Inleiding
Dit document beschrijft hoe u Site-to-Site VPN kunt configureren op basis van Firepower Threat Defence (FTD), beheerd door FMC.
Voorwaarden
Vereisten
U zou kennis van deze onderwerpen moeten hebben:
- Basiskennis van VPN
- Ervaring met Firepower Management Center
- Ervaring met ASA opdrachtregel
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FTD 6.5
- ASA 9.10(1)32
- IKEv2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configuratie
Start met de configuratie op FTD met FirePower Management Center.
Stap 1. Definieer de VPN-topologie.
1. Navigeer naar Apparaten > VPN > Site to Site. Klik onder Add VPN op Firepower Threat Defence Device, zoals in deze afbeelding.
2. Het vak Nieuwe VPN-topologie maken wordt weergegeven. Geef VPN een naam die gemakkelijk te identificeren is.
Netwerktopologie: point-to-point
IKE versie: IKEv2
In dit voorbeeld wanneer u eindpunten selecteert, is Node A de FTD en is Node B de ASA. Klik op de groene plus-knop om apparaten aan de topologie toe te voegen, zoals in deze afbeelding wordt getoond.
3. Voeg het FTD toe als eerste eindpunt.
Kies de interface waarop een crypto-kaart wordt geplaatst. Het IP-adres moet automatisch worden ingevuld in de apparaatconfiguratie.
Klik op de groene plus onder Beschermde netwerken, zoals in deze afbeelding, om te selecteren welke subnetten versleuteld moeten worden met dit VPN.
4. Klik op groen plus en er wordt hier een netwerkobject gemaakt.
5. Voeg alle lokale subnetten toe aan de FTD die moet worden versleuteld. Klik op Add om ze naar de geselecteerde netwerken te verplaatsen. Klik nu op OK, zoals in deze afbeelding.
FTDSubnet = 10.10.113.0/24
Knooppunt A: (FTD) is voltooid. Klik op de groene plus voor knooppunt B, zoals in de afbeelding.
Node B is een ASA. Apparaten die niet door het VCC worden beheerd, worden beschouwd als extranet.
6. Voeg een apparaatnaam en IP-adres toe. Klik op de groene plus om beschermde netwerken toe te voegen, zoals in de afbeelding wordt getoond.
7. Zoals in deze afbeelding wordt weergegeven, selecteert u de ASA-subnetwerken die moeten worden versleuteld en voegt u deze toe aan de geselecteerde netwerken.
ASASubnet = 10.10.110.0/24
Stap 2. Configureer IKE-parameters.
Nu zijn beide eindpunten op zijn plaats gaan door de configuratie IKE/IPSEC.
1. Specificeer onder het tabblad IKE de parameters die worden gebruikt voor de eerste IKEv2-uitwisseling. Klik op de groene plus om een nieuw IKE-beleid te maken, zoals in de afbeelding wordt getoond.
2. Specificeer in het nieuwe IKE-beleid een prioriteitsnummer en de levensduur van fase 1 van de verbinding. Dit document gebruikt deze parameters voor de eerste uitwisseling: Integriteit (SHA256), Encryptie (AES-256), PRF (SHA256) en Diffie-Hellman groep (groep 14)
Opmerking: Alle IKE-beleidsregels op het apparaat worden naar de externe peer verzonden, ongeacht wat er in de geselecteerde beleidssectie staat. Het eerste IKE-beleid dat wordt afgestemd op de externe peer wordt geselecteerd voor de VPN-verbinding. Kies welk beleid eerst wordt verzonden met behulp van het prioriteitsveld. Prioriteit 1 wordt eerst verzonden.
3. Zodra de parameters zijn toegevoegd, selecteert u dit beleid en kiest u het verificatietype.
4. Kies pre-shared-key handleiding. Voor dit document wordt PSK cisco123 gebruikt.
Stap 3. IPsec-parameters configureren.
1. Klik onder IPsec op het potlood om de transformatieset te bewerken en een nieuw IPsec-voorstel te maken, zoals in deze afbeelding.
2. Klik om een nieuw IKEv2 IPsec-voorstel te maken op de groene plus en voer de parameters van fase 2 in.
Selecteer ESP-encryptie > AES-GCM-256. Wanneer het GCM algoritme voor encryptie wordt gebruikt, is een Hash algoritme niet nodig. Met GCM is de hashfunctie ingebouwd.
3. Zodra het nieuwe IPsec-voorstel is gemaakt, kunt u dit toevoegen aan de geselecteerde transformatiesets.
Het nieuwe IPsec-voorstel wordt nu vermeld onder de IKEv2 IPsec-voorstellen.
Indien nodig kunnen de fase 2-levensduur en PFS hier worden bewerkt. In dit voorbeeld wordt de levensduur ingesteld als standaard en wordt PFS uitgeschakeld.
Optioneel - U moet de optie voltooien om het toegangsbeheer te omzeilen of een toegangscontrolebeleid maken.
Stap 4. Omzeilen toegangscontrole.
Naar keuze kan sysopt license-vpn worden ingeschakeld onder de Advanced > Tunnel.
Dit maakt het onmogelijk om het toegangscontrolebeleid te gebruiken om verkeer van de gebruikers te inspecteren. VPN-filters of downloadbare ACL’s kunnen nog steeds worden gebruikt om gebruikersverkeer te filteren. Dit is een globale opdracht die op alle VPN's van toepassing is als deze optie is ingeschakeld.
Als sysopt license-vpn niet is ingeschakeld, moet een toegangscontrolebeleid worden gemaakt om VPN-verkeer via het FTD-apparaat toe te staan. Als sysopt-vpn is ingeschakeld, slaat u het maken van een toegangscontrolebeleid over.
Stap 5. Maak een toegangscontrolebeleid.
Navigeer onder Toegangsbeheer Beleid naar Beleid > Toegangsbeheer > Toegangsbeheer en selecteer het Beleid dat zich op het FTD-apparaat richt. Klik op Regel toevoegen om een regel toe te voegen, zoals in de afbeelding hier.
Het verkeer moet worden toegestaan van het interne netwerk naar het externe netwerk en van het externe netwerk naar het interne netwerk. Maak één regel om beide te doen of maak twee regels om ze gescheiden te houden. In dit voorbeeld wordt één regel aangemaakt om beide te doen.
Stap 6. Configureer NAT-vrijstelling.
Configureer een NAT-vrijstellingsverklaring voor het VPN-verkeer. NAT-vrijstelling moet aanwezig zijn om te voorkomen dat VPN-verkeer een andere NAT-verklaring raakt en onjuist VPN-verkeer vertaalt.
1. Navigeer naar Apparaten > NAT en selecteer het NAT-beleid dat op de FTD is gericht. Maak een nieuwe regel terwijl u op de knop Regel toevoegen klikt.
2. Maak een nieuwe statische handmatige NAT-regel. Verwijs naar de binnen- en buitenkant interfaces.
3. Selecteer onder het tabblad Vertaling de subnetten voor bron en bestemming. Als dit een NAT-vrijstellingsregel is, maakt u de oorspronkelijke bron/bestemming en de vertaalde bron/bestemming hetzelfde, zoals in deze afbeelding:
4. Ten slotte, ga naar het tabblad Advanced en schakel no-proxy-arp en route-lookup in.
5. Sla deze regel op en bekijk de definitieve resultaten in de NAT-lijst.
6. Zodra de configuratie is voltooid, slaat u de configuratie op en implementeert u deze in het FTD.
Stap 7. Configureer de ASA.
- IKEv2 inschakelen op de buiteninterface van de ASA:
Crypto ikev2 enable outside
2. Maak het IKEv2-beleid dat dezelfde parameters definieert die op de FTD zijn geconfigureerd:
Crypto ikev2 policy 1
Encryption aes-256
Integrity sha256
Group 14
Prf sha256
Lifetime seconds 86400
3. Maak een groepsbeleid dat het ikev2 protocol toestaat:
Group-policy FTD_GP internal
Group-policy FTD_GP attributes
Vpn-tunnel-protocol ikev2
4. Maak een tunnelgroep voor het peer FTD openbare IP-adres. Verwijzing naar het groepsbeleid en specificeer de pre-gedeelde sleutel:
Tunnel-group 172.16.100.20 type ipsec-l2l
Tunnel-group 172.16.100.20 general-attributes
Default-group-policy FTD_GP
Tunnel-group 172.16.100.20 ipsec-attributes
ikev2 local-authentication pre-shared-key cisco123
ikev2 remote-authentication pre-shared-key cisco123
5. Maak een toegangslijst waarin het te versleutelen verkeer wordt gedefinieerd: (FTDSubnet 10.10.113.0/24) (ASASubnet 10.10.110.0/24)
Object network FTDSubnet
Subnet 10.10.113.0 255.255.255.0
Object network ASASubnet
Subnet 10.10.110.0 255.255.255.0
Access-list ASAtoFTD extended permit ip object ASASubnet object FTDSubnet
6. Maak een ikev2 ipsec-voorstel met verwijzing naar de algoritmen op de FTD:
Crypto ipsec ikev2 ipsec-proposal FTD
Protocol esp encryption aes-gcm-256
7. Maak een crypto map-ingang die de configuratie aan elkaar koppelt:
Crypto map outside_map 10 set peer 172.16.100.20
Crypto map outside_map 10 match address ASAtoFTD
Crypto map outside_map 10 set ikev2 ipsec-proposal FTD
Crypto map outside_map 10 interface outside
8. Maak een NAT-vrijstellingsverklaring aan om te voorkomen dat het VPN-verkeer door de firewall wordt genaturaliseerd:
Nat (inside,outside) 1 source static ASASubnet ASASubnet destination static FTDSubnet FTDSubnet no-proxy-arp route-lookup
Verifiëren
Opmerking: op dit moment is er geen manier om de status van de VPN-tunnel te bekijken vanuit het VCC. Er is een uitbreidingsverzoek voor deze mogelijkheid CSCvh7603.
Probeer verkeer via de VPN-tunnel te initiëren. Met toegang tot de opdrachtregel van de ASA of FTD, kan dit worden gedaan met de pakkettracer-opdracht. Wanneer het gebruiken van het pakket-tracer bevel om de VPN tunnel ter sprake te brengen moet het tweemaal worden in werking gesteld om de tunnel te verifiëren komt omhoog. De eerste keer dat de opdracht wordt gegeven, is de VPN-tunnel ingedrukt, zodat de pakkettracer-opdracht mislukt met VPN-encryptie DROP. Gebruik niet het binnen IP adres van de firewall als bron IP adres in de pakkettracer aangezien dit altijd zal ontbreken.
firepower# packet-tracer input inside icmp 10.10.113.10 8 0 10.10.110.10
Phase: 10
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
firepower# packet-tracer input inside icmp 10.10.113.10 8 0 10.10.110.10
Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 172.16.100.1 using egress ifc outside
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (Inside,outside) source static FTDSubnet FTDSubnet destination static ASASubnet ASASubnet no-proxy-arp route-lookup
Additional Information:
NAT divert to egress interface outside
Untranslate 10.10.110.10/0 to 10.10.110.10/0
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip ifc Inside object-group FMC_INLINE_src_rule_268436483 ifc outside object-group FMC_INLINE_dst_rule_268436483 rule-id 268436483
access-list CSM_FW_ACL_ remark rule-id 268436483: ACCESS POLICY: FTD-Access-Control-Policy - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268436483: L7 RULE: VPN_Traffic
object-group network FMC_INLINE_src_rule_268436483
description: Auto Generated by FMC from src of UnifiedNGFWRule# 1 (FTD-Access-Control-Policy/mandatory)
network-object object ASASubnet
network-object object FTDSubnet
object-group network FMC_INLINE_dst_rule_268436483
description: Auto Generated by FMC from dst of UnifiedNGFWRule# 1 (FTD-Access-Control-Policy/mandatory)
network-object object ASASubnet
network-object object FTDSubnet
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
Phase: 5
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (Inside,outside) source static FTDSubnet FTDSubnet destination static ASASubnet ASASubnet no-proxy-arp route-lookup
Additional Information:
Static translate 10.10.113.10/0 to 10.10.113.10/0
Phase: 10
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:
Result:
input-interface: Inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Om de tunnelstatus te bewaken, navigeer je naar de CLI van de FTD of ASA.
Vanuit de FTD CLI worden fase-1 en fase-2 geverifieerd met deze opdracht:
Vertoon crypto ikev2 sa
> show crypto ikev2 sa
IKEv2 SAs:
Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
9528731 172.16.100.20/500 192.168.200.10/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/118 sec
Child sa: local selector 10.10.113.0/0 - 10.10.113.255/65535
remote selector 10.10.110.0/0 - 10.10.110.255/65535
ESP spi in/out: 0x66be357d/0xb74c8753
Probleemoplossing en debug
Aanvankelijke connectiviteitsproblemen
Bij het bouwen van een VPN zijn er twee partijen die onderhandelen over de tunnel. Daarom is het best om beide kanten van het gesprek te krijgen wanneer u problemen oplost elk type tunnelmislukking. Een gedetailleerde handleiding over het debuggen van IKEv2-tunnels vindt u hier: Hoe debug ik IKEv2 VPN’s
De meest voorkomende oorzaak van tunneluitval is een connectiviteitsprobleem. De beste manier om dit te bepalen is pakketopnamen op het apparaat te nemen. Gebruik deze opdracht om pakketopnamen op het apparaat te maken:
Capture capout interface outside match ip host 172.16.100.20 host 192.168.200.10
Zodra de opname op zijn plaats is, probeer verkeer via VPN te verzenden en controleer op bidirectioneel verkeer in de pakketopname.
Herzie de pakketopname met deze opdracht:
afdekplaat tonen
firepower# show cap capout
4 packets captured
1: 11:51:12.059628 172.16.100.20.500 > 192.168.200.10.500: udp 690
2: 11:51:12.065243 192.168.200.10.500 > 172.16.100.20.500: udp 619
3: 11:51:12.066692 172.16.100.20.500 > 192.168.200.10.500: udp 288
4: 11:51:12.069835 192.168.200.10.500 > 172.16.100.20.500: udp 240
Verkeerspecifieke problemen
Veelvoorkomende verkeersproblemen die u ervaart zijn:
- Problemen met routing achter de FTD — intern netwerk dat geen pakketten kan routeren naar de toegewezen IP-adressen en VPN-clients.
- Toegangscontrolelijsten die verkeer blokkeren.
- Netwerkadresomzetting wordt niet overgeslagen voor VPN-verkeer.
Voor meer informatie over VPN’s op de FTD die door het FMC wordt beheerd, vindt u hier de volledige configuratiehandleiding: FTD beheerd door FMC-configuratiehandleiding