AnyConnect VPN-client op FTD configureren: haarspeld en NAT-vrijstelling

Downloadopties

  • PDF     (2.5 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 augustus 2024
Document-id:215875

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de Cisco Remote Access VPN-oplossing (AnyConnect) kunt configureren op Firepower Threat Defence (FTD), v6.3, beheerd door FMC.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basis externe toegang VPN, Secure Sockets Layer (SSL) en Internet Key Exchange (IKEv2) versie 2-kennis
    • Basisverificatie, autorisatie en accounting (AAA) en RADIUS-kennis
    • Basiskennis van het VCC
    • Basiskennis van FTD

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco VCC 6.4
    • Cisco FTD 6.3
    • AnyConnect 4.7

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document is bedoeld voor de configuratie op FTD-apparaten. Als u het ASA-configuratievoorbeeld wilt gebruiken, raadpleegt u het document: AnyConnect VPN-clientomzettingsverkeer configureren op ASA 9.X

    Beperkingen:

    Op dit moment worden deze functies niet ondersteund door FTD, maar nog wel door ASA-apparaten:

    • Dubbele AAA-verificatie (beschikbaar op FTD versie 6.5)
    • Dynamisch toegangsbeleid
    • Hostscan
    • ISE-houding
    • RADIUS-CoA
    • VPN-taakverdeling
    • Lokale verificatie (beschikbaar op Firepower Device Manager 6.3). Cisco bug-id (CSCvf92680)
    • LDAP-kenmerkkaart (beschikbaar via FlexConfig, Cisco-bug-id CSC64585)
    • Aangepaste AnyConnect
    • AnyConnect-scripts
    • AnyConnect-lokalisatie
    • VPN-services per app
    • SCEP-proxy
    • WSA-integratie
    • SAML SSO (Cisco bug-id CSCvq90789)
    • Gelijktijdige IKEv2 dynamische cryptokaart voor RNA en L2L VPN
    • AnyConnect-modules (NAM, Hostscan, AMP Enabler, SBL, Umbrella, webbeveiliging, enzovoort). DART is de enige module die standaard op deze versie is geïnstalleerd.
    • TACACS, Kerberos (KCD-verificatie en RSA/SDI)
    • Browser Proxy

    Configureren

    Om door de wizard Externe toegang VPN in het VCC te kunnen lopen, moeten de volgende stappen worden voltooid:

    Stap 1. Een SSL-certificaat importeren


    Certificaten zijn essentieel wanneer u AnyConnect configureert. Alleen op RSA gebaseerde certificaten worden ondersteund voor SSL en IPSec. Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten worden ondersteund in IPSec, maar het is niet mogelijk om een nieuw AnyConnect-pakket of XML-profiel te implementeren wanneer op ECDSA gebaseerd certificaat wordt gebruikt. Het kan worden gebruikt voor IPSec, maar u moet de AnyConnect-pakketten samen met het XML-profiel vooraf implementeren, alle XML-profielupdates moeten handmatig worden uitgevoerd op elke client (Cisco bug-id CSCtx42595).

    Daarnaast moet het certificaat een Common Name (CN)-extensie met DNS-naam en/of IP-adres bevatten om fouten in het "Onbetrouwbare servercertificaat" in webbrowsers te voorkomen.

    Opmerking: op FTD-apparatuur is het certificaat van de certificeringsinstantie (CA) vereist voordat het verzoek tot ondertekening van het certificaat (CSR) wordt gegenereerd.

    • Als de CSR wordt gegenereerd in een externe server (zoals Windows Server of OpenSSL), is de handmatige inschrijvingsmethode bedoeld te mislukken, aangezien FTD handmatige toeteninschrijving niet ondersteunt.
    • Er moet een andere methode worden gebruikt, zoals PKCS12.

    Om een certificaat voor het FTD-apparaat te verkrijgen met de handmatige inschrijvingsmethode, moet een CSR worden gegenereerd. Onderteken het met een CA en voer vervolgens het identiteitsbewijs in.

    1. Navigeren naar Apparaten > Certificaten en selecteer Toevoegen zoals in de afbeelding.

    Panel van certificaten

    2. Selecteer het apparaat en voeg een nieuw object Cert Enrollment toe zoals in de afbeelding.

    Menu Certificaat importeren

    3. Selecteer handmatige inschrijving Type en plak het CA-certificaat (het certificaat dat bedoeld is om de CSR te ondertekenen).

    Certificaat Handmatige Importage Vertegenwoordiging

    4. Selecteer het tabblad Certificaatparameters en selecteer Aangepaste FQDN voor het veld Inclusief FQDN en vul de certificaatgegevens in zoals in de afbeelding.

    Certificaatparameters


    5. Selecteer het tabblad Key en selecteer het type toets. U kunt kiezen voor naam en grootte. Voor RSA is 2048 bytes een minimumvereiste.

    6. Selecteer Opslaan, bevestig het Apparaat, en selecteer onder Wachtwoordregistratie het trustpoint dat zojuist is gemaakt. Selecteer Toevoegen om het certificaat te implementeren.

    Nieuw certificaat toevoegen

    7. Selecteer in de kolom Status het ID-pictogram en selecteer Ja om de MVO te genereren zoals in de afbeelding.

    Pop-up van MVO-generatie

    8. Kopieer CSR en onderteken het met uw gewenste CA (bijvoorbeeld GoDaddy of DigiCert).

    9. Zodra het identiteitscertificaat van de CA (die in het base64-formaat moet zijn) is ontvangen, selecteert u Identiteitscertificaat doorbladeren en plaatst u het certificaat in de lokale computer. Selecteer Importeren.

    Identificatiecertificaat voor invoer

    10. Na invoer kunnen zowel CA- als ID-certificaatgegevens worden weergegeven.

    Validatie van succes van certificaatinvoer

    Stap 2. Een RADIUS-server configureren

    Op door het VCC beheerde FTD-apparaten wordt de lokale gebruikersdatabase niet ondersteund. Er moet een andere verificatiemethode worden gebruikt, zoals RADIUS of LDAP.

    1. Navigeer naar Objecten > Objectbeheer > RADIUS-servergroep > RADIUS-servergroep toevoegen zoals in de afbeelding.

    Creatie van RADIUS-server

    2. Wijs een naam toe aan de Radius Server Group en voeg het IP-adres van de Radius-server toe, samen met een gedeeld geheim (het gedeelde geheim is vereist om het FTD te koppelen aan de Radius-server). Selecteer Opslaan zodra dit formulier is ingevuld zoals in de afbeelding.

    Voorbeeld van maken van RADIUS-server

    3. De RADIUS-serverinformatie is nu beschikbaar in de lijst Radius Server zoals in de afbeelding.

    RADIUS - Geavanceerd menu

    Stap 3. Een IP-groep maken

    1. Ga naar Objecten > Objectbeheer > Adrespools > IPv4-pools toevoegen.

    2. Wijs de naam en het bereik van IP-adressen toe. Het veld Masker is niet vereist, maar kan worden gespecificeerd zoals in de afbeelding.

    Configuratie van IP-lokale groep

    Stap 4. Een XML-profiel maken

    1. Download de Profile Editor tool van Cisco.com en voer de applicatie uit.

    2. Navigeer in de toepassing Profile Editor naar Server List en selecteer Add zoals in de afbeelding.

    XML-profiel: Serverlijst

    3. Wijs een Display Name, FQDN (volledig gekwalificeerd domein) of IP Address) toe en selecteer OK zoals in de afbeelding.

    XML-profiel: serverinvoer

    4. De ingang is nu zichtbaar in het menu Lijst van servers:

    XML Profile: Server List Validation

    5. Navigeer naar Bestand > Opslaan als.

    Opmerking: Sla het profiel op met een gemakkelijk herkenbare naam en een extensie.

    Stap 5. XML-profiel voor AnyConnect uploaden

    1. Ga in het VCC naar Objecten > Objectbeheer > VPN > AnyConnect File > Add AnyConnect File.

    2. Wijs een naam toe aan het object en klik op Bladeren. Zoek het clientprofiel op uw lokale systeem en selecteer Opslaan.

    Waarschuwing: Zorg ervoor dat u AnyConnect-clientprofiel selecteert als het bestandstype.

    AnyConnect-bestand (XML-profiel) importeren

    Stap 6. AnyConnect-afbeeldingen uploaden

    1. Download de afbeeldingen van webopstellen (.pkg) van de downloadwebpagina van Cisco.

    AnyConnect image downloaden (van Cisco-website)

    2. Navigeer naar Objecten > Objectbeheer > VPN > AnyConnect File > Add AnyConnect File.

    3. Wijs een naam toe aan het AnyConnect-pakketbestand en selecteer het .pkg-bestand vanuit uw lokale systeem zodra het bestand is geselecteerd.

    4. Selecteer Opslaan.

    Upload van AnyConnect-afbeelding

    Opmerking: extra pakketten kunnen worden geüpload op basis van uw vereisten (Windows, MAS, Linux).

    Stap 7. Wizard Externe toegang VPN

    Gebaseerd op de vorige stappen kan de Wizard Externe toegang dienovereenkomstig worden gevolgd.

    1. Navigeer naar Apparaten > VPN > Externe toegang.

    2. Wijs de naam van het beleid voor externe toegang toe en selecteer een FTD-apparaat uit de lijst Beschikbare apparaten.

    Wizard Externe toegang FMC: beleidstoewijzing aan apparaat

    3. Wijs de naam van het verbindingsprofiel toe (de naam van het verbindingsprofiel is de naam van de tunnelgroep), selecteer de verificatieserver en adresgroepen zoals in de afbeelding.

    Wizard Externe toegang FMC: Profielconfiguratie

    4. Selecteer het +-symbool om Groepsbeleid te maken.

    Groepsbeleid: VPN-protocolselectie

    5. (Optioneel) Een lokale IP-adrespool kan worden geconfigureerd op basis van groepsbeleid. Als het niet is geconfigureerd, wordt de pool geërfd van de pool die is geconfigureerd in het verbindingsprofiel (tunnelgroep).

    Groepsbeleid: selectie van lokale IP-pool

    6. Voor dit scenario wordt al het verkeer over de tunnel gerouteerd, wordt het IPv4 Split Tunneling beleid ingesteld om al het verkeer over de tunnel toe te staan zoals in het beeld wordt getoond.

    Groepsbeleid: configuratie van Split-tunnel

    7. Selecteer het profiel .xml voor AnyConnect en selecteer Opslaan zoals in de afbeelding.

    Groepsbeleid: AnyConnect XML-profielselectie

    8. Selecteer de gewenste AnyConnect-afbeeldingen op basis van de operationele systeemvereisten. Selecteer Volgende zoals in de afbeelding.

    Wizard Externe toegang FMC: AnyConnect-beeldselectie

    9. Selecteer de Security Zone en Apparaatcertificaten:

          • Deze configuratie bepaalt de interface waarop VPN eindigt en het certificaat dat op een SSL verbinding wordt voorgesteld.

    Opmerking: in dit scenario is de FTD zo geconfigureerd dat hij geen VPN-verkeer inspecteert, wordt de optie Toegangsbeheer (ACS) omzeild.

    Wizard Externe toegang FMC: selectie doelinterface

    10. Selecteer Voltooien en wijzig de wijzigingen:

          • Alle configuraties met betrekking tot VPN, SSL-certificaten en AnyConnect-pakketten worden via FMC-implementatie gedrukt zoals in de afbeelding.

    Wizard Externe toegang FMC: Overzicht configuratie

    NAT-vrijstelling en haarspeld

    Stap 1. NAT-uitzonderingsconfiguratie

    De NAT-vrijstelling is een voorkeursvertaalmethode die wordt gebruikt om te voorkomen dat verkeer naar het internet wordt geleid wanneer het via een VPN-tunnel (externe toegang of site-to-site) moet stromen.

