cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
11484
Visitas
0
ÚTIL
130
Respuestas

Community Ask Me Anything- Configuración, troubleshooting y mejores prácticas: AnyConnect Remote Access VPN en ASA and FTD

Cisco Moderador
Community Manager
Community Manager
SPama-covid-vpn_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”

En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo. 

La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.

Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.

Detalles de los Expertos
josemed.jpgGustavo Medina es un Systems Sales Engineer en el equipo de ventas de Enterprise Networking. Cuenta con más de 10 años de experiencia en seguridad y redes empresariales. Durante su carrera se ha enfocado en diversas áreas y tareas, desde escalaciones técnicas en l TAC de Cisco, hasta los programas de adopción y la revisión de evaluaciones de las certificaciones de Cisco. Cuenta con las certificaciones de CCNA, CCNP, CCSI y CCIE de seguridad (#51487).

jgrudier.jpgJason Grudier es un Technical leader en el quipo de VPN en el TAC de Raleigh, USA. Ha trabajado en el grupo de VPN de Cisco en los últimos seis años. Antes de unirse el equipo, trabaja como ingeniero de redes en Labcorp. Se especializa en la configuración y troubleshooting de AnyConnect en todas las plataformas de Cisco, así como en DMVPM, GETVPN, Radius, LDAP y Certificate authentications.

dinesh.jpgDinesh Moudgil es un ingeniero High Touch Technical Support (HTTS) en el equipo de seguridad de Bangalore, India. Ha trabajado con diversas tecnologías de seguridad de Cisco por más de 6 años, con un enfoque en Cisco Next Generation Firewalls, Intrusion Prevention Systems, Identity Management and Access Control (AAA) y VPNs. Cuenta con las certificaciones de seguridad de Cisco CCNP, CCDP y CCIE #58881, al igual que con otras externas como Ace, PCNSE y VCP.

pulkit.pngPulkit Saxena es un ingeniero High Touch Technical Support (HTTS) que ha brindado más de 7 años de experiencia en la industria al equipo de seguridad de Cisco. Tiene experiencia en distintos firewalls, soluciones VPNs, AAA y Next Generation IPS, así como en la entrega de diversos entrenamientos. Pulkit cuenta con múltiples certificaciones, ya sea de Cisco o Juniper (como CCIE en Seguridad y JNCIA).

Gustavo, Jason, Dinesh y Pulkit pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

130 RESPUESTAS 130

Hola giovanni.augusto,

  1. Asegúrense de ejecutar una versión con esta revisión https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn78593
  2. Necesitarán usar un objeto LINA.
  3. Es una regla general. No es específico por grupo de túneles (tunnel-group).
  4. Debería funcionar, ya he probado la aplicación de políticas para VRF específicos y sí funciona, pero no lo he probado en este escenario particular de plano de control. Si no funciona, entonces tendremos que documentar el error. Una instancia múltiple también debería funcionar.

Prefiero usar DUO para estas reglas basadas en la geolocalización, ya que son más fáciles de administrar, pero ciertamente no es su única opción. Otra alternativa sería separar las funciones y tener un ASA dedicado para sus conexiones RA VPN detrás del FTD, donde podrían aplicar reglas basadas en geolocalización para este tráfico directo.

Atentamente,
Gustavo

giovanni.augusto,

La versión de prueba gratuita de DUO les ofrecerá una funcionalidad limitada:

     https://duo.com/trial

Sería una mejor opción si contactan a su distribuidor. Pueden organizar con él una prueba de valor DUO para clientes calificados con todas las funciones activadas.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Marvin Rhoads. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Cisco Moderador
Community Manager
Community Manager

Hola expertos

Recientemente compramos Cisco FTD 2110 y 1010 para dos sitios en India, FMC está en Limerick y los tres están conectados con una VPN "site to site". El acceso remoto funciona en Limerick utilizando un servidor local Radius.

Cuando intentamos conectar el sitio de la India a través del acceso remoto mediante la autenticación del servidor Radius en Limerick, indica un error de autenticación. Mientras trato de solucionar el problema, noto que podemos hacer ping al servidor Radius desde la máquina local en India, pero no podemos llegar a ella desde el FTD 1010.

Esperando encontrar una pronta solución, gracias.

Gururajan

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Gururajansrinivasan32898. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Hola Gururajan

Necesito que nos aclares ¿qué quieres decir exactamente con los tres conectados "sitio a sitio"? FMC es el centro de administración donde realizan la configuración de sitio a sitio para los otros dos FTD, avísame si quisiste decir otra cosa.

Ahora, cuando dices que el acceso remoto funciona en Limerick, significa que el acceso remoto a FMC funciona correctamente. Cuando intentas acceder a tu ubicación en India, creo que te refieres a la conexión AnyConnect y no al acceso del dispositivo, y por lo tanto la conexión AnyConnect falla con el error "autenticación fallida".

Primero, verifiquen que el servidor AAA esté configurado correctamente en el FTD problemático y luego desde la CLI, a través del comando "test aaa server" para un usuario específico, hay que verificar si podemos tener el acceso correcto al servidor AAA del FTD, o no.

Pulkit

Hola Pulkit,

Mis servidores FMC y Radius se encuentran en Limerick. Un FTD 2110 se encuentra en Chennai y un FTD 1010 en Bangalore. Los 3 están interconectados con el VPN "site to site" y sólo puedo acceder al FMC a través de IP local (dirección IP de Limerick).
Cuando intento verificar la autenticación AAA desde el FTD CL de Bangalore:

firepower# test aaa-server authentication BSB_RadiusServer host 192.168.0.198
Username: Gururajan.s
Password: ***********
INFO: Attempting Authentication test to IP address (192.168.0.198) (timeout: 32
ERROR: Authentication Server not responding: No response from server

Desde la PC local en Bangalore, sí puedo alcanzar el servidor Radius 192.168.0.198 haciendo ping, pero cuando intento desde la CLI FTD, no se está conectando.

SO FTD no puede alcanzar el servidor AAA (Limerick), porque está conectado a través de VPN de sitio a sitio y tampoco puedo conectarme desde Bangalore.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Gururajansrinivasan32898. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Hola Gururajan

El FTD realizará una búsqueda de ruta para llegar a su servidor Radius. El resultado será accesible a través de la interfaz externa donde han configurado la VPN L2L. Lo más probable es que la VPN sólo haya definido las subredes Limerick, Chennai y Bangalore, por lo que, cuando los clientes RA se conectan a Chennai y Bangalore, estos FTD intentarán llegar al servidor Radius obteniendo tráfico de sus IP externas.

Lo que deben hacer es lo siguiente:

Incluir direcciones IP externas de Chennai y Bangalore en el tráfico VPN de interés, y en Limerick, asegúrense de que la exención NAT del servidor Radius a las direcciones IP de Chennai y Bangalore esté vigente.

Atentamente,
Gustavo

Hola Gururajan,

Como dice Gustavo, se requiere de un tráfico de interés para las VPN modificado con la inclusión de las IPs de interfaz externa de Chennai y Bangalore.

Esto se debe al hecho de que los usuarios locales detrás de estos FTD pueden llegar al servidor AAA, ya que son parte del tráfico de interés VPN.

Pulkit

Cisco Moderador
Community Manager
Community Manager

Me gustaría adjuntar un script que actualice la entrada DNS para las computadoras que se conectan a través de VPN.
(Esto facilitaría la conexión remota para ofrecer ayuda remota a los usuarios).

Me gustaría agregar este script al grupo AnyConnect creado en el FTD (no estamos usando ASDM sólo la instancia de Firepower en la serie ASA 5xxx).

No puedo encontrar ninguna documentación sobre cómo agregar secuencias de comandos en FTD al perfil de AnyConnect.

¿Me podría decir si esto es factible?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por PiotrB. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Hola Piotr,

Encuentro muy interesante esta pregunta, me gustaría participar. :)

Actualmente estamos utilizando grupos de direcciones en firewall porque son más eficientes que asignando una dirección IP a través de un servidor DHCP interno, pero la desventaja es simplemente que la asignación de nombre de host a la ip del servidor DNS puede ser incorrecto, ya que sólo se retransmite en el mapeo de inicio de sesión del Active Directory.

Ahora, estaba pensando en usar DHCP desde un servidor interno, ya que estamos usando el Active Directory integrado al DHCP, también debería actualizar el registro A para el host específico, sólo me temo que no sea eficiente a menos que el lease del DHCP es muy corto (digamos 30 minutos con renovaciones cada 15 minutos) pero me gustaría decir 2 cosas:

A) Los servidores DHCP se convierten en un punto único de falla o al menos críticos para la infraestructura (debido al lease tan corto).

B) La mayoría de los usuarios se conectan al mismo tiempo, lo que significa que un lease corto de DHCP generaría un poco de tráfico al mismo tiempo más o menos (por ejemplo, 1000 usuarios conectados conectados generan un promedio unas 500 renovaciones de DHCP (!) simultáneamente cada 15 minutos para un lease DHCP de 30 minutos)

Preguntas:
Por mi parte quiero saber si...

  1. ¿Es posible usar grupos de direcciones pero actualizar un servidor DNS?
  2. ¿Es posible utilizar el servidor DHCP con firewall interno para un lease de acceso remoto? ¿Y si es así, actualice un servidor DNS con la información de alquiler?
  3. ¿Es razonable y sostenible usar un servidor DHCP en su lugar para 500-1000 (y más) de usuarios simultáneos promedio y mantener un breve contrato de arrendamiento de DHCP? Si es así, ¿mitigaría esto el problema que meciona Piotr y cómo se podría escalar mejor?

De antemano ¡muchas gracias!

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

Hola PiotrB

Por el momento, los scripts de conexión no son compatibles con AnyConnect ya que se conecta a un dispositivo FTD administrado por FMC o FDM, por lo que no admiten ninguna personalización.

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/configuration/guide/fpmc-config-guide-v66/firepower_threat_defense_remote_access_vpns.html

Las siguientes características de AnyConnect no son compatibles cuando se conecta a una puerta de enlace segura FTD:

  • Movilidad segura, administración de acceso a la red y todos los demás módulos AnyConnect y sus perfiles más allá de las capacidades principales de VPN y el perfil del cliente VPN.
  • Variantes de posture como Hostscan y Endpoint Posture Assessment, y todas las estrategias de acceso dinámico basadas en el posture del cliente.
  • Soporte de personalización y localización AnyConnect. El dispositivo FTD no configura ni implementa los archivos necesarios para configurar AnyConnect para estas características.

Hola chicos,

> PiotrB

Como mencionó jgrudier, todavía no admitimos la personalización. Está en la hoja de ruta del 6.8, sin embargo, lo que no es compatible es enviar el script a los clientes. Sin embargo, si editan el perfil XML y lo envían de vuelta a los clientes con su script OnConnect en el lugar correcto, les funcionará. Pueden seguir la guía de administración de CA para tener una comprensión general sobre esta función:

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/customize-localize-anyconnect.html#ID-1408-00000396

> Giovanni,

En cuanto a las actualizaciones de DNS para DHCP, cómo funciona es que ASA / FTD pasa el nombre de host (NO FQDN, es un ENH para FQDN) a través de DHCP y todo lo demás depende el servidor DHCP y cómo se comunica con el entorno DDNS.

Lo que se puede hacer en estos casos, es que los clientes de Windows se comuniquen directamente con los servidores DDNS para el registro.

Gustavo

Cisco Moderador
Community Manager
Community Manager

Hola equipo,

Antes que nada, muchas gracias por lo que hacen ¡son geniales! :)

Tengo algunas preguntas para ustedes.
Estamos ejecutando un FTD 2140 (ejecutando una imagen FTD conectado a un FMC), generé un .csr que hice en FTD.

openssl genrsa -out FTD1.key 2048
openssl req -new -key FTD1.key -out FTD1.csr

Estos comandos anteriores se han enviado a nuestra autoridad de certificación pública y tengo un archivo root.ca, de identidad ca y .pem. ¿Cómo puedo usar el certificado de identidad en FTD? Cuando ejecuto este comando, me aparece el siguiente error:

openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer

¡Por favor ayúdenme!

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Hola Sheraz,

¡Qué bueno oírte decirlo!

Hice una prueba rápida y el siguiente comando me funciona en FTD:

openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer

Toma en cuenta que utilicé el formato "Base 64 codificado" del certificado de identificación firmado por CA.

¿Puedes confirmarme qué error te arroja al intentar crear el certificado .pfx y cuál es el formato de tu certificado ID?

Atentamente,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Hola Dinesh

Me sale este error. No tengo idea de lo que falta aquí.

FTD1:~$ openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer
No certificate matches private key

Lo revisé dos veces

-FTD1:~$ cat FTD1.crt
-----BEGIN CERTIFICATE-----
MIIFJjCCAw4CCQCDyDsSbw5UITANBgkqhkiG9w0BAQsFADBVMQswCQYDVQQGEwJH

FTD1:~$ cat FTD1.key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEA1v91avgdvjcer+kznBdjRUGmXbqkwlNZl+sV5rMK52OgSUET

FTD1:~$ cat FTD1.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICuzCCAaMCAQAwdjELMAkGA1UEBhMCR0IxEzARBgNVBAgMCkxhbmNhc2hpcmUx


 Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

Hola Sheraz,

Parece que la clave privada que usan en el comando no está asociada con el certificado que están importando. ¿Puedes verificar si el comando está llamando a los archivos correctos?

No necesariamente se necesita generar una CSR en FTD. Se puede generar en cualquier otro dispositivo que admita OpenSSL.

Hice una prueba con la inclusión del certificado de CA y también funciona en FTD:

openssl pkcs12 -export -out FTD2.pfx -inkey FTD1.key -in FTD1.cer -certfile CA.cer

Las únicas variables que podrían ser diferentes son la extensión .cer y la codificación Base 64.

Atentamente,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: