Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
10388
Apresentações
0
Útil
132
Respostas

Communidade Ask Me Anything - Configuração, solução de problemas e práticas recomendadas: AnyConnect VPN de acesso remoto no ASA e FTD.

Cisco Moderador
Community Manager
Community Manager

em ‎04-06-2020 09:40 AM - última edição em ‎04-07-2020 10:25 AM por Level 9

Este evento dá continuidade as discussões do nosso evento recente Community Ask Me Anything "Segurança para Trabalhadores Remotos".

Aqui está sua chance de discutir mais sobre a configuração, solução de problemas e práticas recomendadas para o cliente de Anyconnect secure mobility em um Cisco Adaptive Security Appliances (ASA) e Firepower Threat Defense (FTD) e sua integração com outros dispositivos e tecnologias do portfólio de segurança da Cisco, como ISE e Duo.

Esta sessão oferece uma oportunidade de aprender e fazer perguntas sobre vários aspectos da implementação do AnyConnect (usando SSL e Ikev2), incluindo (mas não limitado a) licenças de emergência, configuração, implantação e solução de problemas do AnyConnect que fornece a segurança necessária para ajudar a garantir que sua organização esteja seguro e protegido em tal situação crítica.

Faça suas perguntas a partir de 06 de abril até sexta-feira, 17 de abril de 2020

Especialistas convidado
dinesh.jpgDinesh Moudgil é engenheiro de suporte técnico High Touch (HTTS) da equipe de segurança da Cisco, localizada em Bangalore, Índia. Ele trabalha nas tecnologias da Cisco há mais de 6 anos, concentrando-se nos Next Generation Firewalls da Cisco, nos sistemas de prevenção de intrusões, no gerenciamento de identidades e no controle de acesso (AAA) e VPNs. Ele possui as certificações de segurança CCNP, CCDP e CCIE # 58881 e várias certificações de fornecedores, como ACE, PCNSE e VCP.
 
pulkit.pngPulkit Saxena trabalha como engenheiro de suporte técnico de High Touch (HTTS) no domínio da segurança, com a Cisco traz para a equipe quase 7 anos de experiência no setor. Ele tem experiência prática em multiple firewalls, diferentes soluções de VPN, AAA e Next Generation IPS , além de oferecer vários treinamentos. Pulkit possui certificações de vários fornecedores, como Cisco e Juniper (CCIE Security e JNCIA).
 
jgrudier.jpgJason Grudier é o líder técnico da equipe de VPN TAC em Raleigh, NC. Ele trabalha para a Cisco na equipe de VPN há seis anos. Antes de ingressar na equipe, ele era engenheiro de rede da Labcorp. Ele trabalha principalmente com a solução de problemas e a configuração do AnyConnect em todas as plataformas Cisco, bem como DMVPN, GETVPN, Radius, LDAP e autenticações de certificado.
 
josemed.jpgGustavo Medina é engenheiro de vendas de sistemas da equipe de vendas de redes corporativas. Ele tem mais de 10 anos de experiência em segurança e redes corporativas. Em sua carreira, ele se concentrou em diferentes tarefas, desde escalações técnicas e adoção de parceiros até a revisão das avaliações de certificação da Cisco. Gustavo possui um CCNA, CCNP CCSI e CCIE em segurança (# 51487).

Devido ao volume previsto para esse evento de alta demanda, Dinesh, Pulkit, Jason e Gustavo podem não conseguir responder a cada pergunta. Portanto, lembre-se de que você pode continuar a conversa diretamente na comunidade de Segurança.

Encontre outros eventos em: https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=comunidade-portugues

Ao postar uma pergunta neste evento, você está dando permissão para ser traduzido em todos os idiomas que temos na comunidade.

** Incentivamos a participação com votos úteis! **
Certifique-se de classificar as respostas às perguntas

0 Útil
132 RESPOSTAS 132

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 09:53 AM

Olá jgrudier,

obrigado pela sua resposta.

Eu uso LDAPs. Se não me engano, posso configurar apenas o FQDN com LDAPs.

Atenciosamente,

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

jgrudier
Cisco Employee
Cisco Employee
Em resposta a Cisco Moderador

em ‎04-07-2020 09:55 AM

Está correto. Eu acho que pode haver um problema com o DNS não estar configurado corretamente no FTD.

Você configurou o DNS aqui:

 

Capture.PNG

 

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 09:57 AM

Obrigado, foi um erro meu. Porém, agora eu me aparece um novo erro:

[19] Session Start
[19] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[19] Fiber started
[19] Creating LDAP context with uri=ldaps://172.25.YY.XX:636
[19] Connect to LDAP server: ldaps://172.25.YY.XX:636, status = Failed
[19] Unable to read rootDSE. Can't contact LDAP server.
[19] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[19] Session End
ldap_client_server_add: Add server:172.25.YY.XX, group=4
ldap_client_server_unlock: Free server:172.25.YY.XX, group=4

#telnet 172.25.YY.XX 636
Trying172.25.YY.XX...
Connected to172.25.YY.XX.
Escape character is '^]'.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 09:58 AM

Sim, eu fiz.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 10:00 AM

Essa é a saída da configuração de depuração e ldaps:

[27] Session Start
[27] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[27] Fiber started
[27] Creating LDAP context with uri=ldaps://172.25.XX.YY:636
[27] Connect to LDAP server: ldaps://172.25.XX.YY:636, status = Failed
[27] Unable to read rootDSE. Can't contact LDAP server.
[27] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[27] Session End
ldap_client_server_add: Add server:172.25.XX.YY, group=4
ldap_client_server_unlock: Free server:172.25.XX.YY, group=4

telnet 172.25.XX.YY 636
Trying 172.25.XX.YY...
Connected to 172.25.XX.YY.
Escape character is '^]'.
^C
aaa-server srv protocol ldap
max-failed-attempts 4
realm-id 3
aaa-server srv-dc host srv-dc
server-port 636
ldap-base-dn DC=name,DC=local
ldap-group-base-dn DC=name,DC=local
ldap-scope subtree
ldap-naming-attribute samaccountname
ldap-login-password *****
ldap-login-dn user@name.local
ldap-over-ssl enable
server-type microsoft

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

 

0 Útil

jgrudier
Cisco Employee
Cisco Employee
Em resposta a Cisco Moderador

em ‎04-07-2020 10:01 AM

Como teste, se você voltar ao LDAP, em vez dos LDAPs, será bem-sucedido? Você verificou o certificado como um certificado válido e o servidor LDAP o aceitou?

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 10:02 AM

Eu nunca tinha usado LDAP. Agora migrei do ASA para o FTP. E no ASA ldaps funciona bem.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 10:04 AM

No Sistema / Integração / Domínios é o estado i.O. e eu posso ver os grupos de usuários

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 10:05 AM

O FirePower Management Center possui um certificado de Root CA. Devo instalar um certificado no FTD?

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

jgrudier
Cisco Employee
Cisco Employee
Em resposta a Cisco Moderador

em ‎04-07-2020 10:06 AM

O dispositivo FTD possui os certificados Root CA  e sub CA do servidor LDAP como CA confiáveis?

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 10:08 AM

I dispositivo FTD possui apenas certificado de autoassinatura. O certificado do Root CA possui apenas o FirePower Management Center. Tentei adicionar o Root CA raiz Dispositivos / Certificado, mas não o vejo.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

jgrudier
Cisco Employee
Cisco Employee
Em resposta a Cisco Moderador

em ‎04-07-2020 01:07 PM

Eu acho que seria melhor para você abrir um caso, eu precisaria começar a examinar os certificados e outras configurações específicas neste momento e isso não é uma coisa boa para compartilhar aqui.

0 Útil

Cisco Moderador
Community Manager
Community Manager
Em resposta a jgrudier

em ‎04-07-2020 01:09 PM

Obrigado pela sua resposta. Eu fiz isso ontem (#SR 688828253), mas até agora não tenho solução.

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por Uzhegov Evgenii.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

jgrudier
Cisco Employee
Cisco Employee
Em resposta a Cisco Moderador

em ‎04-07-2020 01:11 PM

Vou falar com o seu engenheiro e dar uma olhada no caso.

Em relação ao problema de instalação do certificado. Confira este vídeo a partir de 5 minutos. Eu passo as etapas necessárias para instalar o certificado no FTD. Acho que o problema pode ser o CA que você instalou inicialmente, não o CA que assinou seu certificado de identidade.

https://community.cisco.com/t5/security-videos/initial-anyconnect-configuration-for-ftd-managed-by-fmc/ba-p/4057295

0 Útil

Cisco Moderador
Community Manager
Community Manager

em ‎04-07-2020 10:14 AM

Olá a todos,

Esperando que alguém possa ter algumas informações para me ajudar.

Eu tenho um par ASA 5585-SSP-10 em execução no modo de contexto. É a versão 9.8 (2).

Temos um cliente que deseja configurar split tunnel dinâmicos. No entanto, não podemos concluir a configuração como ela se parece na seção:

VPN de acesso remoto> Acesso à rede (cliente)> Diretivas de grupo> [nome da diretiva]> Avançado> Cliente AnyConnect

Precisamos atribuir os atributos do cliente a essa política de grupo, no entanto, a opção de atributos personalizados não está disponível no ASDM (7.8 (2)).

Eu li o artigo abaixo e ele diz que você precisa do mínimo de AC 4.5 e mínimo de ASA 9.0, nosso AC é 4.7.

Portanto, não tenho certeza se existe algo específico para nós executando um 5585 no modo de contexto que está afetando isso? Alguém viu isso antes?

https://community.cisco.com/t5/security-documents/anyconnect-split-tunneling-local-lan-access-split-tunneling/ta-p/4050866#toc-hId-744656474

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por DavidGray77695.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Ajuda sobre a Comunidade Blogs de Segurança
Customers Also Viewed These Support Documents