在FDM管理的FTD上配置远程访问VPN

简介

本文档介绍如何在运行版本6.5.0及更高版本的机上管理器FDM管理的FTD上配置RA VPN部署。

先决条件

要求

思科建议您掌握Firepower设备管理器(FDM)上的远程访问虚拟专用网络(RA VPN)配置知识。

许可

• Firepower威胁防御(FTD)在启用了导出控制功能的智能许可门户中注册（以便启用RA VPN配置选项卡）
• 任何已启用的AnyConnect许可证（APEX、Plus或仅VPN）

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行版本6.5.0-115的Cisco FTD
• Cisco AnyConnect Secure Mobility Client 版本 4.7.01076

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

当通过同一接口访问管理时，如果尝试通过外部接口为AnyConnect客户端建立连接，则通过FDM配置FTD会遇到困难。这是FDM的已知限制。已针对此问题提交了增强请求Cisco Bug ID CSCvm76499。

配置

网络图

使用本地的AnyConnect客户端身份验证。

验证FTD上的许可

步骤1:验证设备是否已注册到智能许可，如图所示：

第二步： 验证设备上是否已启用AnyConnect许可证，如图所示。

第三步： 验证是否在令牌中启用了导出控制功能（如图所示）：

定义受保护的网络

导航到Objects > Networks > Add new Network。通过FDM GUI配置VPN池和LAN网络。 创建VPN池以用于AnyConnect用户的本地地址分配，如图所示：

在FDM设备后面为本地网络创建对象，如图所示：

创建本地用户

导航到Objects > Users > Add User。添加通过Anyconnect连接到FTD的VPN本地用户。创建本地用户，如图所示：

添加证书

导航到Objects > Certificates > Add Internal Certificate。 配置证书，如图所示：

上传证书和私钥，如图所示：

证书和密钥可以通过复制和粘贴或每个文件的上传按钮上传，如图所示：

配置远程访问VPN

导航到Remote Access VPN > Create Connection Profile。 在FDM上浏览RA VPN向导，如图所示：

创建连接配置文件并启动配置，如图所示：

选择身份验证方法，如图所示。本指南使用本地身份验证。

选择Anyconnect_Pool该对象，如图所示：

默认组策略的摘要显示在下一页。单击下拉菜单并选择Create a new Group Policy选项，可以创建新的组策略。在本指南中，使用默认组策略。选择策略顶部的编辑选项，如图所示：

在组策略中添加分割隧道，以便连接到Anyconnect的用户仅通过Anyconnect客户端发送目标为内部FTD网络的流量，而所有其他流量均流出用户的ISP连接，如图所示：

在下一页上，选择证书部分中添加的Anyconnect_Certificate。 接下来，选择FTD侦听AnyConnect连接的接口。 选择用于已解密流量的绕行访问控制策略(sysopt permit-vpn)。如果未选择sysopt permit-vpn，则这是可选命令。必须创建访问控制策略，以允许来自Anyconnect客户端的流量访问内部网络，如图所示：

可以在Policies > NAT下手动配置NAT免除，也可以通过向导自动配置NAT。选择Anyconnect客户端访问所需的内部接口和网络，如图所示。

为用户可连接的每个操作系统(Windows/Mac/Linux)选择Anyconnect软件包，如图所示。

最后一页提供了整个配置的摘要。确认已设置正确的参数，然后点击“完成”按钮并部署新配置。

验证

使用本部分可确认配置能否正常运行。

部署配置后，尝试连接。如果您具有解析为FTD的外部IP的FQDN，请在Anyconnect连接框中输入该FQDN。在本例中，使用FTD的外部IP地址。使用在FDM的“对象”部分中创建的用户名/密码，如图所示。

从FDM 6.5.0开始，无法通过FDM GUI监控Anyconnect用户。唯一的选项是通过CLI监控Anyconnect用户。FDM GUI的CLI控制台也可用于验证用户是否已连接。使用此命令， Show vpn-sessiondb anyconnect.

同一命令可直接从CLI运行。

> show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : Anyconnect_User        Index        : 15
Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
Bytes Tx     : 38830                  Bytes Rx     : 172
Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
Login Time   : 01:08:10 UTC Thu Apr 9 2020
Duration     : 0h:00m:53s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000f0005e8e757a
Security Grp : none                   Tunnel Zone  : 0

故障排除

本部分提供可用于对配置进行故障排除的信息。

如果用户无法使用SSL连接到FTD，请执行以下步骤隔离SSL协商问题：

1. 验证可以通过用户的计算机对FTD之外的IP地址执行ping操作。
2. 使用外部嗅探器验证TCP三次握手是否成功。

AnyConnect客户端问题

本部分提供了对两个最常见的AnyConnect VPN客户端问题进行故障排除的指南。AnyConnect客户端故障排除指南位于：AnyConnect VPN客户端故障排除指南。

初始连接问题

如果用户存在初始连接问题，请在FTD上启用debugwebvpn AnyConnect并分析调试消息。必须在FTD的CLI上运行调试。使用命令.debug webvpn anyconnect 255

从客户端计算机收集DART捆绑包，以便从AnyConnect获取日志。有关如何收集DART捆绑包的说明，请参阅：收集DART捆绑包。

特定流量问题

如果连接成功，但流量在SSL VPN隧道上失败，请查看客户端上的流量统计信息，以验证客户端正在接收和传输流量。所有版本的AnyConnect均提供详细的客户端统计信息。如果客户端显示正在发送和接收流量，请检查FTD中是否有已接收和已传输的流量。如果FTD应用过滤器，则将显示过滤器名称，您可以查看ACL条目以检查您的流量是否被丢弃。用户遇到的常见流量问题包括：

• FTD背后的路由问题-内部网络无法将数据包路由回分配的IP地址和VPN客户端
• 访问控制列表阻止流量
• VPN流量未绕过网络地址转换

有关由FDM管理的FTD上的远程访问VPN的详细信息，请在此处查找完整的配置指南：由FDM管理的远程访问FTD。