El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo resolver algunos de los problemas de comunicación más comunes de Cisco AnyConnect Secure Mobility Client en Firepower Threat Defense (FTD) cuando utiliza Secure Socket Layer (SSL) o Internet Key Exchange versión 2 (IKEv2).
Contribuido por Angel Ortiz y Fernando Jiménez, Ingenieros del TAC de Cisco.
Cisco recomienda que tenga conocimiento sobre estos temas:
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Esta guía explica cómo resolver algunos problemas de comunicación comunes que tienen los clientes de AnyConnect cuando el FTD se utiliza como gateway de red privada virtual (VPN) de acceso remoto. Estas secciones abordan y proporcionan soluciones a los problemas siguientes:
Complete estos pasos:
Paso 1. Verifique la configuración del túnel dividido.
Navegue hasta Objetos > Administración de objetos > Lista de acceso > Editar lista de acceso para tunelización dividida.
Paso 2. Verifique la configuración de la exención de traducción de direcciones de red (NAT).
Recuerde que debemos configurar una regla de exención de NAT para evitar que el tráfico se traduzca a la dirección IP de la interfaz, normalmente configurada para el acceso a Internet (con Traducción de dirección de puerto (PAT)).
Nota: Cuando se configuran las reglas de exención de NAT, verifique las opciones no-proxy-arp y realice route-lookup como práctica recomendada.
Paso 3. Verifique la política de control de acceso.
De acuerdo con la configuración de la política de control de acceso, asegúrese de que el tráfico de los clientes de AnyConnect pueda llegar a las redes internas seleccionadas, como se muestra en la imagen.
Hay dos escenarios posibles para esta cuestión.
Asegúrese de que la política de grupo esté configurada para la tunelización dividida como redes de túnel especificadas a continuación y NO como Permitir todo el tráfico sobre el túnel, como se muestra en la imagen.
2. El tráfico destinado a Internet debe atravesar el túnel VPN.
En este caso, la configuración de política de grupo más común para la tunelización dividida sería seleccionar Permitir todo el tráfico sobre el túnel, como se muestra en la imagen.
Paso 1. Verifique la configuración de la exención de NAT para el alcance de la red interna.
Recuerde que aún debemos configurar una regla de exención de NAT para tener acceso a la red interna. Revise el paso 2 del Los clientes de AnyConnect no pueden acceder al recurso interno sección.
Paso 2. Verifique la configuración del hairpinning para las traducciones dinámicas.
Para que los clientes de AnyConnect tengan acceso a Internet a través del túnel VPN, necesitamos asegurarnos de que la configuración NAT de conexión es correcta para que el tráfico se traduzca a la dirección IP de la interfaz.
Paso 3. Verifique la política de control de acceso.
De acuerdo con la configuración de la política de control de acceso, asegúrese de que el tráfico de los clientes de AnyConnect pueda llegar a los recursos externos, como se muestra en la imagen.
Hay dos escenarios posibles para este problema:
Fecha Permitir todo el tráfico a través del túnel está configurado para AnyConnect significa que todo el tráfico, interno y externo, debe reenviarse a la cabecera de AnyConnect. Esto se convierte en un problema cuando tiene NAT para el acceso público a Internet, ya que el tráfico proviene de un cliente de AnyConnect destinado a otro cliente de AnyConnect se traduce a la dirección IP de la interfaz y, por lo tanto, la comunicación falla.
Paso 1. Verifique la configuración de la exención de NAT.
Para superar este problema, se debe configurar una regla de exención de NAT manual para permitir la comunicación bidireccional dentro de los clientes de AnyConnect.
Paso 2. Verifique la política de control de acceso.
De acuerdo con la configuración de la política de control de acceso, asegúrese de que se permite el tráfico de los clientes de AnyConnect, como se muestra en la imagen.
2. Clientes de Anyconnect con Redes de túnel especificadas a continuación configuración en su lugar.
Con Redes de túnel especificadas a continuación configurado para los clientes de AnyConnect, sólo se reenvía tráfico específico a través del túnel VPN. Sin embargo, debemos asegurarnos de que la cabecera tenga la configuración adecuada para permitir la comunicación dentro de los clientes de AnyConnect.
Paso 1. Verifique la configuración de la exención de NAT.
Verifique el paso 1, en la sección Permitir todo el tráfico por el túnel.
Paso 2. Verifique la configuración de la tunelización dividida.
Para que los clientes de AnyConnect se comuniquen entre ellos, necesitamos agregar las direcciones del conjunto de VPN a la ACL de túnel dividido.
Nota: Si hay más de un grupo IP para los clientes AnyConnect y se necesita comunicación entre los diferentes grupos, asegúrese de agregar todos los grupos en la ACL de tunelización dividida, y también agregue una regla de exención de NAT para los grupos IP necesarios.
Paso 3. Verifique la política de control de acceso.
Asegúrese de que el tráfico de los clientes de AnyConnect esté permitido como se muestra en la imagen.
Hay algunos escenarios en los que los clientes de AnyConnect necesitan establecer llamadas telefónicas y videoconferencias a través de VPN.
Los clientes de AnyConnect pueden conectarse a la cabecera de AnyConnect sin ningún problema. Pueden acceder a recursos internos y externos, pero no se pueden establecer llamadas telefónicas.
En estos casos, debemos tener en cuenta los siguientes aspectos:
De forma predeterminada, FTD y ASA tienen la inspección de aplicaciones habilitada de forma predeterminada en su mapa de políticas global.
En la mayoría de los casos, los teléfonos VPN no pueden establecer una comunicación fiable con CUCM porque la cabecera de AnyConnect tiene habilitada una inspección de aplicación que modifica el tráfico de señal y voz.
Para obtener más información sobre la aplicación de voz y vídeo en la que puede aplicar la inspección de aplicaciones, consulte el siguiente documento:
Capítulo: Inspección de los protocolos de voz y vídeo
Para confirmar si el policy-map global descarta o modifica el tráfico de una aplicación, podemos utilizar el comando show service-policy como se muestra a continuación.
firepower#show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
.
.
Inspect: sip , packet 792114, lock fail 0, drop 10670, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
.
En este caso, podemos ver cómo la inspección SIP descarta el tráfico.
Además, la inspección de SIP también puede traducir las direcciones IP dentro de la carga útil, no en el encabezado IP, causa diferentes problemas, por lo que se recomienda desactivarla cuando deseemos utilizar servicios de voz a través de AnyConnect VPN.
Para desactivarla, debemos completar los siguientes pasos:
Paso 1. Introduzca el modo EXEC privilegiado.
Para obtener más información sobre cómo acceder a este modo, consulte el siguiente documento:
Capítulo: Utilizar la interfaz de línea de comandos (CLI)
Paso 2. Verifique el policy-map global.
Ejecute el siguiente comando y verifique si la inspección SIP está habilitada.
firepower#show running-config policy-map
.
.
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect esmtp
Paso 3. Desactive la inspección SIP.
Si la inspección SIP está activada, desactive el siguiente comando de ejecución desde el mensaje de clish:
> configure inspection sip disable
Paso 4. Vuelva a verificar el mapa de política global.
Asegúrese de que la inspección SIP esté inhabilitada en el mapa de políticas global:
firepower#show running-config policy-map
.
.
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect esmtp
Como se mencionó en la sección anterior, una necesidad muy común para los clientes de AnyConnect es establecer llamadas telefónicas cuando se conectan a la VPN. En algunos casos se puede establecer la llamada, sin embargo, los clientes pueden experimentar una falta de audio. Esto se aplica a los siguientes escenarios:
Para corregir esto, podemos seguir estos pasos:
Paso 1. Verifique la configuración de la tunelización dividida.
Paso 2. Verifique la configuración de la exención de NAT.
Las reglas de exención de NAT se deben configurar para eximir el tráfico de la red VPN de AnyConnect a la red de servidores de voz y también para permitir la comunicación bidireccional dentro de los clientes de AnyConnect.
Paso 3. Verifique que la inspección SIP esté inhabilitada.
Revise la sección anterior Los clientes de AnyConnect no pueden establecer llamadas telefónicas para saber cómo desactivar la inspección SIP.
Paso 4. Verifique la política de control de acceso.
De acuerdo con la configuración de la política de control de acceso, asegúrese de que el tráfico de los clientes de AnyConnect pueda llegar a los servidores de voz y a las redes involucradas, como se muestra en la imagen.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
26-Oct-2020 |
Versión inicial |