ANYCONNECT REMOTE ACCESS

VPN FTD
INTRODUCTION
Remote access VPN (VPN d'accès à distance) signifie que les utilisateurs distants
peuvent se connecter à votre réseau, depuis n'importe où : à la maison, en voyage,
en transit une fois qu’ils ont un accès à Internet. Ils ont accès à toutes les ressources
du réseau de manière toujours sécurisée, même s’ils utilisent un “Wifi public”.

Le FTD est une image logicielle unifiée qui peut être installée sur les plateformes suivantes :

● ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X

● ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
● FPR4100, FPR9300
● VMware (ESXi)
● Amazon Web Services (AWS)
● KVM
● Module de routeur ISR

Ce document fournit un exemple de configuration pour Firepower Threat Defense (FTD)

version 6.2.2 et ultérieures, qui permet à un VPN d'accès distant d'utiliser Transport Layer
Security (TLS) et Internet Key Exchange version 2 (IKEv2). En tant que client, Cisco
AnyConnect sera utilisé, ce qui est pris en charge sur plusieurs plates-formes.

Exigences
Cisco recommande que vous ayez connaissance de ces sujets :

● Connaissance de base de VPN, TLS et IKEv2

● Authentification de base, autorisation et comptabilité (AAA) et connaissances RADIUS
● Expérience avec Firepower Management Center

Composants utilisés
Les informations contenues dans ce document sont basées sur ces versions logicielles et
matérielles :

● Cisco FTD 6.2.2

● AnyConnect 4.5

Configuration

1. Prérésiquites
Pour passer par l'assistant d'accès à distance dans Firepower Management Center, vous devez
d'abord suivre ces étapes :

● Créer un certificat utilisé pour l'authentification du serveur,

● Configurer le serveur RADIUS ou LDAP pour l'authentification des utilisateurs,
● Créer un pool d'adresses pour les utilisateurs VPN,
● Télécharger des images AnyConnect pour différentes plates-formes.

a) importer un certificat SSL

Les certificats sont essentiels lorsque vous configurez AnyConnect. Seuls les certificats basés sur
RSA sont pris en charge dans SSL et IPSec. Les certificats ECDSA (Elliptic Curve Digital Signature
Algorithm) sont pris en charge dans IPSec, mais il n'est pas possible de déployer un nouveau
package AnyConnect ou un nouveau profil XML lorsqu'un certificat basé sur ECDSA est utilisé. Cela
signifie que vous pouvez l'utiliser pour IPSec, mais vous devrez pré déployer le package AnyConnect
et le profil XML à chaque utilisateur et toute modification du profil XML devra être reflétée
manuellement sur chaque client. De plus, le certificat doit avoir l'extension Subject Alternative Name
avec un nom DNS et / ou une adresse IP pour éviter les erreurs dans les navigateurs Web.

Il existe plusieurs méthodes pour obtenir un certificat sur l'appliance FTD, mais la plus sûre et la plus
simple consiste à créer une demande de signature de certificat (CSR), à la signer, puis à importer le
certificat émis pour la clé publique, qui était en CSR. Voici comment procéder :

● Accédez à Objets > Gestion des objets > PKI > Inscription de certificat, cliquez sur
Ajouter une inscription de certificat :
● Sélectionnez le type d'inscription et collez le certificat de l'autorité de certification (CA),
● Ensuite, allez dans le deuxième onglet et sélectionnez FQDN personnalisé et remplissez
tous les champs nécessaires, par exemple :
● Dans le troisième onglet, sélectionnez le type de clé, choisissez le nom et la taille. Pour
RSA, 2048 octets est minimum.
● Cliquez sur Enregistrer et accédez à Périphériques > Certificats > Ajouter > Nouveau
certificat. Sélectionnez ensuite Device, puis sous Cert Enrollment, sélectionnez le point
de confiance que vous venez de créer, cliquez sur Add
 ● Plus tard, à côté du nom du point de confiance, cliquez sur l' icône, puis sur Oui , puis
copiez CSR vers CA et signez-le. Le certificat doit avoir des attributs comme serveur
HTTPS normal.
● Après avoir reçu le certificat de l'autorité de certification au format base64, sélectionnez-le
sur le disque et cliquez sur Importer. Lorsque cela réussit, vous devriez voir :

b) configurer le serveur RADIUS

Sur FTD Platform, la base de données d'utilisateurs locale ne peut pas être utilisée, vous avez donc
besoin d'un serveur RADIUS ou LDAP pour l'authentification des utilisateurs. Pour configurer RADIUS
:

● Accédez à Objets > Gestion des objets > Groupe de serveurs RADIUS > Ajouter un
groupe de serveurs RADIUS.
● Remplissez le nom et ajoutez l'adresse IP avec le secret partagé, cliquez sur Enregistrer :
●
 ● Après cela, vous devriez voir le serveur sur la liste:

c) création d'un pool d'adresses pour les utilisateurs VPN

● Accédez à Objets > Gestion des objets > Pools d'adresses > Ajouter des pools IPv4 :
● Mettez le nom et la plage, le masque n'est pas nécessaire :

d) création d'un profil XML

● Téléchargez Profile Editor sur le site Cisco et ouvrez-le.

● Accédez à la liste des serveurs > Ajouter ...
 ● Mettez le nom d'affichage et le nom de domaine complet. Vous devriez voir des entrées
dans la liste des serveurs :

● Cliquez sur OK et Fichier > Enregistrer sous ...

e) télécharger des images AnyConnect

● Téléchargez les images du pack sur le site Cisco.

● Accédez à Objets > Gestion des objets > VPN > Fichier AnyConnect > Ajouter un
fichier AnyConnect .
● Tapez le nom et sélectionnez le fichier PKG à partir du disque, cliquez sur Enregistrer :

● Ajoutez plus de packages en fonction de vos besoins.

2. Assistant d'accès à distance

● Accédez à Appareils > VPN > Accès à distance > Ajouter une nouvelle configuration .
● Nommez le profil selon vos besoins, sélectionnez l'appareil FTD:

● À l'étape Profil de connexion, tapez Nom du profil de connexion, sélectionnez Serveur

d'authentification et pools d'adresses que vous avez créé précédemment :
● Cliquez sur Modifier la stratégie de groupe et sur l'onglet AnyConnect ,
sélectionnez Profil client , puis cliquez sur Enregistrer :

● Sur l'écran suivant, sélectionnez Interface réseau et certificats de périphérique :

● Lorsque tout est correctement configuré, vous pouvez cliquer sur Terminer puis sur
Déployer :
 ● Cela copiera la configuration complète ainsi que les certificats et les packages AnyConnect
vers l'appliance FTD.

Connexion
Pour vous connecter à FTD, vous devez ouvrir un navigateur, tapez le nom DNS ou l'adresse IP
pointant vers l'interface extérieure, dans cet exemple https://vpn.cisco.com . Vous devrez ensuite
vous connecter à l'aide des informations d'identification stockées sur le serveur RADIUS et suivre les
instructions à l'écran. Une fois AnyConnect installé, vous devez alors mettre la même adresse dans la
fenêtre AnyConnect et cliquer sur Connecter.