annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
20024
Visites
0
Compliment
129
Réponses

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Banner_fr_lp_900x150_AMA_06apr_17apr_2020.png

 

Nos experts
dinesh.jpgDinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

pulkit.pngPulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

jgrudier.jpgJason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

josemed.jpgGustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

129 RÉPONSES 129

Est-il possible de fournir un software non Cisco à l'utilisateur VPN distant lorsqu'il se connecte ?

Je cherche un moyen de fournir le client Azure MFA à l'utilisateur final. S'il n'est pas possible de livrer le software, existe-t-il un moyen d'afficher un message qui nécessiterait "l'inaction de l'utilisateur" ?

 

* Voici la traduction d'un message créé à l'origine par bbcstone en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Il n'est pas possible de livrer quoi que ce soit d'un tiers.

Il peut uniquement envoyer des modules AnyConnect, des personnalisations et des profils xml. Vous pouvez aussi modifier la bannière de connexion pour leur dire de télécharger le fichier, mais cela ne nécessitera pas d'une interaction avec l'utilisateur.

De plus, vous pouvez créer un script de connexion qui démarre lorsque l'utilisateur se connecte, donc si vous pouvez créer un script qui exécutera et téléchargera le programme, vous pourrez le faire à partir d'un ASA, mais pas d'un FTD géré par FMC ou FDM.

 

Salut experts,

Puis-je vous demander si la version FTD de Firepower ne prend pas en charge la fonction VPN L2TP sur IPSEC ?

Parfois, en raison des exigences de sécurité de certains clients, les clients n'ont pas la permission d'installer le client AnyConnect sur leur ordinateur, mais ils doivent avoir accès via un réseau externe.

Existe-t-il une fonction sur Firepower de remplacement ?

N.B. Ceci est une question d'un membre de la communauté chinoise jijunzhang.

* Voici la traduction d'un message créé à l'origine par Yanli Sun en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Yanli,

Actuellement, nous ne prenons pas en charge L2TP sur IPSEC sur FTD.

L'autre option consiste à utiliser AnyConnect. Permettez-moi de vérifier s'il existe des plans pour l'ajout de L2TP dans la prochaine version et je reviendrais vers vous.

Pulkit

Salut Yanli,

J'ai également vérifié auprès de l'équipe produit, nous n'avons actuellement aucune feuille de route pour l'ajout de L2TP dans les prochaines versions de firepower.

Donc AnyConnect Client est la bonne voie à suivre. :)

Pulkit

Bonjour l'équipe,

Le VPN d'accès à distance AnyConnect peut-il être déployé sur ASAv ?
Existe-t-il un guide de configuration ?

Merci beaucoup.

N.B. Ceci est une question d'un membre de la communauté chinoise sunbin03351.

* Voici la traduction d'un message créé à l'origine par Yanli Sun en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,

Oui. ASAv prend en charge le VPN d'accès à distance.

Retrouvez ci-dessous les liens de référence :

La configuration reste la même que toute autre plateforme ASA, mais assurez-vous que vous disposez des licences VPN appropriées pour déployer AnyConnect VPN.

Exemple de configuration :

Licence intelligente sur ASAv :

 

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Nous avons configuré et nous testons un client .xml où la conformité FIPS est activée et il semble qu'il fonctionne très bien. Ensuite, quelqu'un a demandé "Comment savez-vous que cela fonctionne?". Mis à part de regarder le .xml chaque fois qu'un auditeur veut le voir, y a-t-il autre moyen de vérifier que la conformité FIPS a été satisfaite ?

Rayon

Mac
Client 4.8.00175
Firepower 2140

* Voici la traduction d'un message créé à l'origine par rhague en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Vous pouvez vérifier les statistiques VPN de l'interface utilisateur du client, il y a une section FIPS.

Gustavo

AnyConnect est installé et je veux configurer DAP comme anti-malware pour l'antivirus.

Je configure ceci via l'ASDM.

Ma question est : Existe-t-il un moyen d'ajouter la liste des antivirus autre que de les ajouter un par un?

Il y a tellement d'antivirus possibles pour les clients qu'ils sont autorisés à BYOD (Bring Your Own Device - Apportez votre propre appareil) et puis ajouter tout manuellement prendrait du temps et serait inefficace.

Merci d'avance pour votre considération.

S'il vous plaît donnez votre avis.

* Voici la traduction d'un message créé à l'origine par tjjackson en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour,

Vous pouvez résoudre ce problème de deux manières.

1. Au lieu d'effectuer une vérification pour chaque AV, vous pouvez effectuer une vérification en fonction du fournisseur.
Screenshot 2020-04-16 at 12.55.04 PM.png

2. Pour éviter d'ajouter des attributs sur ASDM, vous pouvez exécuter les commandes "debug menu dap 1" et "debug menu dap 2" [ce sont des commandes show pour la configuration DAP], puis copier la sortie, les modifier dans un éditeur de texte selon l'exigence remplissant tous les AVs requis, puis télécharger le fichier dap.xml sur l'ASA.

Cordialement,
Dinesh

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

Salut,
J'ai un problème avec FTD et AnyConnect 4.8.02042 avec des profils sur Windows et Mac. Je fais quelques changements avec l'éditeur de profil autonome et le déplace vers le dossier Profils dans ProgramData. Des choses comme HostEntry et AllowManualHostInput sont reconnues et appliquées. Mais les modifications apportées à AuthenticationTimeout et EnableScripting ne le sont pas.

Après chaque modification, je quitte le client AnyConnect et redémarre le service, j'ai également redémarré l'ordinateur pour faire bonne mesure. Je peux voir quels paramètres sont appliqués à partir de l'Observateur d'événements (Event viewer).

Utilisation des préférences par défaut. Certains paramètres (par exemple, la correspondance de certificats) peuvent ne pas fonctionner comme prévu si un profil local est censé être utilisé. Vérifiez que l'hôte sélectionné se trouve dans la section de la liste des serveurs du profil et que le profil est configuré sur la passerelle sécurisée.

Il ne semble pas que le FTD ait un profil appliqué car aucun fichier n'est téléchargé dans le dossier Profils. J'ai également passé le fichier XML via un validateur avec le fichier XSD.

Merci

* Voici la traduction d'un message créé à l'origine par evan_stockton en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Le téléchargez-vous également sur le périphérique FTD, et puis l'appliquez-vous à la group-policy à laquelle l'utilisateur se connecte ?

Je ne l'ai pas fait, j'ai supposé que l'appareil FTD n'avait pas le profil car il ne téléchargeait aucun sur le client après la connexion de l'utilisateur.

* Voici la traduction d'un message créé à l'origine par evan_stockton en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Je suppose alors que vous essayez simplement de créer un profil pour un utilisateur local, est-ce correct ? Ce n'est pas vraiment une conception de configuration prise en charge, mais si vous souhaitez que des paramètres spécifiques entrent en vigueur lorsque vous vous connectez à une tête de réseau VPN, vous devez également créer une liste de serveurs, un nom d'hôte, une section d'adresse hôte dans votre profil xml.

Ces paramètres lieront le reste du profil à la connexion de tête de réseau au lieu d'utiliser la stratégie de groupe (group policy) par défaut. Il serait préférable de l'appliquer au périphérique FTD et de le transmettre aux clients lors de leur connexion.