le 06-04-2020 10:54 AM - dernière modification le 07-04-2020 10:24 AM par Monica Lluis
Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.
Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.
Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.
Posez vos questions du 6 au 17 avril 2020.
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 15-04-2020 09:58 AM
Est-il possible de fournir un software non Cisco à l'utilisateur VPN distant lorsqu'il se connecte ?
Je cherche un moyen de fournir le client Azure MFA à l'utilisateur final. S'il n'est pas possible de livrer le software, existe-t-il un moyen d'afficher un message qui nécessiterait "l'inaction de l'utilisateur" ?
* Voici la traduction d'un message créé à l'origine par bbcstone en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 10:09 AM
Il n'est pas possible de livrer quoi que ce soit d'un tiers.
Il peut uniquement envoyer des modules AnyConnect, des personnalisations et des profils xml. Vous pouvez aussi modifier la bannière de connexion pour leur dire de télécharger le fichier, mais cela ne nécessitera pas d'une interaction avec l'utilisateur.
De plus, vous pouvez créer un script de connexion qui démarre lorsque l'utilisateur se connecte, donc si vous pouvez créer un script qui exécutera et téléchargera le programme, vous pourrez le faire à partir d'un ASA, mais pas d'un FTD géré par FMC ou FDM.
le 15-04-2020 10:16 AM
Salut experts,
Puis-je vous demander si la version FTD de Firepower ne prend pas en charge la fonction VPN L2TP sur IPSEC ?
Parfois, en raison des exigences de sécurité de certains clients, les clients n'ont pas la permission d'installer le client AnyConnect sur leur ordinateur, mais ils doivent avoir accès via un réseau externe.
Existe-t-il une fonction sur Firepower de remplacement ?
N.B. Ceci est une question d'un membre de la communauté chinoise jijunzhang.
* Voici la traduction d'un message créé à l'origine par Yanli Sun en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 11:02 AM
Salut Yanli,
Actuellement, nous ne prenons pas en charge L2TP sur IPSEC sur FTD.
L'autre option consiste à utiliser AnyConnect. Permettez-moi de vérifier s'il existe des plans pour l'ajout de L2TP dans la prochaine version et je reviendrais vers vous.
Pulkit
le 16-04-2020 06:06 PM
Salut Yanli,
J'ai également vérifié auprès de l'équipe produit, nous n'avons actuellement aucune feuille de route pour l'ajout de L2TP dans les prochaines versions de firepower.
Donc AnyConnect Client est la bonne voie à suivre. :)
Pulkit
le 15-04-2020 11:06 AM
Bonjour l'équipe,
Le VPN d'accès à distance AnyConnect peut-il être déployé sur ASAv ?
Existe-t-il un guide de configuration ?
Merci beaucoup.
N.B. Ceci est une question d'un membre de la communauté chinoise sunbin03351.
* Voici la traduction d'un message créé à l'origine par Yanli Sun en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 11:18 AM
Bonjour,
Oui. ASAv prend en charge le VPN d'accès à distance.
Retrouvez ci-dessous les liens de référence :
La configuration reste la même que toute autre plateforme ASA, mais assurez-vous que vous disposez des licences VPN appropriées pour déployer AnyConnect VPN.
Exemple de configuration :
Licence intelligente sur ASAv :
le 15-04-2020 12:59 PM
Nous avons configuré et nous testons un client .xml où la conformité FIPS est activée et il semble qu'il fonctionne très bien. Ensuite, quelqu'un a demandé "Comment savez-vous que cela fonctionne?". Mis à part de regarder le .xml chaque fois qu'un auditeur veut le voir, y a-t-il autre moyen de vérifier que la conformité FIPS a été satisfaite ?
Rayon
Mac
Client 4.8.00175
Firepower 2140
* Voici la traduction d'un message créé à l'origine par rhague en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-04-2020 01:00 PM
Vous pouvez vérifier les statistiques VPN de l'interface utilisateur du client, il y a une section FIPS.
Gustavo
le 15-04-2020 01:13 PM
AnyConnect est installé et je veux configurer DAP comme anti-malware pour l'antivirus.
Je configure ceci via l'ASDM.
Ma question est : Existe-t-il un moyen d'ajouter la liste des antivirus autre que de les ajouter un par un?
Il y a tellement d'antivirus possibles pour les clients qu'ils sont autorisés à BYOD (Bring Your Own Device - Apportez votre propre appareil) et puis ajouter tout manuellement prendrait du temps et serait inefficace.
Merci d'avance pour votre considération.
S'il vous plaît donnez votre avis.
* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 16-04-2020 04:42 PM
Bonjour,
Vous pouvez résoudre ce problème de deux manières.
1. Au lieu d'effectuer une vérification pour chaque AV, vous pouvez effectuer une vérification en fonction du fournisseur.
2. Pour éviter d'ajouter des attributs sur ASDM, vous pouvez exécuter les commandes "debug menu dap 1" et "debug menu dap 2" [ce sont des commandes show pour la configuration DAP], puis copier la sortie, les modifier dans un éditeur de texte selon l'exigence remplissant tous les AVs requis, puis télécharger le fichier dap.xml sur l'ASA.
Cordialement,
Dinesh
le 16-04-2020 04:49 PM
Salut,
J'ai un problème avec FTD et AnyConnect 4.8.02042 avec des profils sur Windows et Mac. Je fais quelques changements avec l'éditeur de profil autonome et le déplace vers le dossier Profils dans ProgramData. Des choses comme HostEntry et AllowManualHostInput sont reconnues et appliquées. Mais les modifications apportées à AuthenticationTimeout et EnableScripting ne le sont pas.
Après chaque modification, je quitte le client AnyConnect et redémarre le service, j'ai également redémarré l'ordinateur pour faire bonne mesure. Je peux voir quels paramètres sont appliqués à partir de l'Observateur d'événements (Event viewer).
Utilisation des préférences par défaut. Certains paramètres (par exemple, la correspondance de certificats) peuvent ne pas fonctionner comme prévu si un profil local est censé être utilisé. Vérifiez que l'hôte sélectionné se trouve dans la section de la liste des serveurs du profil et que le profil est configuré sur la passerelle sécurisée.
Il ne semble pas que le FTD ait un profil appliqué car aucun fichier n'est téléchargé dans le dossier Profils. J'ai également passé le fichier XML via un validateur avec le fichier XSD.
Merci
* Voici la traduction d'un message créé à l'origine par evan_stockton en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 16-04-2020 04:54 PM
Le téléchargez-vous également sur le périphérique FTD, et puis l'appliquez-vous à la group-policy à laquelle l'utilisateur se connecte ?
le 16-04-2020 04:56 PM
Je ne l'ai pas fait, j'ai supposé que l'appareil FTD n'avait pas le profil car il ne téléchargeait aucun sur le client après la connexion de l'utilisateur.
* Voici la traduction d'un message créé à l'origine par evan_stockton en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 16-04-2020 04:58 PM
Je suppose alors que vous essayez simplement de créer un profil pour un utilisateur local, est-ce correct ? Ce n'est pas vraiment une conception de configuration prise en charge, mais si vous souhaitez que des paramètres spécifiques entrent en vigueur lorsque vous vous connectez à une tête de réseau VPN, vous devez également créer une liste de serveurs, un nom d'hôte, une section d'adresse hôte dans votre profil xml.
Ces paramètres lieront le reste du profil à la connexion de tête de réseau au lieu d'utiliser la stratégie de groupe (group policy) par défaut. Il serait préférable de l'appliquer au périphérique FTD et de le transmettre aux clients lors de leur connexion.
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français