annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
16245
Visites
0
Compliment
129
Réponses

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Banner_fr_lp_900x150_AMA_06apr_17apr_2020.png

 

Nos experts
dinesh.jpgDinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

pulkit.pngPulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

jgrudier.jpgJason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

josemed.jpgGustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

129 RÉPONSES 129

giovanni.augusto,

L'essai gratuit DUO vous offrira des fonctionnalités limitées :

Si vous contactez votre revendeur, c'est une meilleure option. Ils peuvent organiser une preuve de valeur DUO pour les clients qualifiés avec toutes les fonctionnalités activées.

* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour les experts,

Nous avons récemment acheté deux Cisco FTD 2110 et 1010 pour deux sites en Inde, FMC est à Limerick et tous les trois connectés avec un VPN site à site. L'accès à distance fonctionne dans Limerick en utilisant un serveur de rayon local.

Lorsque nous essayons de connecter l'emplacement de l'Inde via un accès à distance en authentifiant le serveur Radius dans Limerick, il indique échec d'authentification. Pendant le dépannage, je peux voir que nous pouvons envoyer une requête ping au serveur Radius à partir d'une machine locale en Inde, mais nous ne pouvons pas atteindre le FTD 1010.

A la recherche d'une solution.
Merci,
Gururajan

* Voici la traduction d'un message créé à l'origine par Gururajansrinivasan32898 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Gururajan,

J'ai besoin que vous clarifiiez ce que vous entendez exactement par les trois connectés via site à site ?

FMC est le centre de gestion où vous effectuez la configuration de site à site pour les deux autres FTD, faites-moi savoir si vous avez voulu dire autre chose.

Maintenant, lorsque vous dites que l'accès à distance fonctionne à Limerick, cela signifie que l'accès à FMC à distance fonctionne correctement.

Lorsque vous essayez d'accéder à votre emplacement en Inde, je pense que vous voulez dire la connexion AnyConnect et non pas l'accès au périphérique, et donc que la connexion AnyConnect échoue avec l'erreur "échec d'authentification".

Tout d'abord, vérifiez que le serveur AAA soit correctement configuré sur le FTD problématique et nous pouvons vérifier à partir de la CLI, via la commande "test aaa server" pour un utilisateur spécifique, pour vérifier si nous avons une accessibilité correcte au serveur AAA depuis le FTD ou pas.

Pulkit

Salut Pulkit,

Mes serveurs FMC, Radius sont situés à Limerick. Un FTD 2110 se trouve à Chennai et un FTD 1010 à Bangalore. Tous les 3 sont interconnectés avec le site au VPN Site et je ne peux accéder au FMC que via IP locale (adresse IP Limerick).
Lorsque j'ai essayé de vérifier l'authentification AAA à partir de Bangalore FTD CLI :

firepower# test aaa-server authentication BSB_RadiusServer host 192.168.0.198
Username: Gururajan.s
Password: ***********
INFO: Attempting Authentication test to IP address (192.168.0.198) (timeout: 32
ERROR: Authentication Server not responding: No response from server

Mais à partir du PC local de Bangalore, je peux atteindre le serveur Radius 192.168.0.198 par ping, mais quand j'ai essayé de FTD CLI, il ne se connecte pas.

Le SO FTD ne peut pas atteindre le serveur AAA (Limerick), car il est connecté voie "site to site VPN" et je ne peux pas me connecter depuis Bangalore non plus.

* Voici la traduction d'un message créé à l'origine par Gururajansrinivasan32898 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour @ Gururajansrinivasan32898

Le FTD fera une recherche d'itinéraire pour atteindre votre serveur Radius, le résultat sera accessible via l'interface externe où vous avez configuré le VPN L2L. Très probablement, le VPN n'a défini que les sous-réseaux de Limerick, Chennai et Bangalore, donc lorsque les clients RA se connecteront à Chennai et Bangalore, ces FTD tenteront d'atteindre le serveur Radius en s'approvisionnant en trafic depuis leur IP externe.

Ce que vous devez faire c'est :

  • Inclure les adresses IP externes de Chennai et Bangalore dans le trafic intéressant VPN.
  • Sur Limerick, assurez-vous que l'exemption NAT du serveur Radius aux adresses IP de Chennai et Bangalore est en place.

Cordialement,
Gustavo

Salut Gururajan,

Comme Gustavo l'a souligné, nous devons avoir le trafic intéressant pour que les VPN soient modifiés avec l'inclusion de vos IPs d'interface externe de Chennai et Bangalore.

Cela vient du fait que les utilisateurs locaux derrière ces FTD peuvent atteindre le serveur AAA, car ils font partie du trafic VPN intéressant.

Pulkit

Je voudrais joindre un script qui mettra à jour l'entrée DNS pour les ordinateurs se connectant via VPN.
(Cela facilitera la connexion à distance pour offrir une aide à distance aux utilisateurs).

Je voudrais ajouter ce script au groupe AnyConnect créé sur le FTD (nous n'utilisons pas ASDM uniquement l'instance Firepower sur la série ASA 5xxx).

Je ne trouve aucune documentation concernant l'ajout de script sur FTD au profil AnyConnect.

Pourriez-vous me dire si c'est possible?

* Voici la traduction d'un message créé à l'origine par PiotrB en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Piotr,

Je trouve votre question très intéressante, j'aimerais y participer :)

Nous utilisons actuellement des pools d'adresses sur le pare-feu, car ils sont plus efficaces que l'attribution d'une adresse IP via un serveur DHCP interne, mais l'inconvénient est simplement que le mappage hostname-to-ip à partir du serveur DNS peut être incorrect car il ne relaie que sur Active Directory login mapping.

Maintenant, je pensais utiliser DHCP à partir d'un serveur interne, puisque nous utilisons DHCP intégré à Active Directory, il devrait également mettre à jour l'enregistrement A pour l'hôte spécifique, je crains juste que cela ne soit pas efficace à moins que le bail DHCP soit très court (disons 30 minutes avec renouvellements toutes les 15 minutes) mais je voudrais dire 2 choses :

A) Le ou les serveurs DHCP deviennent un point de défaillance unique ou au moins critique pour l'infrastructure (en raison du short lease)

B) la plupart des utilisateurs se connectent en même temps, ce qui signifie qu'un court bail DHCP générerait un peu de trafic en même temps plus ou moins (par exemple, 1000 utilisateurs connectés connectés génèrent en moyenne 500 (!) renouvellements DHCP en même temps chaque 15 minutes pour un bail DHCP de 30 minutes!)

Des questions:
donc de mon côté je voulais demander si

1) Est-il possible d'utiliser des pools d'adresses mais de mettre à jour un serveur DNS ?
2) Est-il possible d'utiliser le serveur DHCP interne du pare-feu pour la location d'accès à distance ? Et si oui, mettre à jour un serveur DNS avec les informations de location ?
3) Est-il raisonnable et durable d'utiliser à la place un serveur DHCP pour 500-1000 (et plus) ds utilisateurs simultanés moyens et de conserver un bail DHCP court ? Si oui, cela atténuerait-il le problème vu par Piotr et comment serait-il mieux adapté ?

Merci d'avance !

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour @PiotrB,

Pour l'instant, les scripts de connexion ne sont pas pris en charge sur AnyConnect se connectant à un périphérique FTD géré par FMC ou FDM, car ils ne prennent en charge aucune personnalisation.

Les fonctionnalités de AnyConnect suivantes ne sont pas prises en charge lors de la connexion à une passerelle sécurisée FTD:

  • Mobilité sécurisée, gestion d'accès au réseau et tous les autres modules AnyConnect et leurs profils au-delà des capacités VPN principales et du profil client VPN.
  • Variantes de posture telles que Hostscan et Endpoint Posture Assessment, et toutes les stratégies d'accès dynamique basées sur la posture du client.
  • Soutien de personnalisation et de localisation AnyConnect. Le périphérique FTD ne configure ni ne déploie les fichiers nécessaires à la configuration d'AnyConnect pour ces fonctionnalités.

 

Salut les gars,

> PiotrB

Comme jgrudier l'a mentionné, nous ne prenons pas encore en charge la personnalisation. C'est sur la feuille de route de 6.8, néanmoins, ce qui n'est pas pris en charge c'est le fait de pousser le script vers les clients. Cependant, si vous modifiez le profil XML et que vous le renvoyez aux clients avec votre script OnConnect au bon endroit, cela fonctionnera. Vous pouvez suivre le guide d'administration AC pour une compréhension générale de la fonctionnalité :

> giovanni.augusto,

En ce qui concerne les mises à jour DNS pour DHCP, comment cela fonctionne, c'est que l'ASA/FTD passe le nom d'hôte (PAS FQDN, c'est un ENH pour FQDN) via DHCP et tout le reste dépend du serveur DHCP et comment il communique avec l'environnement DDNS.

Ce qui peut être fait, c'est que les clients Windows communiquent directement avec les serveurs DDNS pour l'enregistrement.

Gustavo

Bonjour l'équipe.

Tout d'abord, merci beaucoup pour ce que vous faites. Vous êtes top les gars ! :)

J'ai quelques questions pour vous. Nous exécutons un FTD 2140 (exécutant une image FTD et connecté à FMC), j'ai généré un .csr que j'ai fait sur FTD.

openssl genrsa -out FTD1.key 2048
openssl req -new -key FTD1.key -out FTD1.csr

Ces commandes ci-dessus ont été soumises à notre autorité de certification publique et j'ai un root.ca, identity ca et .pem file. Comment puis-je utiliser le certificat d'identité dans FTD ?

Quand j’exécute cette commande, je reçois cette erreur :

openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer

Merci de bien vouloir nous aider par ici !

* Voici la traduction d'un message créé à l'origine par Sheraz.Salim en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour Sheraz,

Ravi de vous l'entendre dire !

J'ai fait un test rapide et la commande suivante fonctionne pour moi sur FTD :

openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer

Veuillez noter que j'ai utilisé le format "Base 64 encoded" du certificat d'identification signé par CA.

Pouvez-vous s'il vous plaît nous confirmer quelle est l'erreur que vous obtenez lorsque vous essayez de créer le certificat .pfx et quel est le format de votre certificat ID ?

Cordialement,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Salut Dinesh,

Je reçois cette erreur. aucune idée de ce qui me manque ici.

FTD1: ~ $ openssl pkcs12 -export -out FTD1.pfx -inkey FTD1.key -in FTD1.cer -certfile Root.cer

Aucun certificat ne correspond à la clé privée

J'ai vérifié deux fois

-FTD1:~$ cat FTD1.crt
-----BEGIN CERTIFICATE-----
MIIFJjCCAw4CCQCDyDsSbw5UITANBgkqhkiG9w0BAQsFADBVMQswCQYDVQQGEwJH

FTD1:~$ cat FTD1.key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEA1v91avgdvjcer+kznBdjRUGmXbqkwlNZl+sV5rMK52OgSUET

FTD1:~$ cat FTD1.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICuzCCAaMCAQAwdjELMAkGA1UEBhMCR0IxEzARBgNVBAgMCkxhbmNhc2hpcmUx

 

* Voici la traduction d'un message créé à l'origine par Sheraz.Salim en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Sheraz,

Il semble que la clé privée que vous utilisez dans la commande n'est pas associée au certificat que vous importez. Pouvez-vous vérifier si les fichiers corrects sont appelés dans la commande?

Vous n'avez pas nécessairement besoin de générer un CSR sur FTD. Il peut être généré sur tout autre périphérique prenant en charge OpenSSL.

J'ai fait un test avec inclusion du certificat CA et cela fonctionne aussi sur FTD :

openssl pkcs12 -export -out FTD2.pfx -inkey FTD1.key -in FTD1.cer -certfile CA.cer

Les seules variables qui pourraient être différentes sont l'extension .cer et l'encodage Base 64.

Cordialement,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Salut Dinesh,

Pourriez-vous me recommander un lien pour comprendre mieux ce point.

OpenSSL est complètement nouveau pour moi et je l'apprends.

* Voici la traduction d'un message créé à l'origine par Sheraz.Salim en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :