AnyConnect Remote Access VPN configureren op FTD

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 december 2023
Document-id:212424

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een configuratie voor AnyConnect Remote Access VPN op FTD.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basis VPN-, TLS- en IKEv2-kennis
    • Basisverificatie, autorisatie en accounting (AAA) en RADIUS-kennis
    • Ervaring met Firepower Management Center

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco FTD 7.2.0
    • Cisco VCC 7.2.1
    • AnyConnect 4.10 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document biedt een configuratievoorbeeld voor Firepower Threat Defence (FTD), versie 7.2.0 en hoger, waarmee externe toegang tot VPN mogelijk is om Transport Layer Security (TLS) en Internet Key Exchange versie 2 (IKEv2) te gebruiken. Als client kan Cisco AnyConnect worden gebruikt, wat op meerdere platforms wordt ondersteund.

    Configuratie

    1. Voorwaarden

    Zo gaat u door de wizard Externe toegang in Firepower Management Center:

    • Maak een certificaat aan dat wordt gebruikt voor serververificatie.
    • Configureer RADIUS- of LDAP-server voor gebruikersverificatie.
    • Maak een pool van adressen voor VPN-gebruikers.
    • Upload AnyConnect-afbeeldingen voor verschillende platforms.

    a) Het SSL-certificaat invoeren


    Certificaten zijn essentieel wanneer u AnyConnect configureert. Het certificaat moet de extensie Alternatieve Naam hebben met DNS-naam en/of IP-adres om fouten in webbrowsers te voorkomen.

    Opmerking: alleen geregistreerde Cisco-gebruikers hebben toegang tot interne tools en buginformatie.

    Er zijn beperkingen voor handmatige inschrijving van certificaten:

    - Op FTD hebt u het CA-certificaat nodig voordat u de CSR genereert.

    - Indien de MVO extern wordt gegenereerd, kan de handmatige methode niet werken, maar moet een andere methode worden gebruikt (PKCS12).

    Er zijn verschillende methoden om een certificaat op FTD-apparaat te verkrijgen, maar de veilige en makkelijke manier is om een Certificate Signing Verzoek (CSR) te maken, het te ondertekenen met een Certificate Authority (CA) en vervolgens een geïmporteerd certificaat afgegeven voor publieke sleutel, die in CSR was. Dit is de manier om dat te doen:

    • Ga naar veld Objects  > Object Management > PKI > Cert Enrollment , klik op Cert-inschrijving toevoegen.

    Add Cert Enrollment

    • Kiezen Enrollment Type certificaat van de certificeringsinstantie (CA) (het certificaat dat wordt gebruikt om de CSR te ondertekenen).
    • Ga vervolgens naar het tweede tabblad en selecteer Custom FQDN en vul alle nodige velden in, bijvoorbeeld:

    Configure common name for the certificate

    • Selecteer in het derde tabblad de optie Key TypeKies naam en grootte. Voor RSA zijn minimaal 2048 bits vereist.
    • Klik op Opslaan en ga naar Devices > Certificates > Add > New Certificate.
    • Selecteer vervolgens Device, en Cert Enrollment selecteer het trustpoint dat u zojuist hebt gemaakt, klik op Add:

    Select Devices and then Add Certificates

    • Later, naast de trustpoint naam, klikt u op de Icon pictogram, gevolgd Yes, en daarna CSR naar CA kopiëren en ondertekenen. Certificaat moet dezelfde kenmerken hebben als een HTTPS-server. 
    • Nadat u het certificaat van CA in base64-formaat hebt ontvangen, selecteert u het van de schijf en klikt u op Import. Als dit lukt, zie je:

    Successful Import
    b) RADIUS-server configureren

    • Ga naar veld Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
    • Vul de naam in en voeg IP-adres toe samen met gedeeld geheim, klik op Save:

    Configure RADIUS

    • Daarna ziet u de server in de lijst:

    RADIUS Server is Named in the List

    c) Maak een pool van adressen voor VPN-gebruikers

    • Ga naar veld Objects > Object Management > Address Pools > Add IPv4 Pools.
    • Zet de naam en bereik, masker is niet nodig: 

    Configure address pool

    d) XML-profiel maken

    • Download de Profile Editor van de Cisco-site en open deze.
    • Ga naar veld Server List > Add...
    • Zet de naam en FQDN van het display. U ziet vermeldingen in de serverlijst:

    Open Profile Editor and Select the Server List and then ADD

    • Klik op de knop OKen File > Save as... 

    e) AnyConnect-afbeeldingen uploaden

    • Download pkg-afbeeldingen van de Cisco-site.
    • Ga naar veld Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • Typ de naam en selecteer PKG-bestand vanaf schijf, klik op Save:

    Edit the AnyConnect File

    • Voeg meer pakketten toe op basis van uw eigen vereisten.

    2. Wizard Externe toegang

    • Ga naar veld Devices > VPN > Remote Access > Add a new configuration.
    • Geef het profiel een naam en selecteer FTD-apparaat:

    Targeted Devices and Protocols

    • Typ in de stap Verbindingsprofiel het volgende: Connection Profile Name, selecteert u de Authentication Server en Address Pools die u eerder hebt gemaakt:

    Connection Profile Name

    • Klik op Edit Group Policy en selecteer op het tabblad AnyConnect de optie Client Profileklikt u vervolgens op Save:

    Edit Group Policy

    • Selecteer op de volgende pagina de optie AnyConnect-afbeeldingen en klik op Next.

    AnyConnect Client Image

    • Selecteer in het volgende scherm de optie Network Interface and Device Certificates:

    Network Interface for Incoming VPN Access

    • Als alles goed is ingesteld, kunt u op Finish en vervolgens Deploy:

    Edit Group Policy and Select Client Profile

    • Hierdoor wordt de gehele configuratie gekopieerd, samen met certificaten en AnyConnect-pakketten naar FTD-applicatie.

    Connection

    Om verbinding te maken met FTD moet u een browser, type DNS naam of IP-adres dat naar de buiteninterface wijst openen. U logt vervolgens in met referenties die zijn opgeslagen in een RADIUS-server en voert de instructies uit op het scherm. Nadat AnyConnect is geïnstalleerd, moet u hetzelfde adres in het AnyConnect-venster plaatsen en op Connect.

    Beperkingen

    Momenteel niet ondersteund op FTD, maar beschikbaar op ASA:

    • FTDposture VPN ondersteunt groepsbeleidswijzigingen niet via dynamische autorisatie of RADIUS-wijziging van autorisatie (CoA).

    • AnyConnect-aanpassing (verbetering: Cisco-bug-id CSCvq87631)
    • AnyConnect-scripts (verbetering: Cisco-bug-id CSCvt5804).
    • AnyConnect-lokalisatie.
    • WSA-integratie.
    • Gelijktijdige IKEv2 dynamische cryptokaart voor RNA en L2L VPN (verbetering: Cisco bug-id CSCvr52047).
    • TACACS, Kerberos - KCD-verificatie en RSA-SDI (verbetering: Cisco bug-id CSCvx5859).
    • Browser Proxy.

    Beveiligingsoverwegingen

    Standaard wordt de sysopt connection permit-vpnoptie is uitgeschakeld. Dit betekent dat u het verkeer moet toestaan dat afkomstig is van de pool van adressen op buiteninterface via Access Control Policy. Hoewel de voorfilter- of toegangscontroleregel wordt toegevoegd om alleen VPN-verkeer toe te staan, wordt deze bij vergissing toegestaan als er clear-text verkeer gebeurt om aan de regelcriteria te voldoen.

    Dit probleem wordt op twee manieren benaderd. Ten eerste, TAC aanbevolen optie, is anti-Spoofing inschakelen (op ASA was het bekend als Unicast Reverse Path Forwarding - uRPF) voor buiteninterface, en ten tweede, moet inschakelen sysopt connection permit-vpn om de inspectie van de snort volledig te omzeilen. De eerste optie staat een normale inspectie van het verkeer toe dat naar en van VPN-gebruikers gaat.

    a) uRPF inschakelen

    • Maak een nulroute voor het netwerk dat wordt gebruikt voor gebruikers van externe toegang, zoals gedefinieerd in sectie C. Ga naar Devices > Device Management > Edit > Routing > Static Route en selecteer Add route

    Select AnyConnect Images

    • Schakel vervolgens uRPF in op de interface waar de VPN-verbindingen eindigen. Om dit te vinden, navigeer naar Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit Physical Interface

    Wanneer een gebruiker is verbonden, wordt de 32-bits route voor die gebruiker in de routeringstabel geïnstalleerd. Wis het tekstverkeer dat afkomstig is van de andere, ongebruikte IP-adressen uit de pool wordt door uRFP verwijderd. Om een beschrijving te zien van Anti-SpoofingRaadpleeg Beveiligingsconfiguratieparameters instellen bij Firepower Threat Defence.

    b) Inschakelen Oysopt connection permit-vpn Optioneel

    • Er is een optie om dit te doen met de wizard of onder Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Access Control for VPN Traffic

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    05-Dec-2023
    Hercertificering
    3.0
    16-Dec-2022
    Herschrijven. Opmaak bijwerken. Hercertificering.
    2.0
    08-Nov-2022
    Bijgewerkte opmaak en gecorrigeerde spelling Hercertificering
    1.0
    07-Nov-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Radoslaw Olszowy
      Cisco Technical Consulting Engineer
    • Mario Enrique Solorio Zertuche
      Cisco Project Manager

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten