Configurazione del mapping dei certificati per l'autenticazione client sicura su FTD tramite FMC

Opzioni per il download

  • PDF     (2.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:19 luglio 2024
ID documento:222168

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare Cisco Secure Client con SSL su FTD tramite FMC utilizzando la mappatura dei certificati per l'autenticazione.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Firepower Management Center (FMC)
    • Virtual Firewall Threat Defense (FTD)
    • Flusso di autenticazione VPN

    Componenti usati

    • Cisco Firepower Management Center per VMWare 7.4.1
    • Cisco Firewall Threat Defense Virtual 7.4.1
    • Cisco Secure Client 5.1.3.62

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il mapping dei certificati è un metodo utilizzato nelle connessioni VPN in cui un certificato client viene mappato a un account utente locale oppure gli attributi all'interno del certificato vengono utilizzati a scopo di autorizzazione. Si tratta di un processo in cui un certificato digitale viene utilizzato per identificare un utente o un dispositivo. Utilizzando il mapping dei certificati, utilizza il protocollo SSL per autenticare gli utenti senza che questi debbano immettere credenziali.

    In questo documento viene descritto come autenticare Cisco Secure Client utilizzando il nome comune tratto da un certificato SSL.

    Questi certificati contengono un nome comune, utilizzato ai fini dell'autorizzazione.

    • CA : ftd-ra-ca-nome-comune
    • Certificato client VPN del tecnico: vpnEngineerClientCN
    • Certificato client VPN Manager: vpnManagerClientCN
    • Certificato server: 192.168.1.200

    Esempio di rete

    Nell'immagine è illustrata la topologia utilizzata per l'esempio del documento.

    Esempio di reteEsempio di rete

    Configurazioni

    Configurazione in FMC

    Passaggio 1. Configura interfaccia FTD

    Selezionare Dispositivi > Gestione dispositivi, modificare il dispositivo FTD di destinazione, configurare l'interfaccia esterna per FTD nella scheda Interfacce.

    Per Gigabit Ethernet0/0,

    • Nome: esterno
    • Area di sicurezza: area esterna
    • Indirizzo IP: 192.168.1.200/24

    Interfaccia FTDInterfaccia FTD

    Passaggio 2. Conferma licenza Cisco Secure Client

    Selezionare Dispositivi > Gestione dispositivi, modificare il dispositivo FTD di destinazione, confermare la licenza Cisco Secure Client nella scheda Dispositivo.

    Licenza Secure ClientLicenza Secure Client

    Passaggio 3. Aggiungi pool di indirizzi IPv4

    Selezionare Oggetto > Gestione oggetti > Pool di indirizzi > Pool IPv4, quindi fare clic su Aggiungi pool IPv4.

    Aggiungi pool di indirizzi IPv4Aggiungi pool di indirizzi IPv4

    Immettere le informazioni necessarie per creare un pool di indirizzi IPv4 per il client VPN del tecnico.

    • Nome: ftd-vpn-engineer-pool
    • Intervallo di indirizzi IPv4: 172.16.1.100-172.16.1.110
    • Maschera: 255.255.255.0

    Pool di indirizzi IPv4 per client VPN del tecnicoPool di indirizzi IPv4 per client VPN del tecnico

    Immettere le informazioni necessarie per creare un pool di indirizzi IPv4 per il client VPN di gestione.

    • Nome: ftd-vpn-manager-pool
    • Intervallo di indirizzi IPv4: 172.16.1.120-172.16.1.130
    • Maschera: 255.255.255.0

    Pool di indirizzi IPv4 per client VPN di gestionePool di indirizzi IPv4 per client VPN di gestione

    Confermare i nuovi pool di indirizzi IPv4.

    Nuovi pool di indirizzi IPv4Nuovi pool di indirizzi IPv4

    Passaggio 4. Aggiungi Criteri di gruppo

    Selezionare Oggetto > Gestione oggetti > VPN > Criteri di gruppo, quindi fare clic su Aggiungi criteri di gruppo.

