annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Annonces
Community Live - Mai 2020
2367
Visites
0
Compliment
129
Réponses
Highlighted
Frequent Contributor

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Banner_fr_lp_900x150_AMA_06apr_17apr_2020.png

 

Nos experts
dinesh.jpgDinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

pulkit.pngPulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

jgrudier.jpgJason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

josemed.jpgGustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

129 RÉPONSES 129
Highlighted
Highlighted
Frequent Contributor

Bonjour à tous.

J'ai posé cette question dans le sujet sur la sécurité du réseau, mais je vais la reprendre ici.

J'ai récemment discuté avec un collègue au sujet de la possibilité de la mise en œuvre du suivant schéma.

Il y a deux périphériques qui se trouvent en HA, par exemple deux ASA 5508-x ou deux Firepower 1140.

Est-il possible d'implémenter sur un réseau cela et NAT, et DMZ, et AnyConnect configuré sur la même paire de périphériques ?

Si oui, quelle est la meilleure façon de le faire ? Configurer deux interfaces externes, une pour NAT (par exemple, outside_nat), la seconde pour l'interface externe de AnyConnect (par exemple, outside_anyconnect), ou bien, il vaut mieux de tout configurer sur la même interface (par exemple, outside) ? ...

Si nous considérons la première option (configurer les deux appareils dans HA, configurer le canal de port et le diviser en 5 subs-outside_nat, inside_nat, DMZ, outside_anyconnect, inside_anyconnect) dans ce cas là, la question se pose pour les deux routes sur les interfaces externes. Est-il possible de configurer deux routes par défaut sur l'ASA ou Firepower ? ...

* Voici la traduction d'un message créé à l'origine par kapydan88 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Bonjour kapydan88

Définitivement c'est possible.

Le scénario le plus courant est une interface unique qui gère tout et pour les clients qui ont un double FAI pour la redondance, l'interface secondaire ne transmet aucun trafic. Si la liaison principale tombe en panne, l'interface secondaire prend le relais et gère tout le trafic.

Cependant, nous avons des UC qui ne veulent pas que ce double FAI secondaire soit juste inactif pour équilibrer le trafic. Comme vous l'avez mentionné sur ASA, nous ne pouvons pas avoir plus d'un itinéraire avec la même métrique; il y a si longtemps, la seule façon d'y parvenir était avec les astuces NAT, mais depuis que nous avons introduit PBR en 9.4.1, c'est très facile à accomplir.

Dans le cas d'AnyConnect en particulier, nous avons également des UC qui font ce que vous avez l'intention, avoir une interface dédiée qui n'est pas la valeur par défaut pour les utilisateurs d'AnyConnect, afin qu'ils ne mangent pas la bande passante du lien principal.

Comment cela fonctionne ?

Vous ajoutez simplement une route secondaire par défaut avec une métrique plus élevée et vous configurez AnyConnect sur cette interface secondaire. Lorsque les connexions AnyConnect atteignent cette interface, l'ASA ou le FTD seront en mesure de répondre en utilisant cette route secondaire, car il s'agit d'une connexion à la boîte (to-the-box).

Une fois la connexion AnyConnect établie, une route hôte pour cette connexion sera installée en utilisant le next-hop correct.

À retenir:

*Je ne sais pas quel sera le cas d'utilisation de l'interface anyconnect-inside dans votre diagramme.

Si vous souhaitez développer le sujet, je peux vous aider.

Cordialement,
Gustavo

Highlighted
Frequent Contributor

Rebonjour,

Je retombe sur un bug assez étrange, je crois:

J'ai testé un déploiement d'accès à distance sur un FTDv dans KVM et étrangement ce déploiement continue à échouer avec un délai assez long pour afficher l'erreur (ce déploiement a échoué en raison d'une erreur de configuration ...)

Regardons maintenant le FTD en bash avec:

tail -f /ngfw/var/log/messages

J'ai remarqué qu'il y avait une progression de la copie du package AnyConnect mais dès qu'il atteint 70% -72%, il s'arrête et ne continue pas le progrès du déploiement.

Apr 13 01:57:36 FTD-1 SF-IMS[9624]: [9624] sftunneld:control_services [INFO] FSTREAM_STATUS: Sending back task status 'Processing'
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] task_id=6
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] peer=a1f1e77e-44e0-11e9-a967-39f0b3b399ab
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status: curr_read=32385024, curr_write=32385024, total_bytes=46197839, stream_id_src=0, stream_id_dest=6, seq_id_src=4518, seq_id_dest=4518, state =Processing, started:2020 04 13 01:51:55 UTC, expires:2020 04 13 01:58:38 UTC
Apr 13 01:57:37 FTD-1 SF-IMS[9624]: [9624] sftunneld:stream_file [INFO] ELASTIC_FSTREAM status:: File copy 70 % completed, 32385024 bytes of file copied out of 46197839

J'ai été surpris car j'ai une bande passante assez puissante et la copie a été assez rapide jusqu'au moment où elle s'est arrêtée, et nous parlons de moins de 50 Mo de fichier, pas de 500 Mo.

Existe-t-il un moyen de copier manuellement le package AnyConnect dans bash, de la même manière que cela peut être fait avec les packages des mises à jour de FTD ?

Merci!

NOTE :
J'ai remarqué que le copy path du AnyConnect package se trouve dans ce dossier:

/ngfw/var/cisco/deploy/pkg/var/cisco/packages/lina/domain/AnyConnect Image/111/

Je viens donc de télécharger le paquet via wget, et j'ai relancé le policy push, cela a pris du temps mais la copie était toujours à 0%, puis elle s'est pursuit jusqu'à compléter le 100%. Dieu merci ! :)

Ne serait-il pas plus simple de télécharger ces packages manuellement ? Je pense que cela devrait être possible avec FDM via l'API REST, mais non pas avec les devices gérés par FMC ?

P.D. : Est-ce qu'il y a un bug déposé pour cela ?

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Salut giovanni.augusto,

Avant l'extrait que vous avez partagé, avez-vous observé le cgroups process annuler le processus ?
Lorsqu'un processus consomme plus de mémoire que ce qui était prescrit, le cgroups process détecte cette condition et met fin au processus. Lorsqu'un processus est terminé, les fonctionnalités et les capacités qui dépendent de ce processus peuvent échouer.

Combien de mémoire avez-vous alloué au FMCv ?

Voici les exigences :

Cordialement,
Gustavo

Highlighted

Salut Gustavo,

J'utilise un FMC 2500 physique, version 6.5.0.4 je ne m'attendais vraiment pas à un problème de capacité.

Les logs que j'ai partagés proviennent du FTD, qui est virtualisé dans KVM.

FTD a 4 vCPU et 8 Go de RAM, le serveur exécute uniquement ce VM pour le moment, en tant qu'image de preuve FTD.

La version du FTD est 6.5.0 (aucun correctif n'a été installé pour le moment).

À propos de cgroups, honnêtement, je ne l'ai pas remarqué mais je vais réessayer avec un autre téléchargement d'image donc j'attends un comportement similaire.

Est-ce que les cgroups déposeront un log message dans le FMC ou le FTD ? Un logfile spécifique ou les messages habituels ?

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted
Frequent Contributor

Quelle est la meilleure configuration ou la configuration idéale pour un ASA avant d'entrer dans le réseau de production ?

* Voici la traduction d'un message créé à l'origine par Rohitmanoharan en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Salut Rohit,

Il peut y avoir beaucoup de choses à vérifier avant de mettre une device en production et cela dépendra de plusieurs facteurs, du blindage du pare-feu (firewall) aux meilleures pratiques. Je vous suggère de passer en revue les liens ci-dessous et de nous faire savoir si vous avez une requête spécifique :

Pulkit

Highlighted
Frequent Contributor

Auriez-vous une recommandation par rapport à la version Cisco ASA liée au VPN RA ?

Cordialement

Viral Patel

* Voici la traduction d'un message créé à l'origine par patelvc7601 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Salut Viral,

Certaines versions "ASA OS" recommandées sont publiées sur CCO. Vous pouvez accéder au lien suivant pour voir les versions suggérées pour un pare-feu 5585-X (Firewall).

Merci,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/
Highlighted

Actuellement, le développement recommande :

  • 9.8 (4. dernière) pour les UC conservatrices qui nécessitent une longévité.
  • 9.12 (2. dernière) pour les clients qui ont besoin de la fonctionnalité de vitesse.

Celles-ci sont les deux versions favorites actuellement sur cisco.com. Les versions recommandées sont basées sur la télémétrie, nous avons donc besoin de temps pour que les plus récentes versions soient déployées. Une fois que nous aurons recueilli les commentaires des installations réelles et fonctionnelles, nous prendrons des décisions précises basées sur les faits (défauts détectés par le client, cas de TAC, escalation, etc.).

Highlighted
Frequent Contributor

Bonjour l'équipe,

J'ai une autre question.

Dans mon cas, nous avons Cisco FTD comme pare-feu de périmètre et nous voulons créer le VPN d'accès à distance AnyConnect (remote access VPN), mais nous ne voulons pas utiliser des IPs d'interface externes pour mettre fin à notre VPN AnyConnect, lorsque nous avons la connexion Internet, nous avons le sous-réseau /28, nous avons une adresse IP publique gratuite que je veux pouvoir l'utiliser pour la terminaison d'accès au VPN.

Pourriez-vous s'il vous plaît me guider comment puis-je atteindre cette exigence avec Cisco FTD ?

Merci
Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Vous pouvez certainement le faire, vous devez d'abord configurer une deuxième interface avec la nouvelle IP et ensuite configurer AnyConnect comme d'habitude. Tant que cette adresse IP est accessible à partir des clients et que le FAI transfère le trafic vers votre appareil FTD, cela devrait fonctionner normalement.

 

Highlighted

Étant donné que j'ai une connexion Internet, si j'installe la deuxième interface et je configure l'adresse IP, où dois-je connecter l'autre terminaison ?

Je ne peux pas connecter une interface supplémentaire au fournisseur, n'est-ce pas ?

Je n'ai pas compris très bien votre solution, pouvez-vous s'il vous plaît être plus précis et me donner une idée de comment je devrais m'y prendre ?

Merci
Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Highlighted

Salut Basavaraj,

Ce que Jason a voulu dire dans son message précédent, c'est que vous pouvez configurer une autre interface pour laquelle vous pouvez utiliser le sous-réseau /28 et y terminer le RA-VPN. Cela vient du fait que vous ne voulez pas configurer RA-VPN sur un lien externe existant.

Maintenant, en ce qui concerne le routage et la connectivité, la logique reste la même, nous devons avoir la nouvelle interface connectée à une liaison montante (uplink) d'où les utilisateurs finaux pourront avoir la connectivité/accessibilité.

J'espère que cela clarifie notre réponse.
Pulkit

Content for Community-Ad

Vidéo - Webcast Security de Juin 2019