Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
13670
Visitas
0
ÚTIL
130
Respuestas

Community Ask Me Anything- Configuración, troubleshooting y mejores prácticas: AnyConnect Remote Access VPN en ASA and FTD

Cisco Moderador
Community Manager
Community Manager

el ‎04-07-2020 11:36 AM - fecha de última edición ‎04-07-2020 11:50 AM por Cisco Employee

SPama-covid-vpn_900x150.png
Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”

En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo. 

La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.

Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.

Detalles de los Expertos
josemed.jpgGustavo Medina es un Systems Sales Engineer en el equipo de ventas de Enterprise Networking. Cuenta con más de 10 años de experiencia en seguridad y redes empresariales. Durante su carrera se ha enfocado en diversas áreas y tareas, desde escalaciones técnicas en l TAC de Cisco, hasta los programas de adopción y la revisión de evaluaciones de las certificaciones de Cisco. Cuenta con las certificaciones de CCNA, CCNP, CCSI y CCIE de seguridad (#51487).

jgrudier.jpgJason Grudier es un Technical leader en el quipo de VPN en el TAC de Raleigh, USA. Ha trabajado en el grupo de VPN de Cisco en los últimos seis años. Antes de unirse el equipo, trabaja como ingeniero de redes en Labcorp. Se especializa en la configuración y troubleshooting de AnyConnect en todas las plataformas de Cisco, así como en DMVPM, GETVPN, Radius, LDAP y Certificate authentications.

dinesh.jpgDinesh Moudgil es un ingeniero High Touch Technical Support (HTTS) en el equipo de seguridad de Bangalore, India. Ha trabajado con diversas tecnologías de seguridad de Cisco por más de 6 años, con un enfoque en Cisco Next Generation Firewalls, Intrusion Prevention Systems, Identity Management and Access Control (AAA) y VPNs. Cuenta con las certificaciones de seguridad de Cisco CCNP, CCDP y CCIE #58881, al igual que con otras externas como Ace, PCNSE y VCP.

pulkit.pngPulkit Saxena es un ingeniero High Touch Technical Support (HTTS) que ha brindado más de 7 años de experiencia en la industria al equipo de seguridad de Cisco. Tiene experiencia en distintos firewalls, soluciones VPNs, AAA y Next Generation IPS, así como en la entrega de diversos entrenamientos. Pulkit cuenta con múltiples certificaciones, ya sea de Cisco o Juniper (como CCIE en Seguridad y JNCIA).

Gustavo, Jason, Dinesh y Pulkit pueden no lograr contestar a todas las dudas en el evento debido al volumen esperado. Para continuar la conversación, visite la categoría de Seguridad.

Al publicar una pregunta en este evento, usted otorga permiso para que su post sea traducido a todos los idiomas de la Comunidad de Cisco.

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

0 Útil
130 RESPUESTAS 130

Cisco Moderador
Community Manager
Community Manager
En respuesta a Dinesh Moudgil

el ‎06-01-2020 05:45 PM

Hola Dinesh,

¿Podrías recomendarme un link para comprender mejor este punto?

OpenSSL es completamente nuevo para mí y lo estoy aprendiendo.

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Sheraz.Salim. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

Dinesh Moudgil
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 05:47 PM

Hola Sheraz,

¡Claro! He aquí algunos documentos que te ayudarán a comprender OpenSSL y su uso:

https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs
https://wiki.openssl.org/index.php/Command_Line_Utilities
https://www.freecodecamp.org/news/openssl-command-cheatsheet-b441be1e8c4a/
https://www.sslshopper.com/article-most-common-openssl-commands.html

Atentamente,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/
0 Útil

Cisco Moderador
Community Manager
Community Manager

el ‎06-01-2020 02:50 PM

Buenos días a todos.

Hice esta pregunta en el tema sobre seguridad de red, pero la repetiré aquí.
Recientemente discutí con un colega sobre la posibilidad de implementar el siguiente esquema.
Hay dos periféricos que están en HA, por ejemplo, dos ASA 5508-x o dos Firepower 1140.

¿Es posible implementar esto en una red y que NAT, DMZ y AnyConnect estén configurados en el mismo par de dispositivos?

Si es así, ¿cuál es la mejor manera de hacerlo? Configurar dos interfaces externas, una para NAT (por ejemplo, outside_nat), la segunda para la interfaz externa de AnyConnect (por ejemplo, outside_anyconnect), ¿o es mejor configurar todo en la misma interfaz (por ejemplo, outside)?

Si consideramos la primera opción (configurar los dos dispositivos en HA, configurar el canal del puerto y dividirlo en 5 subs-outside_nat, inside_nat, DMZ, outside_anyconnect, inside_anyconnect) en este caso, surge la pregunta para las dos rutas en interfaces externas ¿Es posible configurar dos rutas predeterminadas en ASA o Firepower?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por kapydan88. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

Gustavo Medina
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 03:02 PM

Hola kapydan88

Sí, definitivamente sí es posible.

El escenario más común es una interfaz única que administra todo y para los clientes que tienen un ISP doble para redundancia, la interfaz secundaria no transmite ningún tráfico. Si el enlace principal se cae, la interfaz secundaria se hace cargo y administra todo el tráfico.

Sin embargo, tenemos CUs que no desean que este ISP dual secundario esté simplemente inactivo para equilibrar el tráfico. Como lo mencionas para ASA, no podemos tener más de una ruta con la misma métrica. Hace mucho tiempo, la única forma de hacerlo era con atajos de NAT, pero desde que se introdujo PBR en la 9.4.1, es muy fácil conseguirlo.

En el caso de AnyConnect en particular, también tenemos CUs que hacen lo que pretendes, con una interfaz dedicada que no es la predeterminada para los usuarios de AnyConnect, por lo que no te consume el ancho de banda del enlace principal.

¿Cómo funciona?

Simplemente agrega una ruta secundaria predeterminada con métricas más altas y configura AnyConnect en esa interfaz secundaria. Cuando las conexiones AnyConnect llegan a esta interfaz, el ASA o FTD podrán responder utilizando esta ruta secundaria, ya que es una conexión lista para usar.

Una vez que se establece la conexión AnyConnect, se instalará una ruta de host para esa conexión utilizando el siguiente salto correcto (hop).

Detalles a considerar:

Si quieres desarrollar el tema, puedo ayudarte.

Atentamente,
Gustavo

0 Útil

Cisco Moderador
Community Manager
Community Manager

el ‎06-01-2020 03:13 PM

Hola de nuevo,

Vuelvo a un error bastante extraño, creo:

Estoy probando una implementación de acceso remoto en un FTDv en KVM y, extrañamente la implementación continúa fallando con un retraso considerable para mostrar el error (esta implementación falló debido a un error de configuración)

Ahora viendo el FTD en bash con:

tail -f /ngfw/var/log/messages

Noté que había una progresión de la copia del paquete AnyConnect, pero tan pronto como alcanza el 70-72%, se detiene y no continúa con la implementación en progreso.

Apr 13 01:57:36 FTD-1 SF-IMS[9624]: [9624] sftunneld:control_services [INFO] FSTREAM_STATUS: Sending back task status 'Processing'
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] task_id=6
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] peer=a1f1e77e-44e0-11e9-a967-39f0b3b399ab
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status: curr_read=32385024, curr_write=32385024, total_bytes=46197839, stream_id_src=0, stream_id_dest=6, seq_id_src=4518, seq_id_dest=4518, state =Processing, started:2020 04 13 01:51:55 UTC, expires:2020 04 13 01:58:38 UTC
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO]  ELASTIC_FSTREAM status:: File copy 70 % completed, 32385024 bytes of file copied out of 46197839

Me sorprendió porque tengo un ancho de banda bastante potente y la copia fue bastante rápida hasta que se detuvo, y estamos hablando de menos de 50 MB de archivo, no de 500 MB.

¿Hay alguna manera de copiar manualmente el paquete AnyConnect a bash, de la misma manera que se puede hacer con los paquetes de actualización FTD?

¡Gracias!

NOTA:
Noté que la ruta de copia del paquete AnyConnect está en esta carpeta:

/ngfw/var/cisco/deploy/pkg/var/cisco/packages/lina/domain/AnyConnect Image/111/

Así que acabo de descargar el paquete a través de wget, y relancé el epolicy push, me tomó algo de tiempo pero la copia que estaba al 0% continuó hasta completar el 100%. ¡Gracias a Dios! :)

¿No sería más fácil cargar estos paquetes manualmente? Creo que debería ser posible con FDM a través de la API REST, pero no con dispositivos administrados por FMC. (?)

P.D.: ¿Hay algun error detectado para este caso?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

Gustavo Medina
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 03:19 PM

Hola Giovanni,

Antes de la copia que nos compartió, ¿observó si el procesamiento de cgroups canceló el proceso?
Cuando un proceso consume más memoria de la prescrita, el proceso de cgroups detecta esta condición y finaliza el proceso. Cuando se completa un proceso, la funcionalidad y las capacidades que dependen de ese proceso pueden fallar.

¿Cuánta memoria tiene asignada para el FMCv?

Adjunto los requisitos:

https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fmcv/fpmc-virtual/fpmc-virtual-vmware.html#id_82840

Atentamente,
Gustavo

0 Útil

Cisco Moderador
Community Manager
Community Manager
En respuesta a Gustavo Medina

el ‎06-01-2020 03:36 PM

Hola Gustavo,

Estoy usando un FMC 2500 físico, versión 6.5.0.4. Realmente no esperaba un problema de capacidad. Los registros (logs) que compartí provienen del FTD, que está virtualizado en KVM.

El FTD tiene 4 vCPU y 8 GB de RAM, el servidor solo está ejecutando esta VM en este momento, como imagen FTD prueba. La versión FTD es 6.5.0 (no hay revisiones/parches instalados todavía).

Sobre cgroups, sinceramente, no lo noté, pero lo intentaré nuevamente con otra carga de imágenes, así que espero un comportamiento similar.

¿Lanzará cgroups un mensaje de registro en el FMC o FTD? ¿Algun archivo de registro específico o solamente los mensajes habituales?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por giovanni.augusto. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

Cisco Moderador
Community Manager
Community Manager

el ‎06-01-2020 03:23 PM

¿Hay alguna recomendación respecto a la versión ASA de Cisco vinculada a la VPN RA?

Atentamente

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por patelvc7601. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

 

0 Útil

Gustavo Medina
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 03:28 PM

Actualmente, el desarrollo recomienda:

  • 9.8(4. último) para CUs conservadoras que requieren longevidad.
  • 9.12(2. último) para clientes que requieren funcionalidad de velocidad.

Estas son las dos versiones favoritas actualmente en cisco.com. Las versiones recomendadas se basan en la telemetría, por lo que necesitamos tiempo para implementar las versiones más recientes. Una vez que hayamos recibido comentarios de las instalaciones reales y funcionales, tomaremos decisiones específicas basadas en los hechos (fallas detectadas por el cliente, TAC, escalaciones, etc.).

0 Útil

Cisco Moderador
Community Manager
Community Manager
En respuesta a Gustavo Medina

el ‎06-01-2020 03:59 PM

Hola equipo,

Tengo otra pregunta.

En mi caso, tenemos Cisco FTD como firewall perimetral y queremos crear el acceso remoto VPN AnyConnect, pero no queremos usar una IP de interfaz externa para terminar nuestra VPN AnyConnect, cuando tenemos la conexión a Internet, tenemos la subred/28, tenemos una dirección IP pública gratuita que quiero poder usar para finalizar el acceso a la VPN.

¿Podrían guiarme y decirme cómo puedo lograr este requisito con Cisco FTD?

Gracias
Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

jgrudier
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 04:09 PM

Ciertamente puede hacer esto, primero debe configurar una segunda interfaz con la nueva IP y luego configurar AnyConnect como de costumbre. Siempre que los clientes puedan acceder a esta dirección IP y el ISP reenvíe el tráfico a su dispositivo FTD, esto debería funcionar normalmente.

0 Útil

Cisco Moderador
Community Manager
Community Manager
En respuesta a jgrudier

el ‎06-01-2020 04:24 PM

Como tengo una conexión a Internet, si instalo la segunda interfaz y configuro la dirección IP, ¿dónde debo conectar la otra terminación?

No puedo conectar una interfaz adicional al proveedor, ¿verdad?

No entendí bien la solución, ¿podría por favor ser más específico y darme una idea de cómo debo hacerlo?

Gracias
Basavaraj

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por BasavarajNingappa6558. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

0 Útil

Pulkit Saxena
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 05:09 PM

Hola Basavaraj,

Lo que Jason quiso decir en su publicación anterior es que pueden configurar otra interfaz para la que deben usar la subred/28 y terminar la RA-VPN allí. Esto se debe a que no desean configurar RA-VPN en un enlace externo existente.

Ahora, con respecto al enrutamiento y la conectividad, la lógica sigue siendo la misma, debemos tener la nueva interfaz conectada a un enlace ascendente (uplink) desde donde los usuarios finales pueden tener conectividad / accesibilidad.

Espero que esto aclare nuestra respuesta.
Pulkit

0 Útil

Dinesh Moudgil
Cisco Employee
Cisco Employee
En respuesta a Cisco Moderador

el ‎06-01-2020 03:42 PM

Hola Viral,

Algunas versiones recomendadas de "ASA OS" se publican en CCO. Puedes acceder al siguiente enlace para ver las versiones sugeridas para un firewall 5585-X (Firewall).

https://software.cisco.com/download/home/283123066/type/280775065/release/9.8.4%20Interim

Gracias,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/
0 Útil

Cisco Moderador
Community Manager
Community Manager

el ‎06-01-2020 03:39 PM

¿Cuál es la mejor configuración (o la ideal) para un ASA antes de ingresar a la red de producción?

Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Rohitmanoharan. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintos idiomas.

 

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents