annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Community Live - Mai 2020
5283
Visites
0
Compliment
129
Réponses
Modérateur Cisco
Frequent Contributor

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Banner_fr_lp_900x150_AMA_06apr_17apr_2020.png

 

Nos experts
dinesh.jpgDinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

pulkit.pngPulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

jgrudier.jpgJason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

josemed.jpgGustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

129 RÉPONSES 129
Modérateur Cisco
Frequent Contributor

Ceci est une question d'un membre de la communauté chinoise fengbofeng2224

"J'examine la fiche produit de firepower, je voudrais savoir à quelle valeur dois-je me référer concernant le débit VPN SSL ?
Tls ?
Merci."

 

* Voici la traduction d'un message créé à l'origine par Yanli Sun en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Yanli,

Veuillez confirmer le hardware pour lequel vous recherchez les détails de débit SSL VPN et le document auquel vous faites référence.

Pulkit

Modérateur Cisco
Frequent Contributor

Hé les gars, merci d'avoir organisé cet événement. Beaucoup de bonnes informations jusqu'à présent.

Parfois nous avons encore du mal à distribuer un profil AnyConnect aux nouveaux utilisateurs pour résoudre le problème de délai d'attente de 12 secondes. C'est un problème car nos utilisateurs peuvent toujours choisir d'avoir leur méthode à deux facteurs comme un appel téléphonique ou pour répondre à un message de texte.

De plus, le protocole SSL sans client est désactivé, mais permet aux utilisateurs de se connecter et de télécharger le dernier client à partir du pare-feu via ce portail.

Ma question est, puis-je en quelque sorte attacher le profil VPN par défaut à ce téléchargement client, même si nous avons désactivé VPN sans client ?

 

* Voici la traduction d'un message créé à l'origine par david.haughn en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Il n'existe aucun moyen pratique pour pousser le fichier xml avec les téléchargements à partir d'une connexion sans client. La meilleure approche pour pousser ce profil xml, si les utilisateurs ont des problèmes de connexion en raison du délai d'attente, serait d'extraire ce profil xml avec un GPO si vous avez cette option.

Par exemple, vous pouvez simplement créer un tunnel-group séparé, qui ne dispose que d'une connexion utilisateur/mot de passe, que les utilisateurs peuvent employer pour télécharger le profil modifié. Cela pourrait ensuite les mapper vers le tunnel-group et le group-policy appropriés après la modification du délai d'expiration.

Bonjour david.haughn

Une fois que vos utilisateurs auront téléchargé AnyConnect Client, la première fois qu'ils se connecteront, ils devront télécharger leur profil. Il existe différentes options pour des déploiements comme le vôtre :

  • Avoir un profil de connexion de base sans authentification à deux facteurs, sans accès à l'interne. Il s'agit uniquement pour les utilisateurs de télécharger leur profil.
  • Distribuer le profil à vos utilisateurs avec GPO ou une méthode similaire à l'emplacement correct (les utilisateurs ont déjà installé AnyConnect Client).
  • Utiliser l'option de pré-déploiement et créer votre package .MSI personnalisé, avec votre propre profil inclus et le distribuer une fois que les utilisateurs l'installeront, le profil sera donc prêt.

Cordialement,
Gustavo

Modérateur Cisco
Frequent Contributor

J'ai une question relative à la bande passante :

Lorsque je ne suis pas sur le VPN, je peux obtenir la pleine puissance sur la bande passante fournie par mon FSI (en anglais ISP), mais lorsque je me connecte au VPN SSL (AnyConnect), je n'en reçois même pas la moitié.

Je comprends qu'il y a une surcharge des paquets mais, comment peut-on résoudre ce problème ou bien quelles sont solutions possibles ?

* Voici la traduction d'un message créé à l'origine par antonkolev en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Avez-vous lu le reste des questions ici ? Gustavo a répondu à une autre question presque identique à celle-ci qui pourrait vous aider. Cliquez ici

Si vous avez encore des questions après cela, faites-le nous savoir et nous ferons de notre mieux pour y répondre.

Comment intégreriez-vous WSA avec ASA pour les utilisateurs webvpn (full vpn tunnel).

Préférez-vous l'intégration Umbrella avec AnyConnect ?


* Voici la traduction d'un message créé à l'origine par antonkolev en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut antonkolev,

Je viens de répondre aussi au fil de discussion suivant :

Faites-moi savoir si vous souhaitez développer davantage sur ce sujet.

Modérateur Cisco
Frequent Contributor

Salut !

Existe-t-il une option pour configurer un SSL web vpn sur un FTD avec FMC ?

Merci.

* Voici la traduction d'un message créé à l'origine par telecomunicacionesexperta en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Il n'y a pas d'option pour vpn sans client sur le périphérique FTD géré par FMC ou FDM.

La seule option est le portail qui vous permettra de télécharger le client.

Modérateur Cisco
Frequent Contributor

Bonjour l'équipe,

Nous n'avons pas implémenté d'AMP pour les points de terminaison dans notre réseau, mais si je veux toujours utiliser AMP avec AnyConnect VPN, quelles sont les licences que je devrais avoir ?

En ce moment nous avons une licence Apex AnyConnect, nous implémentons AnyConnect avec FTD et tout fonctionne bien.

Avez-vous d'options AnyConnect avec AMP ?

Merci / Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut @ BasavarajNingappa6558

AMP4E est basé sur la quantité de Endpoints que vous souhaitez protéger. Outre les licences AnyConnect, vous avez besoin des licences AMP4E. Pour le déploiement, vous pouvez utiliser AnyConnect AMP Enabler, qui est utilisé comme support pour déployer Advanced Malware Protection (AMP) pour les points de terminaison. Il pousse le software AMP pour Endpoints vers un sous-ensemble de points de terminaison à partir d'un serveur hébergé localement dans l'entreprise et installe les services AMP à sa base d'utilisateurs existante.

Voici le guide de commande.

AMP4E a récemment été ajouté à notre offre Remote Secure Worker pour COVID-19, comme vous pouvez le lire ici:

Avec ce nouvel ajout, les clients existants peuvent dépasser la limite de leur appareil de deux fois pour prendre en charge une augmentation du nombre de travailleurs distants. Pour profiter de cette offre, ils installent simplement AMP for Endpoints Connectors sur des appareils supplémentaires, et aucune autre action n'est requise. Comme pour nos offres AnyConnect, Umbrella et Duo, elles seront disponibles jusqu'au 1er juillet 2020.

Gustavo

Modérateur Cisco
Frequent Contributor

Salut,

Tout d'abord merci pour cette initiative, je recueille personnellement beaucoup d'informations indirectement et j'ai sûrement mis en signet cette discussion, je suis sûr qu'elle fera partie de mes 10 meilleurs bookmarks pour longtemps :)

Question:

Nous utilisons le module SBL (Start before logon) pour les travailleurs à distance, et ils ont tous hérité des informations d'identification en cache sur place pour leurs postes de travail dans Windows.

Tout fonctionne bien, mais même lorsqu'un agent a un profil sur AnyConnect, il peut sélectionner pendant l'écran de connexion Windows qu'il se retrouve dans AnyConnect pour avoir un FQDN générique du profil avec son nom du profil.

Cela provoque une certaine confusion pour nos utilisateurs comme si, pour une raison quelconque, ils devaient se reconnecter, alors qu'ils ont leur nom de profil répertorié et également le FQDN, mais je n'ai pas encore trouvé de moyen d'éviter cela.

Est-il possible d'empêcher le FQDN d'être répertorié dans AnyConnect et d'avoir uniquement leur nom de profil ?

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Giovanni,

Merci pour les gentils mots.

Pouvez-vous partager la capture d'écran de cela, là où vous voyez le nom du profil et le nom de domaine complet à la fois ?

Pulkit