cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
11473
Visitas
0
ÚTIL
130
Respuestas

Community Ask Me Anything- Configuración, troubleshooting y mejores prácticas: AnyConnect Remote Access VPN en ASA and FTD

Cisco Moderador
Community Manager
Community Manager
SPama-covid-vpn_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”

En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo. 

La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.

Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.

Detalles de los Expertos
josemed.jpgGustavo Medina es un Systems Sales Engineer en el equipo de ventas de Enterprise Networking. Cuenta con más de 10 años de experiencia en seguridad y redes empresariales. Durante su carrera se ha enfocado en diversas áreas y tareas, desde escalaciones técnicas en l TAC de Cisco, hasta los programas de adopción y la revisión de evaluaciones de las certificaciones de Cisco. Cuenta con las certificaciones de CCNA, CCNP, CCSI y CCIE de seguridad (#51487).

jgrudier.jpgJason Grudier es un Technical leader en el quipo de VPN en el TAC de Raleigh, USA. Ha trabajado en el grupo de VPN de Cisco en los últimos seis años. Antes de unirse el equipo, trabaja como ingeniero de redes en Labcorp. Se especializa en la configuración y troubleshooting de AnyConnect en todas las plataformas de Cisco, así como en DMVPM, GETVPN, Radius, LDAP y Certificate authentications.

dinesh.jpgDinesh Moudgil es un ingeniero High Touch Technical Support (HTTS) en el equipo de seguridad de Bangalore, India. Ha trabajado con diversas tecnologías de seguridad de Cisco por más de 6 años, con un enfoque en Cisco Next Generation Firewalls, Intrusion Prevention Systems, Identity Management and Access Control (AAA) y VPNs. Cuenta con las certificaciones de seguridad de Cisco CCNP, CCDP y CCIE #58881, al igual que con otras externas como Ace, PCNSE y VCP.

pulkit.pngPulkit Saxena es un ingeniero High Touch Technical Support (HTTS) que ha brindado más de 7 años de experiencia en la industria al equipo de seguridad de Cisco. Tiene experiencia en distintos firewalls, soluciones VPNs, AAA y Next Generation IPS, así como en la entrega de diversos entrenamientos. Pulkit cuenta con múltiples certificaciones, ya sea de Cisco o Juniper (como CCIE en Seguridad y JNCIA).

Gustavo, Jason, Dinesh y Pulkit pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

130 RESPUESTAS 130

Hola Uzhegov,

Cuando realizó la configuración de su dominio, ¿utilizó un FQDN o una dirección IP?

Ver abajo :
Capture.PNG

Hola jgrudier,

Gracias por su respuesta.

Yo uso LDAP. Si no me equivoco, sólo puedo configurar el nombre de dominio completo con LDAP.

Mejores saludos.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Es correcto.

Creo que podría haber un problema con el DNS que no está configurado correctamente en el FTD.

¿Ya ha configurado el DNS?

Ver abajo :Capture.PNG

Gracias, efectivamente ese fue mi error. Pero ahora tengo un nuevo problema:

[19] Session Start
[19] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[19] Fiber started
[19] Creating LDAP context with uri=ldaps://172.25.YY.XX:636
[19] Connect to LDAP server: ldaps://172.25.YY.XX:636, status = Failed
[19] Unable to read rootDSE. Can't contact LDAP server.
[19] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[19] Session End
ldap_client_server_add: Add server:172.25.YY.XX, group=4
ldap_client_server_unlock: Free server:172.25.YY.XX, group=4

#telnet 172.25.YY.XX 636
Trying172.25.YY.XX...
Connected to172.25.YY.XX.
Escape character is '^]'.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Sí lo he hecho.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Este es el resultado de la configuración de depuración debug y ldaps:

[27] Session Start
[27] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[27] Fiber started
[27] Creating LDAP context with uri=ldaps://172.25.XX.YY:636
[27] Connect to LDAP server: ldaps://172.25.XX.YY:636, status = Failed
[27] Unable to read rootDSE. Can't contact LDAP server.
[27] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[27] Session End
ldap_client_server_add: Add server:172.25.XX.YY, group=4
ldap_client_server_unlock: Free server:172.25.XX.YY, group=4

telnet 172.25.XX.YY 636
Trying 172.25.XX.YY...
Connected to 172.25.XX.YY.
Escape character is '^]'.
^C

aaa-server srv protocol ldap
max-failed-attempts 4
realm-id 3
aaa-server srv-dc host srv-dc
server-port 636
ldap-base-dn DC=name,DC=local
ldap-group-base-dn DC=name,DC=local
ldap-scope subtree
ldap-naming-attribute samaccountname
ldap-login-password *****
ldap-login-dn user@name.local
ldap-over-ssl enable
server-type microsoft

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Como prueba, si regresa a LDAP, en lugar de LDAPs, ¿consigue lograrlo?

¿Ha verificado que el certificado sea válido y que el servidor LDAP lo haya aceptado?

Nunca había usado LDAP. Ahora migré de ASA a FTP, y en ldaps el ASA sí me funciona bien.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

En System/Integration/Realms se encuentra el estado i.O. y también puedo ver los grupos de usuarios.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

El FirePower Management Center tiene un certificado de raíz CA (Root CA Certificate). ¿Debo instalar un certificado en el FTD?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

 

¿El dispositivo FTD tiene los certificados raíz y de subautoridad del servidor LDAP como autoridades de certificación confiables?

El dispositivo FTD sólo tiene el certificado de autofirma Self Sign Certificate. El certificado de autoridad CA raíz (Root CA Certificate) sólo tiene el FirePower Management Center.

Intenté agregar el certificado de autoridad CA raíz (Root CA Certificate) en Dispositivos / Certificado, pero no veo el certificado.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

En este punto, creo que sería mejor abrir un caso. Deberíamos comenzar revisando a detalle los certificados y otras configuraciones específicas, en cuyo caso no es prudente compartirlo aquí.

Gracias por su respuesta.

Ayer lo hice (#SR 688828253), pero por el momento no tengo todavía una solución.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Me reuniré con el ingeniero que lo lleva y echaré un vistazo a su caso.

En cuanto al problema de instalación del certificado, vea el siguiente video alrededor del quinto minuto y revise los pasos necesarios para instalar el certificado en el FTD. Creo que el problema podría ser que la autoridad de certificación que instaló inicialmente no es la autoridad de certificación que finalmente firmó su certificado de identidad.

https://community.cisco.com/t5/security-videos/initial-anyconnect-configuration-for-ftd-managed-by-fmc/ba-p/4057295

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: