FDMによって管理されるFTDでのリモート・アクセスVPNの構成

はじめに

このドキュメントでは、バージョン6.5.0以降を実行するオンボックスマネージャFDMによって管理されるFTD上のRA VPNの展開を設定する方法について説明します。

前提条件

要件

Firepower Device Manager(FDM)でのリモートアクセス仮想プライベートネットワーク(RA VPN)の設定に関する知識があることが推奨されます。

ライセンス

• エクスポート制御機能を有効にして（RA VPN設定タブを有効にするために）スマートライセンシングポータルに登録されたFirepower Threat Defense(FTD)
• いずれかのAnyConnectライセンスが有効（APEX、Plus、またはVPNのみ）

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• バージョン6.5.0-115が稼働するCisco FTD
• Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.7.01076

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

FDMによるFTDの設定では、同じインターフェイスを介して管理にアクセスしているときに、外部インターフェイスを介してAnyConnectクライアントへの接続を確立しようとすると、困難が生じます。これは、FDMの既知の制限です。この問題については、拡張要求Cisco Bug ID CSCvm76499に記載されています。

設定

ネットワーク図

ローカルを使用したAnyConnectクライアント認証。

FTDでのライセンスの確認

ステップ 1：図に示すように、デバイスがスマートライセンスに登録されていることを確認します。

ステップ 2： 次の図に示すように、デバイスでAnyConnectライセンスが有効になっていることを確認します。

ステップ 3： 図に示すように、トークンでエクスポート制御機能が有効になっていることを確認します。

保護ネットワークの定義

Objects > Networks > Add new Networkに移動します。FDM GUIからVPNプールおよびLANネットワークを構成します。 図に示すように、AnyConnectユーザへのローカルアドレス割り当てに使用するVPNプールを作成します。

図に示すように、FDMデバイスの背後にあるローカル・ネットワークのオブジェクトを作成します：

ローカル ユーザの作成

Objects > Users > Add Userに移動します。Anyconnect経由でFTDに接続するVPNローカルユーザを追加します。図に示すように、ローカルユーザを作成します。

証明書の追加

Objects > Certificates > Add Internal Certificateに移動します。 図に示すように、証明書を設定します。

図に示すように、証明書と秘密キーの両方をアップロードします。

図に示すように、証明書とキーはコピーアンドペーストするか、各ファイルのアップロードボタンを使用してアップロードできます。

リモートアクセスVPNの設定

Remote Access VPN > Create Connection Profileに移動します。 図に示すように、FDMでRA VPNウィザードを移動します。

図に示すように、接続プロファイルを作成し、設定を開始します。

図に示すように、認証方式を選択します。このガイドでは、ローカル認証を使用します。

図に示すように、Anyconnect_Poolオブジェクトを選択します。

デフォルトのグループポリシーの要約が次のページに表示されます。ドロップダウンをクリックし、Create a new Group Policyのオプションを選択すると、新しいグループポリシーを作成できます。このガイドでは、デフォルトのグループポリシーを使用します。図に示すように、ポリシーの上部にある編集オプションを選択します。

グループポリシーで、スプリットトンネリングを追加します。これにより、Anyconnectに接続されたユーザはAnyconnectクライアントを介して内部FTDネットワーク宛てのトラフィックのみを送信し、その他のすべてのトラフィックは図に示すようにユーザのISP接続から送信されます。

次のページで、証明書セクションに追加したAnyconnect_Certificateを選択します。 次に、FTDがAnyConnect接続をリッスンするインターフェイスを選択します。 復号化されたトラフィックのバイパスアクセスコントロールポリシー(sysopt permit-vpn)を選択します。sysopt permit-vpnが選択されていない場合、このコマンドはオプションです。図に示すように、Anyconnectクライアントからのトラフィックが内部ネットワークにアクセスすることを許可するアクセスコントロールポリシーを作成する必要があります。

NAT免除は、Policies > NATで手動で設定するか、ウィザードで自動的に設定することができます。図に示すように、Anyconnectクライアントがアクセスするために必要な内部インターフェイスとネットワークを選択します。

図に示すように、ユーザが接続できる各オペレーティングシステム(Windows/Mac/Linux)のAnyconnectパッケージを選択します。

最後のページには、設定全体の概要が表示されます。正しいパラメータが設定されていることを確認し、「Finish」ボタンをクリックして新しい設定を導入します。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

設定を展開したら、接続を試みます。FTDの外部IPに解決されるFQDNがある場合は、Anyconnect接続ボックスに入力します。この例では、FTDの外部IPアドレスが使用されます。図に示すように、FDMのオブジェクト・セクションで作成したユーザー名/パスワードを使用します。

FDM 6.5.0では、FDM GUIを使用してAnyconnectユーザを監視する方法はありません。唯一のオプションは、CLIを介してAnyconnectユーザをモニタすることです。FDM GUIのCLIコンソールを使用して、ユーザーが接続されていることを確認することもできます。このコマンドを使用すると、 Show vpn-sessiondb anyconnect.

同じコマンドをCLIから直接実行できます。

> show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : Anyconnect_User        Index        : 15
Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
Bytes Tx     : 38830                  Bytes Rx     : 172
Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
Login Time   : 01:08:10 UTC Thu Apr 9 2020
Duration     : 0h:00m:53s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none                   Tunnel Zone  : 0

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

ユーザがSSLを使用してFTDに接続できない場合、SSLネゴシエーションの問題を切り分けるために次の手順を実行します。

1. FTDの外部のIPアドレスに対して、ユーザのコンピュータからpingを実行できることを確認します。
2. TCP 3ウェイハンドシェイクが正常に行われたかどうかを確認するには、外部スニファを使用します。

AnyConnectクライアントの問題

このセクションでは、AnyConnect VPN Clientに関する2つの最も一般的な問題のトラブルシューティングのガイドラインを示します。AnyConnectクライアントのトラブルシューティングガイドは、『AnyConnect VPN Client Troubleshooting Guide』を参照してください。

初期接続の問題

ユーザの初期接続に問題がある場合は、FTDでdebugwebvpn AnyConnectを有効にし、デバッグメッセージを分析します。デバッグは、FTDのCLIで実行する必要があります。debug webvpn anyconnect 255コマンドを使用します。

AnyConnectからログを取得するには、クライアントマシンからDARTバンドルを収集します。DARTバンドルの収集方法については、「DARTバンドルの収集」を参照してください。

トラフィック固有の問題

接続は成功するが、トラフィックがSSL VPNトンネルで失敗する場合は、クライアントのトラフィック統計情報を調べて、トラフィックがクライアントによって送受信されていることを確認します。詳細なクライアント統計情報は、AnyConnectのすべてのバージョンで使用できます。クライアントがトラフィックの送受信を示している場合は、FTDで送受信されたトラフィックを確認します。FTDがフィルタを適用すると、フィルタ名が表示され、トラフィックがドロップされているかどうかを確認するためにACLエントリを調べることができます。ユーザが経験する一般的なトラフィックの問題は次のとおりです。

• FTDのルーティングの問題：内部ネットワークが割り当てられたIPアドレスとVPNクライアントにパケットをルーティングできません
• トラフィックをブロックするアクセスコントロールリスト
• VPNトラフィック用にNetwork Address Translation（NAT；ネットワークアドレス変換）がバイパスされていない

FDMによって管理されるFTDでのリモートアクセスVPNの詳細については、フル・コンフィギュレーション・ガイド(FDMによって管理されるリモートアクセスFTD)を参照してください。