    Aggiungi Criteri di gruppoAggiungi Criteri di gruppo

    Immettere le informazioni necessarie per creare un criterio di gruppo per il client VPN del tecnico.

    • Nome: ftd-vpn-engineer-grp
    • Protocolli VPN: SSL

    Criteri di gruppo per il client VPN EngineerCriteri di gruppo per il client VPN Engineer

    Immettere le informazioni necessarie per creare un criterio di gruppo per il client VPN di gestione.

    • Nome: ftd-vpn-manager-grp
    • Protocolli VPN: SSL

    Criteri di gruppo per il client VPN di gestioneCriteri di gruppo per il client VPN di gestione

    Confermare i nuovi criteri di gruppo.

    Nuovi Criteri di gruppoNuovi Criteri di gruppo

    Passaggio 5. Aggiungi certificato FTD

    Passare a Oggetto > Gestione oggetti > PKI > Registrazione certificato, quindi fare clic su Aggiungi registrazione certificato.

    Aggiungi registrazione certificatoAggiungi registrazione certificato

    Immettere le informazioni necessarie per il certificato FTD e importare un file PKCS12 dal computer locale.

    • Nome: ftd-vpn-cert
    • Tipo di registrazione: file PKCS12

    Dettagli di Registrazione certificatoDettagli di Registrazione certificato

    Confermare la registrazione del nuovo certificato.

    Nuova registrazione certificatoNuova registrazione certificato

    Passare a Dispositivi > Certificati, fare clic su Aggiungi pulsante.

    Aggiungi certificato FTDAggiungi certificato FTD

    Immettere le informazioni necessarie per associare la nuova registrazione certificato a FTD.

    • Dispositivo: 1.x.x.49
    • Registrazione certificato: ftd-vpn-cert

    Associa certificato a FTDAssocia certificato a FTD

    Confermare lo stato dell'associazione certificato.

    Stato dell'associazione certificatoStato dell'associazione certificato

    Passaggio 6. Aggiungi assegnazione criteri per il profilo di connessione del tecnico

    Selezionare Dispositivi > VPN > Accesso remoto, quindi fare clic su Aggiungi pulsante.

    Aggiungi VPN di accesso remotoAggiungi VPN di accesso remoto

    Immettere le informazioni necessarie e fare clic su Pulsante Avanti.

    • Nome: ftd-vpn-engineer
    • Protocolli VPN: SSL
    • Dispositivi di destinazione: 1.x.x.49

    Assegnazione criteriAssegnazione criteri

    Passaggio 7. Configura dettagli per il profilo di connessione del tecnico

    Immettere le informazioni necessarie e fare clic su Pulsante Avanti.

    • Metodo di autenticazione: solo certificato client
    • Nome utente da certificato: campo specifico della mappa
    • Campo principale: CN (nome comune)
    • Campo secondario: unità organizzativa
    • Pool di indirizzi IPv4: ftd-vpn-engineer-pool
    • Criteri di gruppo: ftd-vpn-engineer-grp

    Dettagli profilo connessioneDettagli profilo connessione

    Passaggio 8. Configura immagine client sicura per il profilo di connessione del tecnico

    Selezionare secure client image file e fare clic su NextButton.

    Seleziona client protettoSeleziona client protetto

    Passaggio 9. Configura accesso e certificato per profilo di connessione del tecnico

    Selezionare il valore per gli elementi Gruppo interfaccia/Area di protezione e Registrazione certificato, quindi fare clic su Pulsante Avanti.

    • Gruppo di interfacce/Area di sicurezza: outsideZone
    • Registrazione certificato: ftd-vpn-cert

    Dettagli di accesso e certificatoDettagli di accesso e certificato

    Passaggio 10. Conferma riepilogo per il profilo di connessione del tecnico

    Confermare le informazioni immesse per il criterio VPN di accesso remoto e fare clic sul pulsante Fine.

    Dettagli del criterio VPN di accesso remotoDettagli del criterio VPN di accesso remoto

    Passaggio 11. Aggiungi profilo di connessione per client VPN di gestione

    Selezionare Dispositivi > VPN > Accesso remoto > Profilo di connessione, quindi fare clic sul pulsante +.

    Aggiungi profilo di connessione per client VPN di gestioneAggiungi profilo di connessione per client VPN di gestione

    Immettere le informazioni necessarie per il profilo di connessione e fare clic su Salva pulsante.

    • Nome: ftd-vpn-manager
    • Criteri di gruppo: ftd-vpn-manager-grp
    • Pool di indirizzi IPv4: ftd-vpn-manager-pool

    Dettagli del profilo di connessione per Manager VPN ClientDettagli del profilo di connessione per Manager VPN Client

    Confermare i nuovi profili di connessione aggiunti.

    Conferma profili di connessione aggiuntiConferma profili di connessione aggiunti

    Passaggio 12. Aggiungi mapping certificati

    Passare a Oggetti > Gestione oggetti > VPN > Mappa certificati, quindi fare clic sul pulsante Aggiungi mappa certificato.

    Aggiungi mapping certificatiAggiungi mapping certificati

    Immettere le informazioni necessarie per la mappa certificati del client VPN del tecnico e fare clic su Pulsante Salva.

    • Nome mappa: cert-map-engineer
    • Regola di mapping: CN (nome comune) è uguale a vpnEngineerClientCN

    Mappa certificati per client tecnicoMappa certificati per client tecnico

    Immettere le informazioni necessarie per la mappa certificati del client VPN di gestione e fare clic su Pulsante Salva.

    • Nome mappa: cert-map-manager
    • Regola di mapping: CN (nome comune) è uguale a vpnManagerClientCN

    Mappa certificati per client di gestioneMappa certificati per client di gestione

    Confermare le nuove mappe certificati aggiunte.

    Nuove mappe certificatiNuove mappe certificati

    Passaggio 13. Associa mappa certificato a profilo di connessione

    Selezionare Dispositivi > VPN > Accesso remoto, quindi modificare ftd-vpn-engineer. Quindi, passare a Avanzate > Mappe certificati, fare clic su Aggiungi mapping pulsante.

    Associa mapping certificatiAssocia mapping certificati

    Associazione del mapping dei certificati al profilo di connessione per il client VPN del tecnico.

    • Nome mappa certificati: cert-map-engineer
    • Connessione Profile: ftd-vpn-engineer

    Mappa certificati di binding per client VPN del tecnicoMappa certificati di binding per client VPN del tecnico

    Associazione del mapping dei certificati al profilo di connessione per il client VPN di gestione.

    • Nome mappa certificati: cert-map-manager
    • Profilo connessione: ftd-vpn-manager

    Associazione mappa certificati per client VPN di gestioneAssociazione mappa certificati per client VPN di gestione

    Confermare l'impostazione del binding dei certificati.

    Conferma associazione certificatoConferma associazione certificato

    Conferma nella CLI FTD

    Confermare le impostazioni della connessione VPN nella CLI FTD dopo la distribuzione dal FMC.

    // Defines IP of interface
    interface GigabitEthernet0/0
    nameif outside
    security-level 0
    ip address 192.168.1.200 255.255.255.0

    // Defines a pool of addresses
    ip local pool ftd-vpn-engineer-pool 172.16.1.100-172.16.1.110 mask 255.255.255.0
    ip local pool ftd-vpn-manager-pool 172.16.1.120-172.16.1.130 mask 255.255.255.0

    // Defines Trustpoint for Server Certificate
    crypto ca trustpoint ftd-vpn-cert
    keypair ftd-vpn-cert
    crl configure

    // Server Certificate Chain
    crypto ca certificate chain ftd-vpn-cert
    certificate 22413df584b6726c
    3082037c 30820264 a0030201 02020822 413df584 b6726c30 0d06092a 864886f7 
    ......
    quit

    certificate ca 5242a02e0db6f7fd
    3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7 
    ......
    quit

    // Defines Certificate Map for Engineer VPN Clients
    crypto ca certificate map cert-map-engineer 10
    subject-name attr cn eq vpnEngineerClientCN

    // Defines Certificate Map for Manager VPN Clients
    crypto ca certificate map cert-map-manager 10
    subject-name attr cn eq vpnManagerClientCN

    // Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
    webvpn
    enable outside
    http-headers
    hsts-server
    enable
    max-age 31536000
    include-sub-domains
    no preload
    hsts-client
    enable
    x-content-type-options
    x-xss-protection
    content-security-policy
    anyconnect image disk0:/csm/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1 regex "Windows"
    anyconnect enable
    tunnel-group-list enable
    cache
    disable
    certificate-group-map cert-map-engineer 10 ftd-vpn-engineer
    certificate-group-map cert-map-manager 10 ftd-vpn-manager
    error-recovery disable

    // Configures the group-policy to allow SSL connections from manager VPN clients
    group-policy ftd-vpn-manager-grp internal
    group-policy ftd-vpn-manager-grp attributes
    banner none
    wins-server none
    dns-server none
    dhcp-network-scope none
    vpn-simultaneous-logins 3
    vpn-idle-timeout 30
    vpn-idle-timeout alert-interval 1
    vpn-session-timeout none
    vpn-session-timeout alert-interval 1
    vpn-filter none
    vpn-tunnel-protocol ikev2 ssl-client 
    split-tunnel-policy tunnelall
    ipv6-split-tunnel-policy tunnelall
    split-tunnel-network-list none
    default-domain none
    split-dns none
    split-tunnel-all-dns disable
    client-bypass-protocol disable
    vlan none
    address-pools none
    webvpn
    anyconnect ssl dtls enable
    anyconnect mtu 1406
    anyconnect firewall-rule client-interface public none
    anyconnect firewall-rule client-interface private none
    anyconnect ssl keepalive 20
    anyconnect ssl rekey time none
    anyconnect ssl rekey method none
    anyconnect dpd-interval client 30
    anyconnect dpd-interval gateway 30
    anyconnect ssl compression none
    anyconnect dtls compression none
    anyconnect modules value none
    anyconnect ask none default anyconnect
    anyconnect ssl df-bit-ignore disable

    // Configures the group-policy to allow SSL connections from engineer VPN clients
    group-policy ftd-vpn-engineer-grp internal
    group-policy ftd-vpn-engineer-grp attributes
    banner none
    wins-server none
    dns-server none
    dhcp-network-scope none
    vpn-simultaneous-logins 3
    vpn-idle-timeout 30
    vpn-idle-timeout alert-interval 1
    vpn-session-timeout none
    vpn-session-timeout alert-interval 1
    vpn-filter none
    vpn-tunnel-protocol ssl-client 
    split-tunnel-policy tunnelall
    ipv6-split-tunnel-policy tunnelall
    split-tunnel-network-list none
    default-domain none
    split-dns none
    split-tunnel-all-dns disable
    client-bypass-protocol disable
    vlan none
    address-pools none
    webvpn
    anyconnect ssl dtls enable
    anyconnect mtu 1406
    anyconnect firewall-rule client-interface public none
    anyconnect firewall-rule client-interface private none
    anyconnect ssl keepalive 20
    anyconnect ssl rekey time none
    anyconnect ssl rekey method none
    anyconnect dpd-interval client 30
    anyconnect dpd-interval gateway 30
    anyconnect ssl compression none
    anyconnect dtls compression none
    anyconnect modules value none
    anyconnect ask none default anyconnect
    anyconnect ssl df-bit-ignore disable

    // Configures the tunnel-group to use the certificate authentication for engineer VPN clients
    tunnel-group ftd-vpn-engineer type remote-access
    tunnel-group ftd-vpn-engineer general-attributes
    address-pool ftd-vpn-engineer-pool
    default-group-policy ftd-vpn-engineer-grp
    tunnel-group ftd-vpn-engineer webvpn-attributes
    authentication certificate
    group-alias ftd-vpn-engineer enable

    // Configures the tunnel-group to use the certificate authentication for manager VPN clients
    tunnel-group ftd-vpn-manager type remote-access
    tunnel-group ftd-vpn-manager general-attributes
    address-pool ftd-vpn-manager-pool
    default-group-policy ftd-vpn-manager-grp
    tunnel-group ftd-vpn-manager webvpn-attributes
    authentication certificate

    Conferma in client VPN

    Passaggio 1. Conferma certificato client

    In Engineer VPN client, passare a Certificati - Utente corrente > Personale > Certificati, verificare il certificato client utilizzato per l'autenticazione.

    Conferma certificato per il client VPN del tecnicoConferma certificato per il client VPN del tecnico

    Fare doppio clic sul certificato client, passare aDettagli, controllare i dettagli diOggetto.

    • Oggetto: CN = vpnEngineerClientCN

    Dettagli del certificato client del tecnicoDettagli del certificato client del tecnico

    In Manager VPN client, passare a Certificati - Utente corrente > Personale > Certificati, controllare il certificato client utilizzato per l'autenticazione.

    Conferma certificato per client VPN di gestioneConferma certificato per client VPN di gestione

    Fare doppio clic sul certificato client, passare aDettagli, controllare i dettagli diOggetto.

    • Oggetto: CN = vpnManagerClientCN

    Dettagli del certificato client del gestoreDettagli del certificato client del gestore

    Passaggio 2. Conferma CA

    In entrambi i client VPN Engineer e manager, passare a Certificati - Utente corrente > Autorità di certificazione radice attendibili > Certificati, quindi controllare la CA utilizzata per l'autenticazione.

    • Rilasciato da: ftd-ra-ca-common-name

    Conferma CAConferma CA

    Verifica

    Passaggio 1. Avvia connessione VPN

    In Engineer VPN Client, avviare la connessione Cisco Secure Client. Non è necessario immettere il nome utente e la password. La VPN è stata connessa correttamente.

    Avvia connessione VPN dal client del tecnicoAvvia connessione VPN dal client del tecnico

    Nel client VPN di gestione, avviare la connessione Cisco Secure Client. Non è necessario immettere il nome utente e la password. La VPN è stata connessa correttamente.

    Avvia connessione VPN dal client di gestioneAvvia connessione VPN dal client di gestione

    Passaggio 2. Conferma sessioni attive in FMC

    Passare ad Analisi > Utenti > Sessioni attive, verificare la sessione attiva per l'autenticazione VPN.

    Conferma sessione attivaConferma sessione attiva

    Passaggio 3. Conferma sessioni VPN nella CLI FTD

    Eseguireshow vpn-sessiondb detail anyconnect il comando nella CLI di FTD (Lina) per confermare le sessioni VPN di Engineer e Manager.

    ftd702# show vpn-sessiondb detail anyconnect

    Session Type: AnyConnect Detailed

    Username : vpnEngineerClientCN Index : 13
    Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
    Bytes Tx : 14782 Bytes Rx : 12714
    Pkts Tx : 2 Pkts Rx : 32
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    Group Policy : ftd-vpn-engineer-grp Tunnel Group : ftd-vpn-engineer
    Login Time : 02:00:35 UTC Wed Jun 19 2024
    Duration : 0h:00m:55s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : cb0071820000d00066723bc3
    Security Grp : none Tunnel Zone : 0

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
    Tunnel ID : 13.1
    Public IP : 192.168.1.11
    Encryption : none Hashing : none 
    TCP Src Port : 50225 TCP Dst Port : 443 
    Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
    Client OS : win 
    Client OS Ver: 10.0.15063 
    Client Type : AnyConnect
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 7391 Bytes Rx : 0 
    Pkts Tx : 1 Pkts Rx : 0 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0 

