Académique Documents
Professionnel Documents
Culture Documents
VPN FTD
INTRODUCTION
Remote access VPN (VPN d'accès à distance) signifie que les utilisateurs distants
peuvent se connecter à votre réseau, depuis n'importe où : à la maison, en voyage,
en transit une fois qu’ils ont un accès à Internet. Ils ont accès à toutes les ressources
du réseau de manière toujours sécurisée, même s’ils utilisent un “Wifi public”.
Le FTD est une image logicielle unifiée qui peut être installée sur les plateformes suivantes :
Exigences
Cisco recommande que vous ayez connaissance de ces sujets :
Composants utilisés
Les informations contenues dans ce document sont basées sur ces versions logicielles et
matérielles :
Configuration
1. Prérésiquites
Pour passer par l'assistant d'accès à distance dans Firepower Management Center, vous devez
d'abord suivre ces étapes :
Les certificats sont essentiels lorsque vous configurez AnyConnect. Seuls les certificats basés sur
RSA sont pris en charge dans SSL et IPSec. Les certificats ECDSA (Elliptic Curve Digital Signature
Algorithm) sont pris en charge dans IPSec, mais il n'est pas possible de déployer un nouveau
package AnyConnect ou un nouveau profil XML lorsqu'un certificat basé sur ECDSA est utilisé. Cela
signifie que vous pouvez l'utiliser pour IPSec, mais vous devrez pré déployer le package AnyConnect
et le profil XML à chaque utilisateur et toute modification du profil XML devra être reflétée
manuellement sur chaque client. De plus, le certificat doit avoir l'extension Subject Alternative Name
avec un nom DNS et / ou une adresse IP pour éviter les erreurs dans les navigateurs Web.
Il existe plusieurs méthodes pour obtenir un certificat sur l'appliance FTD, mais la plus sûre et la plus
simple consiste à créer une demande de signature de certificat (CSR), à la signer, puis à importer le
certificat émis pour la clé publique, qui était en CSR. Voici comment procéder :
● Accédez à Objets > Gestion des objets > PKI > Inscription de certificat, cliquez sur
Ajouter une inscription de certificat :
● Sélectionnez le type d'inscription et collez le certificat de l'autorité de certification (CA),
● Ensuite, allez dans le deuxième onglet et sélectionnez FQDN personnalisé et remplissez
tous les champs nécessaires, par exemple :
● Dans le troisième onglet, sélectionnez le type de clé, choisissez le nom et la taille. Pour
RSA, 2048 octets est minimum.
● Cliquez sur Enregistrer et accédez à Périphériques > Certificats > Ajouter > Nouveau
certificat. Sélectionnez ensuite Device, puis sous Cert Enrollment, sélectionnez le point
de confiance que vous venez de créer, cliquez sur Add
● Plus tard, à côté du nom du point de confiance, cliquez sur l' icône, puis sur Oui , puis
copiez CSR vers CA et signez-le. Le certificat doit avoir des attributs comme serveur
HTTPS normal.
● Après avoir reçu le certificat de l'autorité de certification au format base64, sélectionnez-le
sur le disque et cliquez sur Importer. Lorsque cela réussit, vous devriez voir :
Sur FTD Platform, la base de données d'utilisateurs locale ne peut pas être utilisée, vous avez donc
besoin d'un serveur RADIUS ou LDAP pour l'authentification des utilisateurs. Pour configurer RADIUS
:
● Accédez à Objets > Gestion des objets > Groupe de serveurs RADIUS > Ajouter un
groupe de serveurs RADIUS.
● Remplissez le nom et ajoutez l'adresse IP avec le secret partagé, cliquez sur Enregistrer :
●
● Après cela, vous devriez voir le serveur sur la liste:
● Accédez à Objets > Gestion des objets > Pools d'adresses > Ajouter des pools IPv4 :
● Mettez le nom et la plage, le masque n'est pas nécessaire :
● Lorsque tout est correctement configuré, vous pouvez cliquer sur Terminer puis sur
Déployer :
● Cela copiera la configuration complète ainsi que les certificats et les packages AnyConnect
vers l'appliance FTD.
Connexion
Pour vous connecter à FTD, vous devez ouvrir un navigateur, tapez le nom DNS ou l'adresse IP
pointant vers l'interface extérieure, dans cet exemple https://vpn.cisco.com . Vous devrez ensuite
vous connecter à l'aide des informations d'identification stockées sur le serveur RADIUS et suivre les
instructions à l'écran. Une fois AnyConnect installé, vous devez alors mettre la même adresse dans la
fenêtre AnyConnect et cliquer sur Connecter.