    Dit is nodig wanneer het verkeer van uw interne netwerk bedoeld is om over de tunnels te stromen zonder enige vertaling.

    1. Navigeer naar objecten > Netwerk > Netwerk toevoegen > Object toevoegen zoals in de afbeelding.

    Object maken voor VPN Pool NAT-omzettingen

    2. Navigeer naar apparaat > NAT, selecteer het NAT-beleid dat door het apparaat in kwestie wordt gebruikt en maak een nieuwe verklaring.

    Opmerking: de verkeersstroom gaat van binnen naar buiten.

    NAT-interfacekeuze voor vrijstelling

    3. Selecteer de interne bronnen achter de FTD (oorspronkelijke bron en vertaalde bron) en de bestemming als de lokale IP-pool voor de AnyConnect-gebruikers (oorspronkelijke bestemming en vertaalde bestemming) zoals in de afbeelding.

    Selectie van NAT-vrijstellingsbron/doelobject

    4. Zorg ervoor dat u tussen de opties (zoals in de afbeelding) schakelen om geen proxy-arp en route-lookup in de NAT-regel in te schakelen. Selecteer OK zoals in de afbeelding.

    Selectie van geavanceerde NAT-opties voor vrijstelling

    5. Dit is het resultaat van de NAT-vrijstellingsconfiguratie.

    NAT - Overzicht van uitzonderingsregels

    De in de vorige sectie gebruikte objecten worden hieronder beschreven.

    FTDv-Supernet-Object

    VPN-pool-object

    Stap 2. haarspeldconfiguratie

    Ook bekend als U-turn, dit is een vertaalmethode die het verkeer toelaat om over dezelfde interface te stromen als het verkeer ontvangen wordt.

    Wanneer AnyConnect bijvoorbeeld is geconfigureerd met een beleid voor een volledige tunnel en een gesplitste tunnel, worden de interne bronnen benaderd volgens het NAT-vrijstellingsbeleid. Als het AnyConnect-clientverkeer is bedoeld om een externe website op internet te bereiken, is de haarspeld NAT (of U-turn) verantwoordelijk voor het routeren van het verkeer van buiten naar buiten.

    Een VPN pool object moet gemaakt worden voor de NAT configuratie.

    1. Maak een nieuwe NAT-verklaring, selecteer Auto NAT-regel in het veld NAT-regel en selecteer Dynamisch als NAT type.

    2. Selecteer dezelfde interface voor de bron- en doelinterfaceobjecten (buiten):

    Hairpin NAT-configuratie: interfacekeuze

    3. Selecteer op het tabblad Vertaling de oorspronkelijke bron, het VPN-poolobject en selecteer doelinterface IP als de vertaalde bron. Selecteer OK zoals in de afbeelding.

    Hairpin NAT Configuratie: Bron/bestemming object en interface configuratie

    4. Dit is de samenvatting van de NAT-configuratie zoals in de afbeelding.

    NAT-resultaten

    5. Klik op Opslaan en de wijzigingen implementeren.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Voer deze opdrachten uit in de FTD-opdrachtregel.

          • sh crypto ca-certificaten
          • tonen in werking stellen-configuratie ip lokale pool
          • tonen in werking stellen-configuratiewebvpn
          • tonen in werking stelt-Config tunnel-groep
          • tonen in werking stelt-configuratiegroepsbeleid
          • Toon in werking stelt -in werking stellen-configuratiesl
          • toon in werking stelt -in werking stellen-Config NAT

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    02-Aug-2024
    Bijgewerkte Inleiding, Alt Test, Stijlvereisten en Opmaak.
    3.0
    08-Jun-2023
    hercertificering
    2.0
    13-Jan-2022
    Geverifieerde vereiste informatie om opnieuw te publiceren.
    1.0
    30-Jul-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Hugo Olguin
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten