AnyConnect FlexVPN configureren met EAP- en DUO-verificatie
Inhoud
Inleiding
Dit document beschrijft hoe u externe tweevoudige verificatie voor AnyConnect IPSec-verbinding met een Cisco IOS® XE-router kunt configureren.
Bijgedragen door Sadhana K.S. en Rishabh Aggarwal Cisco TAC Engineers.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Ervaring met RA VPN-configuratie op een router
- Beheer van Identity Services Engine (ISE)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 8000V (C800V) actieve versie 17.10.01a
- Cisco AnyConnect Secure Mobility-clientversie 4.10.04071
- Cisco ISE-softwareversie 3.1.0
- Duo-verificatieproxyserver (Windows 10 of een Linux-pc)
- Duo-webaccount
- Clientpc met geïnstalleerde AnyConnect
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Verificatiestroom
AnyConnect-gebruiker verifieert met een gebruikersnaam en wachtwoord op de ISE-server. De Duo Authenticatie Proxy server stuurt ook een extra authenticatie in de vorm van een push-melding naar het mobiele apparaat van de gebruiker.
Stroomdiagram
Verificatiestroomdiagram
Communicatieproces
- De gebruiker start een RAVPN verbinding met de C800V en geeft een gebruikersnaam en wachtwoord voor Primaire verificatie.
- De C800V stuurt een verificatieaanvraag naar de Duo-verificatieproxy.
- Duo Authenticatieproxy stuurt vervolgens het primaire verzoek naar de Active Directory of RADIUS server.
- De verificatiereactie wordt teruggestuurd naar de verificatieproxy.
- Zodra de primaire authenticatie succesvol is, vraagt de Duo authenticatie proxy een secundaire authenticatie aan via de Duo server.
- De Duo-service verifieert vervolgens de gebruiker, afhankelijk van de secundaire verificatiemethode (push, telefoongesprek, wachtcode).
- Duo authenticatie proxy ontvangt de authenticatiereactie.
- Het antwoord wordt naar de C800V verzonden.
- Indien geslaagd, wordt de AnyConnect-verbinding tot stand gebracht.
Configureren
Om de configuratie te voltooien, neem deze secties in overweging.
Configuratiestappen voor C800V (VPN Head-end)
1. Configureer de RADIUS-server. Het IP-adres van de RADIUS-server moet het IP-adres van de Duo-verificatieproxy zijn.
radius server rad_server
address ipv4 10.197.243.97 auth-port 1812 acct-port 1813
timeout 120
key cisco
2. De RADIUS-server configureren als aaa authenticatie en autorisatie als lokaal.
aaa new-model
aaa group server radius FlexVPN_auth_server
server name rad_server
aaa authentication login FlexVPN_auth group FlexVPN_auth_server
aaa authorization network FlexVPN_authz local
3. Maak een Trustpoint om het identiteitscertificaat te installeren, als dit nog niet bestaat voor lokale verificatie. U kunt verwijzen naar Certificaatinschrijving voor een PKI voor meer informatie over het maken van het certificaat.
crypto pki trustpoint TP_AnyConnect
enrollment url http://x.x.x.x:80/certsrv/mscep/mscep.dll
usage ike
serial-number none
fqdn flexvpn-C8000V.cisco.com
ip-address none
subject-name cn=flexvpn-C8000V.cisco.com
revocation-check none
rsakeypair AnyConnect
4. (Optioneel) Configureer een standaardtoegangslijst die voor de gesplitste tunnel moet worden gebruikt. Deze toegangslijst bestaat uit de doelnetwerken die toegankelijk zijn via de VPN-tunnel. In de standaardinstelling passeert al het verkeer door de VPN-tunnel als de gesplitste tunnel niet is geconfigureerd.
ip access-list standard split-tunnel-acl
10 permit 192.168.11.0 0.0.0.255
20 permit 192.168.12.0 0.0.0.255
5. Maak een IPv4-adresgroep aan.
ip local pool SSLVPN_POOL 192.168.13.1 192.168.13.10
De IP-adressengroep die is gemaakt, wijst een IPv4-adres toe aan de AnyConnect-client tijdens een succesvolle AnyConnect-verbinding.
6. Configureer een autorisatiebeleid.
crypto ikev2 authorization policy ikev2-authz-policy
pool SSLVPN_POOL
dns 10.106.60.12
route set access-list split-tunnel-acl
De IP-pool, DNS, lijst met gesplitste tunnels, enzovoort worden gespecificeerd onder het autorisatiebeleid.
Opmerking: als het aangepaste IKEv2-autorisatiebeleid niet is geconfigureerd, wordt het standaard autorisatiebeleid genaamd 'standaard' gebruikt voor autorisatie. De attributen die onder het IKEv2-autorisatiebeleid worden opgegeven, kunnen ook via de RADIUS-server worden gedrukt.
7. Configureer een IKEv2-voorstel en -beleid.
crypto ikev2 proposal FlexVPN_IKEv2_Proposal
encryption aes-cbc-128
integrity sha384
group 19
crypto ikev2 policy FlexVPN_IKEv2_Policy
match fvrf any
proposal FlexVPN_IKEv2_Proposal
8. Upload het AnyConnect-clientprofiel naar de opstartflitser van de router en definieer het profiel als gegeven:
crypto vpn anyconnect profile Client_Profile bootflash:/Client_Profile.xml
9. Schakel de beveiligde HTTP-server uit.
no ip http secure-server
10. Configureer het SSL-beleid en specificeer het WAN IP van de router als het lokale adres voor het downloaden van het profiel.
crypto ssl policy ssl-server
pki trustpoint TP_AnyConnect sign
ip address localport 443
11. Configureer een virtuele sjabloon waaruit de virtuele toegang intinterfaces worden gekloond
interface Virtual-Template20 type tunnel
ip unnumbered GigabitEthernet1
De ongenummerde opdracht krijgt het IP-adres van de geconfigureerde interface (Gigabit Ethernet1).
13. Configureer een IKEv2-profiel dat alle verbindingsrelaties bevatd informatie.
crypto ikev2 profile Flexvpn_ikev2_Profile
match identity remote any
authentication local rsa-sig
authentication remote eap query-identity
pki trustpoint TP_AnyConnect
dpd 60 2 on-demand
aaa authentication eap FlexVPN_auth
aaa authorization group eap list FlexVPN_authz ikev2-authz-policy
aaa authorization user eap cached
virtual-template 20 mode auto
anyconnect profile Client_Profile
Deze worden gebruikt in het IKEv2-profiel:
match identity remote any- Verwijst naar de identiteit van de cliënt. Hier is 'elke' zo geconfigureerd dat elke client met de juiste referenties verbinding kan makenauthentication remote- Geeft aan dat EAP-protocol moet worden gebruikt voor clientverificatieauthentication local- Vermeldingen dat certificaten moeten worden gebruikt voor lokale authenticatieaaa authentication eap- Tijdens EAP-verificatie: de RADIUS-serverFlexVPN_authwordt gebruiktaaa authorization group eap list- Tijdens de autorisatie, de netwerklijstFlexVPN_authzgebruikt met het autorisatiebeleidikev2-authz-policyaaa authorization user eap cached- Maakt impliciete gebruikersautorisatie mogelijkvirtual-template 20 mode auto- Bepaalt welke virtuele sjabloon moet worden geklonkenanyconnect profile Client_Profile- Het clientprofiel dat is gedefinieerd in Stap 8. wordt hier toegepast op dit IKEv2-profiel
14. Configureer een transformatieset en een IPSec-profiel.
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
crypto ipsec profile Flexvpn_IPsec_Profile
set transform-set TS
set ikev2-profile Flexvpn_ikev2_Profile
15. Voeg het IPSec-profiel toe aan de virtuele sjabloon.
interface Virtual-Template20 type tunnel
tunnel mode ipsec ipv4
tunnel protection ipsec profile Flexvpn_IPsec_Profile
Snippet van het clientprofiel (XML-profiel)
Voorafgaand aan Cisco IOS XE 16.9.1 zijn automatische profieldownloads vanaf de head-end niet beschikbaar. Post 16.9.1, is het mogelijk om het profiel van het kopstuk te downloaden.
!
!
false
true
false
All
All
false
Native
false
30
false
true
false
false
true
IPv4,IPv6
true
ReconnectAfterResume
false
true
Automatic
SingleLocalLogon
SingleLocalLogon
AllowRemoteUsers
LocalUsersOnly
false
Automatic
false
false
20
4
false
false
true
<ServerList>
<HostEntry>
<HostName>FlexVPN</HostName>
<HostAddress>flexvpn-csr.cisco.com</HostAddress>
<PrimaryProtocol>IPsec
<StandardAuthenticationOnly>true
<AuthMethodDuringIKENegotiation>EAP-MD5</AuthMethodDuringIKENegotiation>
</StandardAuthenticationOnly>
</PrimaryProtocol>
</HostEntry>
</ServerList>
Configuratiestappen voor DUO-verificatieproxy
Opmerking: Duo Authenticatieproxy ondersteunt MS-CHAPv2 alleen met RADIUS-verificatie.
Stap 1. Duo-verificatieproxyserver downloaden en installeren
Log in op de Windows-machine en installeer de Duo Verification Proxy-server.
Aanbevolen wordt een systeem te gebruiken met minimaal 1 CPU, 200 MB schijfruimte en 4 GB RAM.
Stap 2. Naar navigeren C:\Program Files\Duo Security Authentication Proxy\conf\ en open authproxy.cfg om de authenticatieproxy te configureren met de juiste gegevens.
[radius_client]
host=10.197.243.116
secret=cisco
Opmerking: hier is '10.197.243.116' het IP-adres van de ISE-server en 'cisco' is het wachtwoord dat is ingesteld om de primaire verificatie te valideren.
Nadat u deze wijzigingen hebt aangebracht, slaat u het bestand op.
Stap 3. Open (Openstaand) Windows-servicesconsole (services.msc). En opnieuw opstarten Duo Security Authentication Proxy Service.
Duo Security verificatie-proxyservice
Configuratiestappen op ISE
Stap 1. Naar navigeren Administration > Network Devices, en klik opAdd om het netwerkapparaat te configureren.
Opmerking: vervangen x.x.x.x met het IP-adres van uw Duo Verification Proxy-server.
ISE - netwerkapparaten
Stap 2. Configureer de Shared Secret zoals vermeld in het authproxy.cfg in secret:
ISE - gedeeld geheim
Stap 3. Naar navigeren Administration > Identities > Users.Kiezen AddZo configureert u de gebruiker Identity voor AnyConnect Primaire verificatie:
ISE - gebruikers
Configuratiestappen op DUO-beheerportal
Stap 1. Meld u aan bij uw Duo-account.
Naar navigeren Applications > Protect an Application. Klik op de knop Protect voor de toepassing die u wilt gebruiken. (RADIUS in dit geval)
DUO - toepassing
Stap 2. Klik op de knop Protect voor de toepassing die u wilt gebruiken. (RADIUS in dit geval)
Kopieert de integratiesleutel, de geheime sleutel en de API-hostnaam en plakt deze op de authproxy.cfgvan de Duo-verificatieproxy.
DUO - RADIUS
Kopieer deze waarden en navigeer terug naar de DUO-verificatieproxy en open de authproxy.cfgen plak de getoonde waarden:
Integratiesleutel = ikey
geheime sleutel = sleutel
API-hostnaam = api_host
[radius_server_auto]
ikey=xxxxxxxx
skey=xxxxxxxv1zG
api_host=xxxxxxxx
radius_ip_1=10.106.54.143
radius_secret_1=cisco
failmode=safe
client=radius_client
port=1812
Opmerking: de sleutel, sleutel en api_host moeten gekopieerd worden van de Duo-server wanneer u de server configureert, en '10.106.54.143' is het IP-adres van de C8000V-router en 'cisco' is de sleutel die op de router geconfigureerd is onder de radius serverconfiguratie.
Nadat u deze wijzigingen hebt aangebracht, slaat u het bestand opnieuw op en start u Duo Security Verification Proxy Service opnieuw (in services.msc).
Stap 3. Gebruikers maken op DUO voor secundaire verificatie.
Naar navigeren Users > Add Useren typ de gebruikersnaam.
Opmerking: de gebruikersnaam moet overeenkomen met de gebruikersnaam voor de primaire verificatie.
Klik op de knop Add User. Eenmaal gemaakt, onder Phones, cveeg Add Phone, voer het telefoonnummer in en klik op Add Phone.
DUO - telefoon toevoegen
Kies het type verificatie.
DUO - Apparaatgegevens
Kiezen Generate Duo Mobile Activation Code.
DUO - telefoon activeren
Kiezen Send Instructions by SMS.
DUO - Verzend SMS
Klik op de link die naar de telefoon wordt gestuurd en de DUO-app wordt gekoppeld aan de gebruikersaccount in de Device Info doorsnede, zoals in het beeld:
DUO - apparaat gekoppeld
Verifiëren
Om de verificatie te testen, maakt u via AnyConnect verbinding met de C800V vanaf de pc van de gebruiker.
Typ de gebruikersnaam en het wachtwoord voor de primaire verificatie.
AnyConnect-verbinding
Dan, accepteer de DUO duwt op de mobiele.
DUO Push
De verbinding is tot stand gebracht.
U kunt dit verifiëren op de VPN head-end:
1. IKEv2 parameters
R1#sh crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.106.54.143/4500 10.197.243.98/54198 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA384, Hash: SHA384, DH Grp:19, Auth sign: RSA, Auth verify: FlexVPN-ikev2_Profile
Life/Active Time: 86400/147 sec
CE id: 1108, Session-id: 15
Status Description: Negotiation done
Local spi: 81094D322A295C92 Remote spi: 802F3CC9E1C33C2F
Local id: 10.106.54.143
Remote id: cisco.com
Remote EAP id: sadks //AnyConnect username
Local req msg id: 0 Remote req msg id: 10
Local next msg id: 0 Remote next msg id: 10
Local req queued: 0 Remote req queued: 10
Local window: 5 Remote window: 1
DPD configured for 60 seconds, retry 2
Fragmentation not configured.
Dynamic Route Update: disabled
Extended Authentication not configured.
NAT-T is detected outside
Cisco Trust Security SGT is disabled
Assigned host addr: 192.168.13.5 //Assigned IP address from the address pool
Initiator of SA : No
2. Crypto session detail for the vpn session
R1#sh crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect, U - IKE Dynamic Route Update
S - SIP VPN
Interface: Virtual-Access2
Profile: FlexVPN-ikev2_Profile
Uptime: 00:01:07
Session status: UP-ACTIVE
Peer: 10.197.243.97 port 54198 fvrf: (none) ivrf: (none)
Phase1_id: cisco.com
Desc: (none)
Session ID: 114
IKEv2 SA: local 10.106.54.143/4500 remote 10.197.243.98/54198 Active
Capabilities:DN connid:1 lifetime:23:58:53
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.13.5
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 3 drop 0 life (KB/Sec) 4607998/3532
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4608000/3532
3.Verification on ISE live logs
Naar navigeren Operations > Live Logs in ISE. U kunt het verificatierapport voor de primaire verificatie bekijken.
ISE - Live logs
4. Verification on DUO authentication proxy
Navigeer naar dit bestand op de DUO-verificatieproxy. C:\Program Files\Duo Security Authentication Proxy\log
2022-02-08T23:24:50.080854+0530 [duoauthproxy.lib.log#info] Sending request from 10.106.54.143 to radius_server_auto //10.106.54.143 IP address of C8000V
2022-02-08T23:24:50.080854+0530 [duoauthproxy.lib.log#info] Received new request id 163 from ('10.106.54.143', 1645)
2022-02-08T23:24:50.080854+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 163): login attempt for username 'sadks'
2022-02-08T23:24:50.080854+0530 [duoauthproxy.lib.log#info] Sending request for user 'sadks' to ('10.197.243.116', 1812) with id 191 //Primary auth sent to ISE 10.197.243.116
2022-02-08T23:24:50.174606+0530 [duoauthproxy.lib.log#info] Got response for id 191 from ('10.197.243.116', 1812); code 2 //ISE auth successful
2022-02-08T23:24:50.174606+0530 [duoauthproxy.lib.log#info] http POST to https://api-xxxx[.]duosecurity[.]com:443/rest/v1/preauth
2022-02-08T23:24:50.174606+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: b'https://api-xxxx[.]duosecurity[.]com:443/rest/v1/preauth '>
2022-02-08T23:24:51.753590+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 163): Got preauth result for: 'auth'
2022-02-08T23:24:51.753590+0530 [duoauthproxy.lib.log#info] http POST to https://api-xxxx[.]duosecurity[.]com:443/rest/v1/auth // Proxy is sending secondary auth request to DUO server
2022-02-08T23:24:51.753590+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: b'https://api-xxxx[.]duosecurity[.]com:443/rest/v1/auth '>
2022-02-08T23:24:51.753590+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: b'https://api-xxxx[.]duosecurity[.]com:443/rest/v1/preauth '>
2022-02-08T23:24:59.357413+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 163): Duo authentication returned 'allow': 'Success. Logging you in...'
2022-02-08T23:24:59.357413+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 163): Returning response code 2: AccessAccept //DUO push successful
2022-02-08T23:24:59.357413+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 163): Sending response
2022-02-08T23:24:59.357413+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: b'https://api-xxxx[.]duosecurity[.]com:443/rest/v1/auth '>
Problemen oplossen
- Debugs op C800V.
Voor IKEv2:
debug crypto ikev2debug crypto ikev2 client flexvpndebug crypto ikev2 internaldebug crypto ikev2 packetdebug crypto ikev2 error
Voor IPSec:
debug crypto ipsecdebug crypto ipsec error
2. Voor de DUO-verificatieproxy controleert u het logbestand proxy-relaterend logs. (C:\Program Files\Duo Security Authentication Proxy\log)
Het fragment voor een foutenlogboek waar ISE de primaire verificatie afwijst wordt weergegeven:
2022-02-07T13:01:39.589679+0530 [duoauthproxy.lib.log#info] Sending proxied request for id 26 to ('10.197.243.116', 1812) with id 18
2022-02-07T13:01:39.589679+0530 [duoauthproxy.lib.log#info] Got response for id 18 from ('10.197.243.116', 1812); code 3
2022-02-07T13:01:39.589679+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 26): Primary credentials rejected - No reply message in packet
2022-02-07T13:01:39.589679+0530 [duoauthproxy.lib.log#info] (('10.106.54.143', 1645), sadks, 26): Returning response code 3: AccessReject
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
26-Jun-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)