    SSL-Tunnel:
    Tunnel ID : 13.2
    Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
    Encryption : AES-GCM-128 Hashing : SHA256 
    Ciphersuite : TLS_AES_128_GCM_SHA256 
    Encapsulation: TLSv1.3 TCP Src Port : 50232 
    TCP Dst Port : 443 Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
    Client OS : Windows 
    Client Type : SSL VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 7391 Bytes Rx : 1775 
    Pkts Tx : 1 Pkts Rx : 2 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0 

    DTLS-Tunnel:
    Tunnel ID : 13.3
    Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
    Encryption : AES-GCM-256 Hashing : SHA384 
    Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
    Encapsulation: DTLSv1.2 UDP Src Port : 50825 
    UDP Dst Port : 443 Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
    Client OS : Windows 
    Client Type : DTLS VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 0 Bytes Rx : 10939 
    Pkts Tx : 0 Pkts Rx : 30 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0 

    Username : vpnManagerClientCN Index : 14
    Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
    Bytes Tx : 14782 Bytes Rx : 13521
    Pkts Tx : 2 Pkts Rx : 57
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    Group Policy : ftd-vpn-manager-grp Tunnel Group : ftd-vpn-manager
    Login Time : 02:01:19 UTC Wed Jun 19 2024
    Duration : 0h:00m:11s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : cb0071820000e00066723bef
    Security Grp : none Tunnel Zone : 0

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
    Tunnel ID : 14.1
    Public IP : 192.168.1.21
    Encryption : none Hashing : none 
    TCP Src Port : 49809 TCP Dst Port : 443 
    Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
    Client OS : win 
    Client OS Ver: 10.0.15063 
    Client Type : AnyConnect
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 7391 Bytes Rx : 0 
    Pkts Tx : 1 Pkts Rx : 0 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0 

    SSL-Tunnel:
    Tunnel ID : 14.2
    Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
    Encryption : AES-GCM-128 Hashing : SHA256 
    Ciphersuite : TLS_AES_128_GCM_SHA256 
    Encapsulation: TLSv1.3 TCP Src Port : 49816 
    TCP Dst Port : 443 Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
    Client OS : Windows 
    Client Type : SSL VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 7391 Bytes Rx : 3848 
    Pkts Tx : 1 Pkts Rx : 25 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0 

    DTLS-Tunnel:
    Tunnel ID : 14.3
    Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
    Encryption : AES-GCM-256 Hashing : SHA384 
    Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
    Encapsulation: DTLSv1.2 UDP Src Port : 65501 
    UDP Dst Port : 443 Auth Mode : Certificate 
    Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes 
    Client OS : Windows 
    Client Type : DTLS VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
    Bytes Tx : 0 Bytes Rx : 9673 
    Pkts Tx : 0 Pkts Rx : 32 
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    Risoluzione dei problemi

    Per informazioni sull'autenticazione VPN, vedere il syslog di debug del motore Lina e il file DART nel computer Windows.

    Questo è un esempio di log di debug nel motore Lina durante la connessione VPN da un client di progettazione.

    Jun 19 2024 02:00:35: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:00:35: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name:  CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:00:35: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-engineer, Peer certificate: serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:00:35: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-engineer-grp) for user = vpnEngineerClientCN
    Jun 19 2024 02:00:46: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50825 to 192.168.1.200/443 for DTLSv1.2 session

    Questo è un esempio di log di debug nel motore Lina durante la connessione VPN dal client di gestione.

    Jun 19 2024 02:01:19: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:01:19: %FTD-6-717022: Certificate was successfully validated. serial number: 1AD1B5EAE28C6D3C, subject name:  CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:01:19: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-manager, Peer certificate: serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
    Jun 19 2024 02:01:19: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-manager-grp) for user = vpnManagerClientCN
    Jun 19 2024 02:01:25: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.21/65501 to 192.168.1.200/443 for DTLSv1.2 session

    Informazioni correlate

    Configurazione dell'autenticazione basata sul certificato Anyconnect per l'accesso mobile

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    22-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jian Zhang
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti