Re: コミュニティ Ask Me Anythingイベント – コンフィグレーション、トラブルシューティングとベストプラクティス: ASAとFTDにおけるAnyConnect Remote Acce... - 5ページ

CiscoJapanModerator · ‎2020-04-07

このイベントは先週まで開催されていたAsk Me Anything イベント"Secure Remote Workers " の続編です。

Cisco Adaptive Security Appliances (ASA)とFirepower Threat Defense (FTD)およびそれらをシスコセキュリティポートフォリオデバイスとテクノロジと統合したISEやDuoにおける AnyConnect secure mobilityクライアントのためのコンフィグレーション、トラブルシューティング及びベストプラクティスについて質問できるチャンスです。

このセッションは、SSLと Ikev2を使ったAnyConnectの実行について様々な見地から学び質問出来る機会です。現在のような重大な局面において、所属する組織の安全を確実に守るのに役立つ必要なセキュリティを提供するAnyConnectのエマージェンシーライセンス、コンフィグレーション、デプロイメントおよびトラブルシューティングなどが含まれます。

このイベントに参加するには、 ボタンをクリックしてください。

4月6日（月）から17日（金）まで質問を投稿できます。

エキスパート

Dinesh Moudgil はインドのバンガロールにあるシスコのセキュリティチームのHigh Touch Technical Support (HTTS) エンジニアです。シスコテクノロジに勤務して6年以上になり、主にCisco Next Generation Firewalls、Intrusion Prevention Systems、Identity Management ＆ Access Control (AAA) と VPNを担当しています。CCNP, CCDP 及び CCIE #58881 セキュリティ検定、およびACE、 PCNSE 、VCPといった様々なベンダー検定を取得しています。

Pulkit Saxena はシスコのセキュリティドメインのHigh Touch Technical Support (HTTS) エンジニアで7年に亘りチームに貢献しています。複数ファイアウォールや様々なVPNソリューション、AAA、次世代IPSの実地経験があり、様々なトレーニングも行っています。Cisco および Juniperベンダ検定（CCIE Security と JNCIA)を取得しています。

Jason Grudier はノースカロライナ州のローリーでVPN TACチームのテクニカルリーダーをしており、シスコのVPNチームに6年勤務しています。それ以前はLabcorp でネットワークエンジニアをしていました。現在は主に、DMVPN、 GETVPN、 Radius、 LDAPおよび証明書認証、シスコのプラットフォーム全体のAnyConnectのトラブルシューティングとコンフィグレーションに携わっています。

Gustavo Medina はエンタープライズネットワーキングセールスチームのシステムセールスエンジニアで、セキュリティとエンタープライズネットワーキングにおいて10年以上の経験があります。テクニカルエスカレーションやパートナーアドプションからシスコサーティフィケーション評価の改訂に至るまで様々なタスクにフォーカスしてきました。セキュリティのCCNA、 CCNP CCSI およびCCIE (#51487)を取得しています。

質問が多数となる場合、Dinesh、 Pulkit、 Jason、Gustavo の4人とも回答できない場合があります。その場合は、引き続き Securityコミュニティをご利用ください。

質問を投稿するとコミュニティのすべての言語に翻訳されます。

その他のイベント：https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=technology-support

**役に立ったボタンをクリックして参加者を増やしましょう **
質問に対する回答に必ず評価をお願いします。

Pulkit Saxena · ‎2020-04-15

3つ全てがサイト間で接続されているというのが、正確に何を意味するか明確にする必要があります。
FMCは他の2つのFTDのサイト間構成を実行する、管理センターデバイスです。
これは私の理解ですが、何か他の意味がある場合は教えてください。

Limerickでリモートアクセスが機能していると言うと、FMC自体へのリモートアクセスは正常に機能しています。

インドの場所にアクセスしようとしている場合、デバイス接続ではなく、anyconnect接続が原因であり、anyconnect接続が「認証失敗」エラーで失敗していると思います。
まず、問題のあるFTDでAAAサーバーが正しく構成されていることを確認し、CLIから次のコマンドを使用して確認できます

特定のユーザーに対して"test aaa server"を実行して、FTDからAAAサーバーに適切に到達できるかどうかを確認します。

注）この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

私のFMC、RadiusサーバーはLimerickにあります。
1つのFTD 2110がチェンナイにあり、1つのFTD 1010がバンガロールにあります。
3つすべてがSite to Site VPNと相互接続され、ローカルIP（Limerick IPアドレス）を介してのみFMCにアクセスできます。
bangalore FTD CLIからAAA認証接続をチェックしようとした時
firepower# test aaa-server authentication BSB_RadiusServer host 192.168.0.198
Username: Gururajan.s
Password: ***********
INFO: Attempting Authentication test to IP address (192.168.0.198) (timeout: 32
ERROR: Authentication Server not responding: No response from server

しかし、バンガロールのローカルPCからpingを実行してRadiusサーバー192.168.0.198に到達できますが、FTD CLIから接続しようとすると接続できません。
SO FTDはAAAサーバー（Limerick）に到達できません。Via site to site VPNに接続されており、バンガロールから接続できないためです。

注）この質問は Gururajansrinivasan32898 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Gustavo Medina · ‎2020-04-15

FTDは、Radiusサーバーに到達するためにroute lookupを実行します。
その結果、L2L VPNを構成した外部インターフェイスを介して到達可能になります。
VPNがLimerick、Chennai、Bangaloreからのサブネットのみを定義している可能性が最も高いため、RAクライアントがChennaiとBangaloreに接続すると、FTDは外部IPからトラフィックを調達するRadiusサーバーに到達しようとします。

VPNの対象トラフィックにChennaiとBangalore以外の外部IPを含める必要があります。
Limerickで、Radiusサーバーから ChennaiとBangalore IP へのNAT免除が設定されていることを確認してください。

注）この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Pulkit Saxena · ‎2020-04-15

@Gururajansrinivasan32898

Gustavoが指摘した通り、チェンナイとバンガロールのインターフェイスIPを含めたVPN対象トラフィックを知る必要があります。
これは、これらのFTDでローカルユーザがAAAサーバに接続することが可能であり、対象のVPNトラフィックの一部であるためです。

注）この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

VPN経由で接続するコンピューターのDNSエントリを更新するスクリプトを添付したいと思います。

（これにより、リモートで接続してユーザーにリモートヘルプを提供しやすくなります）。

このスクリプトをFTDで作成されたAnnyconnectグループに追加したいと思います（ASA 5xxxシリーズのFirepowerインスタンスだけではASDMを使用していません）。

AnyConnectプロファイルにFTDのスクリプトを追加することに関する資料が見つかりません。

それが可能かどうか教えてもらえますか？

注）この質問は PiotrBによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

興味深い質問ですので参加させていただきます。

DHCPサーバーからのIP割当より効率的なため、ファイアウォールでアドレスプールを使っています。DNSサーバーからのhostname-to-ipマッピングが
Active Directory login mappingでのみリレーするため、間違っている可能性があることに困っています。

Active Directory integrated DHCPを使っているため、サーバーからDHCPの使用を考えていましたが、特定のホストにはAレコードもアップデートが必要です。DHCPリースが短時間でなければ（例：15分ごとに更新の30分）、非効率的でしょうか。2点、認識に不安があります。

A）DHCPサーバーは単一障害点になる、もしくはインフラにとって重要（短時間リースのため）
B）ユーザーの同時接続で、短時間のDHCPリースは多大なトラフィックを生成する（例：ユーザー1000人の同時接続で、DHCPリース30分の15分毎に平均500DHCP更新）

質問：
1）アドレスプールを使ってDNSサーバーを更新することは可能ですか。
2）Remote AccessリースにDHCPサーバーのファイアウォールを使用することは可能ですか。可能な場合、リース情報でDNSサーバーを更新しますか。
3) DHCPサーバーに平均500〜1000人（もしくはそれ以上）のユーザーが同時接続し、短時間のDHCPリースを維持することは、妥当かつ持続可能ですか。
その場合、Piotrで生じる問題は軽減されますか。また、どうベストな状態にスケーリングしますか。

注）この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

jgrudier · ‎2020-04-15

カスタマイズをサポートしていないため、ログオンスクリプトは、FMCもしくはFDM管理のFTDデバイスに接続するAnyConnectではサポートされていません。

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/configuration/guide/fpmc-config-guide-v66/firepower_threat_defense_remote_access_vpns.html

FTD secure gatewayに接続する際、下記AnyConnect機能はサポートされません。
Secure Mobility、 Network Access Management、およびコアVPN機能とVPNクライアントプロファイル以外のすべてのAnyConnectモジュールとプロファイル、HostscanやEndpoint Posture AssessmentなどのPosture variant、およびクライアントのポスチャに基づくDynamic Access Policie、AnyConnect CustomizationとLocalizationのサポート。

FTDデバイスは、上記機能のため、AnyConnect設定に必要なファイルを構成または配置していません。

注）この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Gustavo Medina · ‎2020-04-15

jgrudierが回答しました通り、6.8での予定はありますが、カスタマイズはサポートされていません。スクリプトのクライアントへのプッシュはサポートされていません。XMLプロファイルを変更し、クライアントにプッシュ。同時にOnConnectスクリプトを適切な場所にプッシュすることで機能します。機能の概要は、下記Anyconnectガイドをご参照ください。

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/customize-localize-anyconnect.html#ID-1408-00000396

giovanniさん
DHCPのDNSアップデートですが、ASA/FTDがDHCP経由でホスト名（FQDNではなくENH）を渡し、その他はDHCPサーバー経由で、DDNS環境と通信します。
Windowsユーザーの登録がDDNSサーバーと直接通信してできるのが、可能なことのひとつになります。

注）この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

幾つか質問があります。FTD2140（FTD image実行・FMC接続）を実行していると、FTDで生じたCSRが生成されました。

openssl genrsa -out FTD1.key 2048

openssl req -new -key FTD1.key -out FTD1.csr

上記コマンド出力が公開CAに送信されています。root.ca、identity ca、.pem fileがありますが、FTDでのID証明書の使い方をご教示ください。下記コマンドを入力すると、エラーが発生します。

openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer

注）この質問は Sheraz.Salimによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Dinesh Moudgil · ‎2020-04-15

テストしてみたところ、下記コマンドがFTDで機能しました。
openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer

自身はCAに署名されたID証明書の"Base 64 encoded"フォーマットを使用しています。
.pfx証明書作成の際に発生するエラーおよびID証明書のフォーマットをご確認ください。

注）この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

下記エラーが出ましたが、理由がわかりません。

FTD1:~$ openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer
証明書がプライベート・キーとマッチしません。

下記をダブルチェックはしてみました。

-FTD1:~$ cat FTD1.crt
-----BEGIN CERTIFICATE-----
MIIFJjCCAw4CCQCDyDsSbw5UITANBgkqhkiG9w0BAQsFADBVMQswCQYDVQQGEwJH
FTD1:~$ cat FTD1.key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEA1v91avgdvjcer+kznBdjRUGmXbqkwlNZl+sV5rMK52OgSUET
FTD1:~$ cat FTD1.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICuzCCAaMCAQAwdjELMAkGA1UEBhMCR0IxEzARBgNVBAgMCkxhbmNhc2hpcmUx

注）この質問は Sheraz.Salimによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Dinesh Moudgil · ‎2020-04-15

コマンドで使うプライベート・キーが、インポートする証明書と関連していないようです。

コマンドで正しいファイルが呼び出されているか確認してみてください。

このようなCSRをFTDで生成する必要は特になく、OpenSSLをサポートするデバイスで可能です。

CA証明書を含めてテストしたところ、FTDでも機能しました。

openssl pkcs12 -export -out FTD2.pfx -inkey FTD1.key -in FTD1.cer -certfile CA.cer

自身は.cer拡張子とBase 64エンコーディングを使用しているため、違いが出る可能性があります。

注）この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-15

それが分かるリンクをいただけますか。
OpenSSLはあまり使ったことが無く勉強中です。

注）この質問は Sheraz.Salimによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Dinesh Moudgil · ‎2020-04-15

もちろんです。OpenSSLとその使い方について下記ドキュメントをご参照ください。
https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs
https://wiki.openssl.org/index.php/Command_Line_Utilities
https://www.freecodecamp.org/news/openssl-command-cheatsheet-b441be1e8c4a/
https://www.sslshopper.com/article-most-common-openssl-commands.html

注）この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-16

ネットワークセキュリティでもこの質問をしましたがここにも記載させていただきます。

私は最近、次の計画の実装の可能性について同僚と話し合いました。
HAの代替えとして2つのデバイスがあります。例えば2つのASA 5508-xや2つの firepower 1140など。
NATとDMZをネットワークに実装し、同じデバイスのペアで構成されたanyconnectを実装できますか。

はいの場合-この状況で正しい方法は何ですか-NAT用の外部インターフェース（outside_natなど）と、anyconnectの外部インターフェース（outside_anyconnectなど）の2つの外部インターフェースを構成するか、同じインターフェイス（例えばoutside）の全てを構成する方が正しいですか。
最初の方法を検討する場合、HAで両方のデバイスを構成し、ポートチャネルを構成して、それを5つのsubs-outside_nat、inside_nat、DMZ、outside_anyconnect、inside_anyconnectに分割します。
ただしこの場合、2つの外部インターフェイスルートで問題が発生します。asaまたはfirepowerに2つのデフォルトルートを構成することは可能ですか。

注）この質問は kapydan88による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Gustavo Medina · ‎2020-04-16

それは間違いなく可能です。
最も一般的なシナリオは、全てを処理する単一のインターフェースであり、冗長性のためにDual ISPを使用しているお客様の場合、セカンダリインターフェースはトラフィックを通過させません。もしPrimary linkがダウンするとセカンダリインターフェースが引き継ぎ、全てのトラフィックを処理します。

ただし、セカンダリデュアルISPがアイドル状態であって、トラフィックのバランスを取ることを望まない顧客はいます。
ASAで述べたように、同じメトリックを持つルートを複数持つことはできません。過去にこれを達成する唯一の方法はNATトリックを使用することでしたが、9.4.1でPBRを導入して以来、これは非常に簡単に達成できます。

特にAnyconnectの場合は、顧客が意図したとおりに実行されます。
Anyconnectユーザーのプライマリリンク帯域幅を消費しないように、デフォルトではない専用インターフェースを用意します。
仕組みは、より高いメトリックを持つセカンダリデフォルトルートを追加し、そのセカンダリインターフェイスでAnyconnectを設定するだけです。
Anyconnect接続がそのインターフェイスに到達すると、ASAまたはFTDは、ボックスへの接続であったため、そのセカンダリルートを使用して応答できます。
Anyconnect接続が確立されると、その接続のホストルートが正しいネクストホップを使用してインストールされます。

覚えておくべきこと：
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCun65747/?reffering_site=dumpcr　の修正を含むコードを実行する
そのインターフェイスでRPFが設定されていないことを確認してください。
*ただし、あなたのダイアグラム内のanyconnect-insideインターフェースの使用例は不明です。拡大したい場合はお手伝いします。

注）この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-16

非常に奇妙なバグに遭遇していると思われます：
KVMのFTDvでリモートアクセス展開をテストしていますが、奇妙なことにデプロイメントがエラーを表示するためにかなり長い時間失敗し続けました（構成エラーが原因でデプロイメントが失敗しました...）
bashでFTDを見てみたところ：
tail -f /ngfw/var/log/messages

anyconnectパッケージのコピーが進行していることに気付きましたが、70％〜72％に達するとすぐに停止し、デプロイメントを続行しません。

Apr 13 01:57:36 FTD-1 SF-IMS[9624]: [9624] sftunneld:control_services [INFO] FSTREAM_STATUS: Sending back task status 'Processing'
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] task_id=6
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] peer=a1f1e77e-44e0-11e9-a967-39f0b3b399ab
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status: curr_read=32385024, curr_write=32385024, total_bytes=46197839, stream_id_src=0, stream_id_dest=6, seq_id_src=4518, seq_id_dest=4518, state =Processing, started:2020 04 13 01:51:55 UTC, expires:2020 04 13 01:58:38 UTC
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO]  ELASTIC_FSTREAM status:: File copy 70 % completed, 32385024 bytes of file copied out of 46197839

十分な帯域幅があり、コピーが停止するまで非常に高速で、500 MBではなく50 MB未満のファイルについての話なので驚いています。
FTD更新パッケージで実行できるのと同様に、bashでanyconnectパッケージを手動でコピーする方法はありますか？
編集：

Anyconnectパッケージのコピーパスがこのフォルダーにあることに気付きました：

/ngfw/var/cisco/deploy/pkg/var/cisco/packages/lina/domain/AnyConnect Image/111/

そこで、wgetを使用してパッケージをダウンロードし、ポリシープッシュを再度起動しました。
コピーは常に0％でしばらく時間がかかりました。その後、ポリシーの残りの部分を処理しました。thank God :)
これらのパッケージを手動でアップロードする機会がある方が簡単でしょうか？ REST APIを介したFDMでは可能ですが、FMC managedデバイスでは不可能だと思っています。
PS：これについて報告されているバグはありますか？

注）この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Gustavo Medina · ‎2020-04-16

共有してくれたスニペットに関して、cgroupsプロセスがプロセスを強制終了するのを見ましたか。

プロセスが規定よりも多くのメモリを消費すると、cgroupsプロセスはこの状態を検出してプロセスを終了します。
プロセスが終了すると、そのプロセスに依存する機能が失敗する場合があります。

FMCvにどのくらいのメモリを割り当てましたか？

下記が要件です：
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fmcv/fpmc-virtual/fpmc-virtual-vmware.html#id_82840

注）この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-16

当方のハードウェアはFMC2500・バージョン6.5.0.4、容量の問題は想定していません。
KVMで仮想化されたFTDからのログを共有しています。
FTDには4つのvCPUと8GBのRAMがあり、FTDイメージのテストとして、サーバーはこのVMのみを実行しています。
FTDのバージョンは6.5.0（hotfixはインストールされていません）です。
cgroupsは、別イメージをアップロードしてもう一度試しますが、同様の動作を想定しています。
cgroupsはFMCまたはFTDにログメッセージをドロップしますか。その場合、特定のログファイルか通常のメッセージになりますか。

注）この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-16

プロダクションネットワークに入る前に ASAの最良のあるいは理想的なコンフィグレーションは何ですか。

注）この質問は Rohitmanoharanによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

コミュニティ Ask Me Anythingイベント – コンフィグレーション、トラブルシューティングとベストプラクティス: ASAとFTDにおけるAnyConnect Remote Access VPN