN خيار من جدول المحتويات، ثم حدد الزر إضافة ملف AnyConnect.
قم بتوفير اسم للملف. أختر ملف تعريف AnyConnect Management VPN كنوع ملف وقم بحفظ الكائن.
الآن، من أجل تحميل ملف تعريف AnyConnect VPN، انتقل مرة أخرى إلى كائنات > إدارة الكائن واختر خيار VPN من جدول المحتويات، ثم حدد الزر إضافة ملف AnyConnect.
قم بتوفير اسم للملف ولكن هذه المرة أختر ملف تعريف AnyConnect VPN كنوع الملف واحفظ الكائن الجديد.
يجب إضافة ملفات التعريف إلى قائمة الكائنات ووضع علامة عليها كملف تعريف AnyConnect Management VPN وتوصيف AnyConnect VPN على التوالي.
الخطوة 4. إنشاء نهج مجموعة
لإنشاء نهج مجموعة جديد انتقل إلى كائنات > إدارة الكائن واختر خيار VPN من جدول المحتويات، ثم حدد نهج المجموعة وحدد على الزر إضافة نهج المجموعة.
بمجرد فتح نافذة إضافة نهج مجموعة ، قم بتعيين اسم، وحدد تجمع AnyConnect، وافتح علامة التبويب AnyConnect. انتقل إلى ملف التعريف وحدد الكائن الذي يمثل ملف تعريف AnyConnect VPN العادي في القائمة المنسدلة ملف تعريف العميل.
ثم انتقل إلى علامة تبويب ملف تعريف الإدارة وحدد الكائن الذي يحتوي على ملف تعريف VPN الخاص بالإدارة في القائمة المنسدلة لملف تعريف الإدارة.
قم بحفظ التغييرات لإضافة كائن جديد إلى نهج المجموعة الموجودة.
الخطوة 5. إنشاء تكوين AnyConnect جديد
يتكون تكوين SSL AnyConnect في FMC من 4 خطوات مختلفة. لتكوين AnyConnect، انتقل إلى الأجهزة > VPN > الوصول عن بعد وحدد الزر إضافة. يجب أن يؤدي هذا إلى فتح معالج نهج VPN للوصول عن بعد.
في علامة التبويب تعيين النهج، حدد جهاز FTD الموجود، وقم بتعريف اسم لملف تعريف الاتصال، وحدد خانة الاختيار SSL.
في توصيف التوصيل، حدد شهادة العميل فقط كطريقة مصادقة. هذه هي المصادقة الوحيدة المدعومة للميزة.
ثم حدد كائن "نهج المجموعة" الذي تم إنشاؤه في الخطوة 3 في القائمة المنسدلة نهج المجموعة.
على علامة التبويب AnyConnect، حدد كائن ملف AnyConnect وفقا لنظام التشغيل (OS) على نقطة النهاية.
في Access & Certificate، حدد الشهادة التي يجب إستخدامها من قبل FTD للتحقق من هويتها إلى عميل Windows.
ملاحظة: نظرا لأنه لا يمكن للمستخدمين التفاعل مع تطبيق AnyConnect عند إستخدام ميزة Management VPN، يلزم أن تكون الشهادة موثوق بها بالكامل ويجب ألا تطبع أي رسالة تحذير.
ملاحظة: لمنع أخطاء التحقق من صحة الشهادة، يجب أن يطابق حقل الاسم الشائع (CN) المدرج في اسم موضوع الشهادة FQDN المحدد في قائمة الخادم لتوصيفات XML (الخطوة 1 والخطوة 2).
أخيرا، حدد الزر إنهاء في علامة التبويب ملخص لإضافة تكوين AnyConnect الجديد.
الخطوة 6. إنشاء كائن عنوان URL
انتقل إلى كائنات > إدارة الكائن وحدد عنوان URL من جدول المحتويات. ثم حدد إضافة كائن في القائمة المنسدلة إضافة عنوان URL.
قم بتوفير اسم للكائن وحدد عنوان URL باستخدام FQDN/مجموعة المستخدمين نفسها المحددة في قائمة خادم ملف تعريف VPN الخاص بالإدارة (الخطوة 2). في هذا المثال، يجب أن يكون عنوان URL هو dperezve.jyoungta-labdomain.cisco.com/AnyConnect_Management_Tunnel.
قم بحفظ التغييرات لإضافة الكائن إلى قائمة الكائنات.
الخطوة 7. تعريف الاسم المستعار لعنوان URL
لتمكين الاسم المستعار لعنوان URL في تكوين AnyConnect، انتقل إلى الأجهزة > VPN > الوصول عن بعد وانقر على أيقونة القلم الرصاص لتحريرها.
ثم، من علامة التبويب ملف تعريف الاتصال، حدد التكوين الموجود، انتقل إلى الأسماء المستعارة، وانقر فوق إضافة زر، وحدد كائن عنوان URL في القائمة الخاصة بالاسم المستعار ل عنوان URL . تأكد من تحديد خانة الاختيار تمكين.
حفظ التغييرات ونشر التكوينات في FTD.
التحقق من الصحة
بعد انتهاء النشر، يلزم وجود اتصال يدوي أول من AnyConnect بملف تعريف AnyConnect VPN. أثناء هذا الاتصال، يتم تنزيل ملف تعريف Management VPN من FTD ويتم تخزينه في C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\MgmtTun. من هذه النقطة، يجب بدء الاتصالات التالية من خلال ملف تعريف Management VPN بدون أي تفاعل من المستخدم.
استكشاف الأخطاء وإصلاحها
لأخطاء التحقق من صحة الشهادة:
- تأكد من تثبيت الشهادة الجذر للمرجع المصدق (CA) على FTD.
- تأكد من تثبيت شهادة هوية موقعة من نفس المرجع المصدق على "مخزن أجهزة Windows".
- تأكد من تضمين حقل CN في الشهادة وهو نفس حقل FQDN المحدد في قائمة الخوادم الخاصة بملف تعريف VPN الخاص بالإدارة ومعرف FQDN في الاسم المستعار لعنوان URL.
لم يتم بدء نفق الإدارة:
- تأكد من تنزيل ملف تعريف VPN الخاص بالإدارة وتخزينه في C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\MgmtTun.
- تأكد من أن اسم ملف تعريف إدارة VPN هو VpnMgmtTunProfile.xml.
بالنسبة لمشاكل الاتصال، قم بتجميع حزمة DART واتصل ب Cisco TAC للحصول على مزيد من البحث.