CSC_小M 发表于 2020-4-10 13:14
答复from Gustavo Medina

问题from giovanni.augusto

谢谢，这似乎正是我们所发生的情况。

您知道是否存在没有此问题的anyconnect版本吗？


到目前为止，

CSC_小M 发表于 2020-4-10 13:16
问题from giovanni.augusto
谢谢，这似乎正是我们所发生的情况。

答复from Dinesh Moudgil
目前，该漏洞处于分配状态，并且计划在以后的版本中对其进行修复。

您好，请问下对于FirePower的FTD版本来说，是否已经不支持l2tp over ipsec vpn的功能呢？有的时候，客户的一些安全需求，导致客户电脑没有权限安装anyconnect的客户端，但是他们又需要通过外网访问，在Firepower上是否有功能代替呢？

您好，问题收到，收到专家答复后我们会尽快回复您。

AnyConnect远程访问VPN可以部署在ASAv上吗？有相关的configuration guid吗？

您好，问题收到，收到专家答复后我们会尽快回复您。

问题from patelvc7601
如何将数据包跟踪器（packet-tracer）与RA VPN vpn过滤器一起使用。
假设10.10.10.10是vpn地址＆内部地址是192.168.10.3什么是packet-tracer的语法
外部的packet-tracer输入会导致外部接口访问列表匹配吗？

CSC_小M 发表于 2020-4-15 17:38
问题from patelvc7601
如何将数据包跟踪器（packet-tracer）与RA VPN vpn过滤器一起使用。

答复from Gustavo Medina
在9.9（1）之后，我们将解密选项添加到Packet-tracer中，还可以模拟通过VPN隧道的数据包。 模拟的“解密”数据包将与现有的VPN隧道匹配，并将应用关联的隧道策略。
对于您的示例，语法为：
packet-tracer input outside tcp 10.10.10.10 5050 192.168.10.3 decrypted
运行上述命令时，应建立隧道，否则将收到警告。

问题from giovanni.augusto
再次问好，
首先抱歉，这是一个与Cisco ISE有交叉引用的问题。
如果我们需要根据来源国限制远程访问用户，我知道以下几点：
Firepower具有地理定位提要（Geolocation feed），并且可以基于它们创建ACP规则，但不能用于终止在防火墙处终止的流量（就像RA VPN一样）
用作RADIUS后端身份验证的Cisco ISE可以在身份验证/授权规则中使用Tunnel-Client-Endpoint属性，该属性将提供连接客户端使用的公共IP
据我所知，思科ISE没有任何地理位置数据 feed
基于这些考虑，我正在考虑稍后导出Firepower地理位置IP列表，并通过REST API将条件对象构建到Cisco ISE中，然后如果Tunnel-Client-Endpoint落入允许访问的特定国家/地区对象，则进行匹配。
现在我的问题如下：
是否可以通过REST API从

FMC

导出地理位置IP数据？
是否可以通过某种方式在ISE中创建条件，使IP位于对象中列出的子网之中？ （我相信没有办法）
ISE或Firepower上的

路线图中

是否具有此类功能？

谢谢！

CSC_小M 发表于 2020-4-15 17:42
问题from giovanni.augusto
再次问好，

答复from Dinesh Moudgil
1.您可以从FMC上以下目录“ / var / sf / geodb”中的文件“ ipv4_country_code_map”和“ ipv6_country_code_map”中获取映射信息。
root@fmcv66:/var/sf/geodb# cat ipv4_country_code_map
and
root@fmcv66:/var/sf/geodb# cat ipv6_country_code_map
这将产生带有IP和相关国家代码的输出。 有关国家/地区代码的更多信息，请访问

如果您想从FMC知道国家/地区代码，则可以以root用户身份在FMC上运行以下perl命令：

root@fmcv66:/var/sf/geodb# perl -MFlyLoader -e 'my $t="country_code_continent_code_map";my @c=("country_name","country_code");my $n=0;my $s="*"x20;foreach my $row (@{SF::SFDBI::connect()->selectall_arrayref("SELECT ".join(",", @c)." from $t WHERE country_code=242")}){print "$s ".++$n.". $s\n";my $i=0; foreach (@{$row}){printf "%9s: %s\n",@c[$i++],$_}}'

******************** 1. ********************

country_name: fiji

country_code: 242

root@fmcv66:/var/sf/geodb#

我们还可以用以下API来检索地理位置对象：

GET geolocation

Request Type: GET

Description: Retrieves the geolocation object associated with the specified ID. If no ID is specified, retrieves list of all geolocation objects.

URL: /api/fmc_config/v1/domain/{domain_UUID}/object/geolocations

URL for GET by ID: /api/fmc_config/v1/domain/{domain_UUID}/object/geolocations/{object_UUID}

对于第2和第3个问题，我决不是ISE方面的专家，但它通常根据诸如属性或身份组而不是列表之类的条件进行检查。 暂时不支持此功能，但是如果信息有任何更改，我将更新该这个回复贴。

CSC_小M 发表于 2020-4-15 17:48
答复from Dinesh Moudgil
1.您可以从FMC上以下目录“ / var / sf / geodb”中的文件“ ipv4_country ...

问题from giovanni.augusto
谢谢Dinesh，
感谢您的支持，我会随时关注您的更新。
这可能解决了一个大问题，目前我已经看到第三方身份验证提供程序基于地理位置返回失败条件，但是在当前状态下，并非每个远程访问解决方案都可以针对此类提供程序进行身份验证，因此对 Firepower或ISE的最好是开箱即用。（it would be good to have it out of the box for either Firepower or ISE）

CSC_小M 发表于 2020-4-15 17:56
问题from giovanni.augusto
谢谢Dinesh，

回复from Marvin Rhoads
@ giovanni.augusto请注意，如果您使用Duo MFA（基于FTD的远程访问VPN支持）并且有Access或Beyond计划，则可以基于用户地理位置来实施Duo策略。 例如，您可以禁止您所在国家/地区的所有访问。 您还可以使其更细化-例如，一般在禁止出差或居住在国外的特定用户的情况下做出这样的禁止。

CSC_小M 发表于 2020-4-15 17:58
回复from Marvin Rhoads
@ giovanni.augusto请注意，如果您使用Duo MFA（基于FTD的远程访问VPN支持） ...

问题from giovanni.augusto
谢谢Marvin，
如果将DUO代理与ISE一起使用，或者将其与直接从FTD进行SAML身份验证的DUO一起使用，该方法是否可行？

CSC_小M 发表于 2020-4-15 17:59
问题from giovanni.augusto
谢谢Marvin，

答复from Gustavo Medina
大家好，

ISE本身不提供此类服务，但是您可以与MDM集成（Meraki Systems Manager可以使用）以提供此服务。 从FTD本身，您可以配置控制平面ACL来阻止不需要的blocks。 您可以通过@Dinesh Moudgil指出的方式从FMC获取此信息，从cisco.com上的geo软件包本身，从第三方资源或使用ANSIBLE（我更倾向于这个）：

绝对是@Marvin Rhoads所指的选项，使用DUO是我的首选方法。 您可以使用DUO代理来做到这一点，如此处所述：

问题from giovanni.augusto
感谢各位专家的建议。
@Marvin Rhoads：一旦获得一些空闲时间（！），我将立即探索DUO选项，并最终使其与我们使用的另一个MFA provider同时工作，您知道地理定位是否可以使用免费许可证进行测试吗？
@Gustavo Medina @Dinesh Moudgil：我喜欢建议的所有选项，对我而言最即时的现在看起来像是在具有地理位置的FTD中使用控制平面ACL，我对此选项有疑问：

1. 据我所知，

control-plane ACL

可以通过flexconfig使用，并且过去存在一些问题，我想这些问题已经解决，思科是否支持这种配置？
2. 如果是FTD中的control-plance ACL，是否可以直接使用SI中的地理位置对象，还是必须创建和更新“ LINA”对象才能与Flexconfig一起使用？
3. 在这种情况下，我可以仅将此ACL应用于一个隧道组吗？据我所知，这将适用于该防火墙的所有入站远程访问，所以这意味着我们将限制连接到该防火墙的任何人？
4. 如果问题3的答案是“是”（禁止所有连接用户使用FW），那么FTD 6.6的VRF-lite新功能是否派上用场并创建多个接口，并将

control-plane

ACL附加到特定的“受限外部”

"restricted outside"

？
在写这些问题时，我开始觉得

control-plane ACL

在身份验证级别上的可扩展性不如地理位置，但我希望您对此表示赞同。