Привет, ребята, постараюсь быть кратким. Итак, сейчас мы внедряем Windows 11 вместо 10 с Intune на устройствах OOBE, а Secure Client также поставляется предустановленным из Intune Configs. Проблема, с которой мы столкнулись, заключается в том, что при первом подключении к VPN нам предлагается выбрать сертификат. Я полагаю, что это связано с тем, что профиль, находящийся в папке C:/ProgramData/Cisco/VPN/Profiles , является профилем по умолчанию, а не нашим пользовательским профилем, что я понимаю, поскольку еще не было установлено соединение с брандмауэром и устройство не могло загрузить пользовательский профиль. я хотел бы узнать, есть ли способ отредактировать этот профиль по умолчанию, чтобы мы могли использовать наш собственный профиль .xml вместо этого профиля по умолчанию? Прошу прощения за объяснение, которое, по-моему, получилось немного запутанным... С нетерпением жду ваших предложений. Большое спасибо.

Мне выдали новый сертификат, который необходимо установить в наших 5516-x (HA Pair), так что мне установить его на обоих ASA? Я вижу три разных точки доверия? (См. изображение) Так что я просто назначаю сертификат интерфейсам (см. изображение), а затем удаляю просроченные точки доверия? Приведет ли к сбою просто изменение интерфейсов сертификата? Как я могу определить все точки доверия, которые мы можем удалить, не вызывая сбоев? ![jroy777_0-1764211816459.png] ![jroy777_1-1764212025249.png] [image: f2abb6af1161fb4dde9160d1593e6711e24a28df.png] [image: b958f3ceac139d3495e874a78b9abcd16873d126.png]

Я настроил ASAv в AWS и сконфигурировал IKEv2 IPSEC VPN между ним и моим локальным Juniper SRX. Я также настроил шлюз AnyConnect VPN, используя тот же внешний интерфейс, что и шлюз VPN. Аутентификация пользователей VPN должна проходить через туннель IPSEC, чтобы достичь сервера Radius. Мой туннель IPSEC работает, но когда я тестирую трафик от внутреннего интерфейса к серверу Radius, он отбрасывается ASAv. У меня нет настроенного ACL, который бы блокировал этот трафик. Вот полная конфигурация ASAv: ciscoasa# sh run : Saved : : Serial Number: xxxxxxxxxxxx : Hardware: ASAv, 7680 MB RAM, CPU Xeon 4100/6100/8100 series 3000 MHz, 1 CPU (4 cores) : ASA Version 9.23(1)22 ! hostname ciscoasa enable password ***** pbkdf2 service-module 0 keepalive-timeout 4 service-module 0 keepalive-counter 6 names name 129.6.15.28 time-a.nist.gov name 129.6.15.29 time-b.nist.gov name 129.6.15.30 time-c.nist.gov no mac-address auto ip local pool SSL-RAVPN-Pool 10.251.14.160-10.251.14.190 mask 255.255.255.224 ! interface Management0/0 management-only nameif management security-level 100 ip address dhcp setroute ! interface TenGigabitEthernet0/0 nameif INSIDE security-level 100 ip address 192.168.1.234 255.255.255.0 ! interface TenGigabitEthernet0/1 nameif OUTSIDE security-level 0 ip address 192.168.2.164 255.255.255.0 ! interface Tunnel1 nameif VPN-SCDC ip address 169.254.250.1 255.255.255.252 tunnel source interface OUTSIDE tunnel destination 123.123.45.66 tunnel mode ipsec ipv4 tunnel protection ipsec profile SCDC-VPN-PROFILE ! tcpproxy tx-q-limit 2000 tcpproxy rtx-q-limit 2000 ftp mode passive dns domain-lookup OUTSIDE dns server-group DefaultDNS name-server 8.8.8.8 OUTSIDE same-security-traffic permit inter-interface same-security-traffic permit intra-interface no object-group-search access-control object network ASA_OUTSIDE_PRIVATE host 192.168.2.164 object network ASA_OUTSIDE_PUBLIC host 54.46.36.83 object network NET_INSIDE subnet 192.168.1.0 255.255.255.0 object network NET_SCDC subnet 172.25.0.0 255.255.0.0 access-group INSIDE-IN in interface INSIDE access-group allow-all out interface INSIDE access-group allow-all global access-list allow-all extended permit ip any4 any4 access-list allow-all extended permit ip any6 any6 access-list OUTSIDE_IN extended permit icmp any any access-list OUTSIDE_IN extended permit udp host 192.168.1.234 host 10.251.100.241 eq 1812 access-list OUTSIDE_IN extended permit udp host 192.168.1.234 host 10.251.100.242 eq 1812 access-list OUTSIDE_IN extended permit udp host 192.168.1.234 host 10.251.100.241 eq 1813 access-list OUTSIDE_IN extended permit udp host 192.168.1.234 host 10.251.100.242 eq 1813 access-list ICMP_MGMT extended permit icmp any any access-list ACL-IKEV2 extended permit ip 192.168.1.0 255.255.255.0 172.25.0.0 255.255.0.0 access-list VPN-SCDC-IN extended permit ip any any access-list newyork-filter extended permit udp any4 host 10.251.22.15 eq domain access-list newyork-filter extended permit udp any4 host 10.251.22.18 eq domain access-list newyork-filter extended deny ip any4 object-group GPSF-Internal access-list newyork-filter extended permit ip any4 any4 access-list newyork-filter extended permit udp any4 host 172.25.116.27 eq domain access-list newyork-filter extended permit udp any4 host 172.25.116.28 eq domain access-list RSA-newyork extended permit ip any any access-list INSIDE-IN extended permit udp 192.168.1.0 255.255.255.0 host 10.251.100.241 eq 1812 access-list INSIDE-IN extended permit udp 192.168.1.0 255.255.255.0 host 10.251.100.242 eq 1812 access-list INSIDE-IN extended permit udp 192.168.1.0 255.255.255.0 host 10.251.100.241 eq 1813 access-list INSIDE-IN extended permit udp 192.168.1.0 255.255.255.0 host 10.251.100.242 eq 1813 access-list INSIDE-IN extended permit ip any any pager lines 23 mtu management 1500 mtu INSIDE 1500 mtu OUTSIDE 1500 no failover no failover wait-disable no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo INSIDE no asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 16384 logging enable logging asdm informational nat (OUTSIDE,INSIDE) source dynamic any interface nat (INSIDE,OUTSIDE) source static NET_INSIDE NET_INSIDE destination static NET_SCDC NET_SCDC no-proxy-arp route-lookup ! object network ASA_OUTSIDE_PRIVATE nat (OUTSIDE,OUTSIDE) static ASA_OUTSIDE_PUBLIC route OUTSIDE 0.0.0.0 0.0.0.0 192.168.2.1 1 route VPN-SCDC 10.251.100.241 255.255.255.255 169.254.250.2 1 route VPN-SCDC 10.251.100.242 255.255.255.255 169.254.250.2 1 route VPN-SCDC 172.25.0.0 255.255.0.0 169.254.250.2 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 aaa-server rsa-newyork protocol radius aaa-server rsa-newyork (INSIDE) host 10.251.100.241 retry-interval 5 timeout 30 key ***** authentication-port 1812 accounting-port 1813 aaa-server rsa-newyork (INSIDE) host 10.251.100.242 retry-interval 5 timeout 30 key ***** authentication-port 1812 accounting-port 1813 user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication match RSA-newyork OUTSIDE rsa-newyork aaa accounting match RSA-newyork OUTSIDE rsa-newyork aaa authentication login-history http server enable http 0.0.0.0 0.0.0.0 management http 0.0.0.0 0.0.0.0 INSIDE no snmp-server location no snmp-server contact crypto ipsec ikev2 ipsec-proposal SCDC-IKEv2-PROPOSAL protocol esp encryption aes-256 protocol esp integrity sha-256 crypto ipsec profile SCDC-VPN-PROFILE set ikev2 ipsec-proposal SCDC-IKEv2-PROPOSAL set pfs group14 set security-association lifetime seconds 3600 crypto ipsec security-association pmtu-aging infinite crypto ca trustpoint _SmartCallHome_ServerCA no validation-usage crl configure crypto ca trustpoint _SmartCallHome_ServerCA2 no validation-usage crl configure crypto ca trustpoint ASDM_TrustPoint0 enrollment terminal crl configure crypto ca trustpoint ASDM_TrustPoint1 keypair ASDM_TrustPoint1 crl configure crypto ca trustpoint ASDM_TrustPoint1-1 crl configure crypto ca trustpool policy auto-import crypto ca certificate chain _SmartCallHome_ServerCA crypto ikev2 policy 10 encryption aes-256 integrity sha256 group 14 prf sha256 lifetime seconds 28800 crypto ikev2 enable OUTSIDE telnet timeout 10 ssh scopy enable ssh stricthostkeycheck ssh timeout 60 ssh key-exchange group dh-group14-sha256 ssh 0.0.0.0 0.0.0.0 management ssh ::/0 management console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server time-c.nist.gov ntp server time-b.nist.gov ntp server time-a.nist.gov ssl trust-point ASDM_TrustPoint1 OUTSIDE webvpn enable OUTSIDE http-headers hsts-server enable max-age 31536000 include-sub-domains no preload hsts-client enable x-content-type-options x-xss-protection content-security-policy anyconnect profiles PermitRDP disk0:/PermitRDP.xml anyconnect enable cache disable error-recovery disable group-policy RSA-newyork internal group-policy RSA-newyork attributes dns-server value 10.251.22.15 10.251.22.18 vpn-simultaneous-logins 1 vpn-idle-timeout 60 vpn-session-timeout 720 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelall webvpn anyconnect mtu 1300 anyconnect ask none default anyconnect dynamic-access-policy-record DfltAccessPolicy username admin_asdm password ***** pbkdf2 privilege 15 username admin password ***** pbkdf2 privilege 15 username admin attributes service-type admin ssh authentication publickey bb:55:51:3d:36:bc:b1:e1:d6:ed:27:c8:ac:57:e3:50:cb:57:29:63:0e:f2:15:f6:0e:c3:dc:cb:edb0:48 hashed username netadmin password ***** pbkdf2 privilege 15 username netadmin attributes service-type admin tunnel-group RSA-newyork type remote-access tunnel-group RSA-newyork general-attributes authentication-server-group rsa-newyork default-group-policy RSA-newyork tunnel-group RSA-newyork webvpn-attributes group-alias RSA-newyork enable group-url https://svpn-sh.arcgames.com/rsa-newyork enable tunnel-group 123.123.45.66 type ipsec-l2l tunnel-group 123.123.45.66 ipsec-attributes peer-id-validate nocheck ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect icmp policy-map type inspect dns migrated_dns_map_2 parameters message-length maximum client auto message-length maximum 512 no tcp-inspection ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile License destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination transport-method http profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:78d801f541af0d2e8db87ffe51eadf35 : end Вот вывод packet-tracer: ciscoasa# packet-tracer input insiDE tcp 192.168.1.234 12345 10.251.100.242 1812 det Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 5456 ns Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x7febe1a7d8c0, priority=1, domain=permit, deny=false hits=6, user_data=0x0000000000000000, cs_id=0x0, l3_type=0x8 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=INSIDE, output_ifc=any Phase: 2 Type: INPUT-ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Elapsed time: 11253 ns Config: Additional Information: Found next-hop 169.254.250.2 using egress ifc VPN-SCDC Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Elapsed time: 5342 ns Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x7febe1a900e0, priority=501, domain=permit, deny=true hits=6, user_data=0x0000000000000007, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=192.168.1.234, mask=255.255.255.255, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dscp=0x0, input_ifc=INSIDE, output_ifc=any Result: input-interface: INSIDE input-status: up input-line-status: up output-interface: VPN-SCDC output-status: up output-line-status: up Action: drop Time Taken: 22051 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame snp_classify_table_lookup:6051 flow (NA)/NA Кто-нибудь знает, почему это происходит?

Ошибка безопасного клиента Cisco: аутентификация не удалась из-за проблемы с переходом по URL-адресу единого входа. Есть ли какие-либо предложения по устранению этой ошибки?

Мне нужно заменить старый маршрутизатор ASA 5520 на маршрутизатор IOS XE. Оба конца некоторое время назад были на ASA, и некоторое время назад я успешно заменил один конец на 4451-X. Это сработало без проблем — просто сопоставьте ACL и криптографические параметры, и все будет работать. Мы используем предварительно разделенные ключи. Простая конфигурация с криптографическими картами и ACL. Когда я пытаюсь заменить другой конец, я сталкиваюсь с проблемой, что уже настроенный 4451, похоже, не хочет забывать ASA-пир. Я выполнил следующие шаги. На старом ASA очистил криптографические данные, затем отключил IKEV1 и IKEV2: clear crypto ikev1 sa clear crypto ikev2 sa clear crypto ipsec sa no crypto ikev1 enable outside no crypto ikev2 enable outside Подождите 10 минут. Это должно привести к обнаружению неактивного пира и очистке состояний IKE. Затем я отсоединил ASA и подключил маршрутизатор 4451. И включил интерфейс на 4451 Затем я пытаюсь запустить туннель, отправляя пинг на некоторый интересный трафик. Но он не запускается SA отображается как «QM_IDLE», что в основном означает, что на самом деле ничего не происходит , но я не могу получить трафик. show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status <localip> <remoteip> QM_IDLE 18833 ACTIVE Поэтому я перезагружаю новый маршрутизатор 4451, и он выдает следующее сообщение: 27 января 03:24:43.032: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: полученный пакет IPSEC имеет недействительный spi для destaddr=<<localip>>, prot=50, spi=0x5ADA2CC2(1524247746), srcaddr=<<remoteip>>, входной интерфейс=Vlan527 января 03:24:51.528: %CRYPTO-4-IKMP_NO_SA: сообщение IKE от <<remoteip>> не имеет SA и не является предложением инициализации И далее показать ошибку диагностики криптографического протокола ISAKMP Таблица путей выхода — статус: включено, текущая запись 4, удалено 0, максимально допустимо 50 Ошибка (2): сбой удаления DH. [conn id 1001, local <<localip>>:500 remote <<remoteip>>:500] -Traceback= 1#67108551e83a17deda268a8d065e2c84 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2E4A93 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2BF5AE iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2C9D30 Ошибка (2): сбой удаления DH. [conn id 1001, local <<localip>>:500 remote <<remoteip>>:500] -Traceback= 1#67108551e83a17deda268a8d065e2c84 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2E4A93 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2BF551 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2C9D30 Ошибка (1): не найдено SA для обработки. удаленный <<remoteip>> -Traceback= 1#67108551e83a17deda268a8d065e2c84 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2E4A93 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2D64D4 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2CA98C Ошибка (1): Не удалось отправить удаление, сосед не аутентифицирован. [conn id 0, local <<localip>>:500 remote <<remoteip>>:500] state mask 0x1 -Traceback= 1#67108551e83a17deda268a8d065e2c84 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2E4A93 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2D1772 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+3420D0 iosd_shr_m_uk9_IPSEC_Core_crb:7F983FDA9000+2C981C Все это, похоже, указывает на то, что удаленный 4451 еще не забыл ASA как партнера и считает, что он по-прежнему связан с ним или должен быть связан. Затем я решил вернуться назад и сделать все в обратном порядке, вернув старый ASA. И этот туннель появился СРАЗУ. Я повторил все снова, подождав гораздо дольше, но ничего не изменилось. Параметры срока действия установлены на 86400 как на SA, так и на криптокарте, но это не должно влиять на снос SA, когда это необходимо. Есть ли способ ускорить этот процесс? Поможет ли перезагрузка или отключение одного из маршрутизаторов? Однако с практической точки зрения это не очень осуществимо. Что же мне нужно сделать, чтобы удаленный маршрутизатор 4451 окончательно и быстро забыл старый SA?

Здравствуйте, При использовании RA VPN с Entra ID SSO можно ли настроить Entra ID так, чтобы он запоминал имя пользователя при повторном подключении? Каждый раз, когда пользователь хочет подключиться, он вынужден вводить свое имя пользователя/пароль, а мы хотим, чтобы имя пользователя запоминалось, как раньше, когда мы использовали Secure Client без Entra ID. Я прочитал похожую ветку с Secure Client и Meraki MX, и в этом случае нужно было создать заявку в службу поддержки Meraki и попросить их отключить принудительную повторную аутентификацию в бэкэнде. Как мы можем достичь того же результата с FTD, управляемым FMC? В Entra ID есть настройка под названием «Запросить повторную аутентификацию Idp при входе в систему». Она включена по умолчанию. Если я отключу ее, это позволит нам обойти аутентификацию? Спасибо /Chess

Привет, ребята, Я настроил VPN S2S между ASA и Azure, но когда я запускаю команду « show crypto ikev1 sa », она возвращает мне « There are no ikev1 sa » ( Нет ikev1 sa ), и когда я пытаюсь пинговать Google DNS, чтобы проверить подключение к Интернету, это не работает. Все ping-команды работают: Host><ASA><Gateway. Я попробовал почти все, что нашел в Интернете по этим проблемам (проверка icmp, двойной NAT, PAT и т. д.), но ничего не помогло. Вот моя конфигурация: https://pastebin.com/QKqPQZXc

Привет Позволяет ли опция Tunneled: (используется только для маршрута по умолчанию) добавить второй статический маршрут по умолчанию, который я мог бы направить на VPN, и только трафик, разрешенный через VPN с помощью PBR/ACP, будет использовать этот маршрут по умолчанию, а корпоративный трафик, направленный на другой IP-адрес для маршрута по умолчанию, не будет затронут? Надеюсь, это имеет смысл

Добрый вечер, Я пытаюсь выяснить, можно ли использовать эти лицензии на брандмауэре с TD или только с ASA? Кроме того, один из наших клиентов задал следующий вопрос: «Мне понадобятся две пары брандмауэров 1210 CE (в режиме HA), а также 3-летняя лицензия на фильтрацию URL-адресов и лицензия VPN для 25 клиентов (лицензирование на основе хоста, а не на основе пользователя)». Если речь идет о лицензировании на основе хоста, то здесь подходит VPNO, верно? Лицензирование на основе пользователя — это L-AC-PLS-P-G, верно? Указанные лицензии VPNO необходимо развернуть на каждом устройстве, то есть в данном случае всего 4? Что касается AC, то теоретически достаточно одной? Спасибо

Здравствуйте, Я заметил проблему с нашими клиентами MacOS при использовании клиента Cisco AnyConnect для прохождения проверки состояния. Все мои пользователи, включая компьютеры с Windows и Mac OS, проходят эту проверку состояния ISE. Изначально, когда пользователь подключается, он получает IP-адрес из подсети карантина с ограниченным доступом. ISE проверяет, установлены ли на клиенте определенные программы, и, если да, устройство переходит в состояние соответствия и получает IP-адрес из производственной сети. Я не вижу проблем на устройствах Windows, но вижу их на Mac OS. Иногда пользователи MacOS попадают в состояние соответствия требованиям, но застревают в подсетях карантина, и пользователям приходится проходить этот процесс несколько раз, чтобы получить правильный IP-адрес. Кто-нибудь сталкивался с такой проблемой? Сообщите мне, какая информация вам может понадобиться. Спасибо.

У меня на личном ноутбуке установлена программа Cisco VPN Anyconnect для удаленной работы. Изначально на моем ноутбуке была установлена Windows 8, и VPN работала нормально. Когда я установил Windows 10, при подключении к VPN мой интернет отключается. Я принес ноутбук в офис и попробовал подключиться там, и все работало нормально. Один из технических специалистов службы поддержки взял ноутбук домой и установил новые драйверы, и он утверждает, что у него все работает. Я принес ноутбук домой и снова попытался подключиться к VPN, но интернет по-прежнему отключается. Буду благодарен за любую помощь. Пит

Здравствуйте, У меня возникла следующая проблема. Нам необходимо построить S2S-туннель для клиента с перекрывающимися адресами. На сайте клиента у нас есть два сервера с адресами 10.1.20.2 и 10.1.20.3, а на нашем сайте — серверы 10.1.80.10 и 172.16.5.7. Сеть сопоставления клиента — 10.150.1.64/29, наша сеть сопоставления — 10.150.1.72/29. Я создаю туннель и добавляю правило NAT, например, исходный источник 10.1.80.10 -> преобразованный источник 10.150.1.72.73, и то же самое для второго сервера 172.16.5.7 -> 10.150.72.73. Но туннель не появляется. Статус неизвестен. Я что-то упустил или мои действия неверны? С уважением Ральф

Имя хоста VPN правильно разрешается через DNS, но TCP 443 к разрешенному IP недоступен. Traceroute останавливается в пределах ISP. Одинаковые результаты в нескольких сетях. VPN версии 5.1.14.145 ОС macOS 26.2 [image: d4fb1d24de42e70458f0727194d05aa17b5a63a4.png]

Здравствуйте, команда Cisco Community! Мне нужна помощь в настройке динамического виртуального туннельного интерфейса (DVTI) в топологии «звезда», где: Cisco Secure Firewall Threat Defense (FTD, управляемый FMC) является концентратором (со статическим публичным IP-адресом). Маршрутизатор Cisco IOS XE является спицей, но подключается с использованием динамического/неизвестного публичного IP-адреса. В прошлом я успешно развертывал статические туннели VTI, но в данном сценарии, поскольку спица использует динамический IP-адрес, я не уверен в правильном способе настройки концентратора FTD в FMC. Есть ли какие-либо примеры конфигурации или проверенные руководства по проектированию для этого случая использования концентратора/спицы (концентратор FTD + спицы с динамическим IP-адресом IOS XE)? Сведения о среде: Cisco Secure Firewall Threat Defense (FTD) 7.7, управляемый FMC 7.7 Cisco IOS XE ISR (spoke) под управлением IOS XE 17.16.1a IKEv2/IPsec с DVTI Цель: несколько динамических маршрутизаторов spoke должны подключаться к концентратору FTD. Любые рекомендации по настройке, передовой опыт или примеры шаблонов будут очень полезны.

Столкнулись с проблемой, когда у нас есть профили ikev1 и ikev2 на 4431 с версией 17.06.03a. Когда я пытаюсь установить туннель с другого маршрутизатора ISR, на котором работает только ikev1, этот маршрутизатор выдает ошибку о несоответствии политики. Раньше все работало, но затем произошло обрыв оптоволоконного кабеля, в результате чего связь была прервана на 2–3 дня, и когда все было восстановлено, этот туннель устанавливался только в одном направлении (r1 > r2). Похоже, что r2 > r1 никогда не устанавливается. r1: Feb 24 07:11:54.772 pst: ISAKMP-PAK: (21833):received packet from 2.2.2.2 dport 500 sport 500 Global (R) QM_IDLE Feb 24 07:11:54.772 pst: ISAKMP: (21833):set new node 4110472185 to QM_IDLE Feb 24 07:11:54.772 pst: ISAKMP: (21833):processing HASH payload. message ID = 4110472185 Feb 24 07:11:54.772 pst: ISAKMP: (21833):processing SA payload. message ID = 4110472185 Feb 24 07:11:54.772 pst: ISAKMP: (21833):Checking IPSec proposal 1 Feb 24 07:11:54.772 pst: ISAKMP: (21833):transform 1, ESP_AES Feb 24 07:11:54.772 pst: ISAKMP: (21833): attributes in transform: Feb 24 07:11:54.772 pst: ISAKMP: (21833): encaps is 1 (Tunnel) Feb 24 07:11:54.772 pst: ISAKMP: (21833): SA life type in seconds Feb 24 07:11:54.772 pst: ISAKMP: (21833): SA life duration (basic) of 3600 Feb 24 07:11:54.772 pst: ISAKMP: (21833): SA life type in kilobytes Feb 24 07:11:54.772 pst: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 Feb 24 07:11:54.772 pst: ISAKMP: (21833): authenticator is HMAC-SHA256 Feb 24 07:11:54.772 pst: ISAKMP: (21833): key length is 256 Feb 24 07:11:54.772 pst: ISAKMP: (21833):atts are acceptable. Feb 24 07:11:54.772 pst: IPSEC(validate_proposal_request): proposal part #1 Feb 24 07:11:54.772 pst: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 1.1.1.1:0, remote= 2.2.2.2:0, local_proxy= 0.0.0.0/0.0.0.0/256/0, remote_proxy= 0.0.0.0/0.0.0.0/256/0, protocol= ESP, transform= esp-aes 256 esp-sha256-hmac (Tunnel), esn= FALSE, lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0 Feb 24 07:11:54.772 pst: map_db_check_isakmp_profile profile did not match, ike passed profile : NULL, map_ike_profile: v2-profile, head_ike_profile: v2-profile Feb 24 07:11:54.773 pst: Crypto mapdb : proxy_match src addr : 0.0.0.0 dst addr : 0.0.0.0 protocol : 0 src port : 0 dst port : 0 Feb 24 07:11:54.773 pst: map_db_check_isakmp_profile profile did not match, ike passed profile : NULL, map_ike_profile: v2-profile, head_ike_profile: v2-profile Feb 24 07:11:54.773 pst: Crypto mapdb : proxy_match src addr : 0.0.0.0 dst addr : 0.0.0.0 protocol : 0 src port : 0 dst port : 0 Feb 24 07:11:54.773 pst: map_db_check_isakmp_profile profile did not match, r1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 1.1.1.1 2.2.2.2 QM_IDLE 21839 ACTIVE r2#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 1.1.1.1 2.2.2.2 QM_IDLE 1026 ACTIVE r2: Feb 24 09:30:33.039 MST: ISAKMP:(1027):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR Feb 24 09:30:33.039 MST: ISAKMP (1027): ID payload next-payload : 8 type : 1 address : 2.2.2.2 protocol : 17 port : 500 length : 12 Feb 24 09:30:33.039 MST: ISAKMP:(1027):Total payload length: 12 Feb 24 09:30:33.039 MST: ISAKMP:(1027): sending packet to 1.1.1.1 my_port 500 peer_port 500 (I) MM_KEY_EXCH Feb 24 09:30:33.039 MST: ISAKMP:(1027):Sending an IKE IPv4 Packet. Feb 24 09:30:33.039 MST: ISAKMP:(1027):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Feb 24 09:30:33.039 MST: ISAKMP:(1027):Old State = IKE_I_MM4 New State = IKE_I_MM5 Feb 24 09:30:33.062 MST: ISAKMP (1027): received packet from 1.1.1.1 dport 500 sport 500 Global (I) MM_KEY_EXCH Feb 24 09:30:33.063 MST: ISAKMP:(1027): processing ID payload. message ID = 0 Feb 24 09:30:33.063 MST: ISAKMP (1027): ID payload next-payload : 8 type : 1 address : 1.1.1.1 protocol : 17 port : 500 length : 12 Feb 24 09:30:33.063 MST: ISAKMP:(0):: peer matches none of the profiles Feb 24 09:30:33.063 MST: ISAKMP:(1027): processing HASH payload. message ID = 0 Feb 24 09:30:33.063 MST: ISAKMP:(1027):SA authentication status: authenticated Feb 24 09:30:33.063 MST: ISAKMP:(1027):SA has been authenticated with 1.1.1.1 Feb 24 09:30:33.063 MST: ISAKMP: Trying to insert a peer 2.2.2.2/1.1.1.1/500/, and inserted successfully 7FA35023C740. Feb 24 09:30:33.063 MST: ISAKMP:(1027):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Feb 24 09:30:33.063 MST: ISAKMP:(1027):Old State = IKE_I_MM5 New State = IKE_I_MM6 Feb 24 09:30:33.063 MST: ISAKMP:(1027):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Feb 24 09:30:33.063 MST: ISAKMP:(1027):Old State = IKE_I_MM6 New State = IKE_I_MM6 Feb 24 09:30:33.063 MST: ISAKMP:(1027):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Feb 24 09:30:33.063 MST: ISAKMP:(1027):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE Feb 24 09:30:33.063 MST: ISAKMP:(1027):IKE_DPD is enabled, initializing timers Feb 24 09:30:33.063 MST: ISAKMP:(1027):beginning Quick Mode exchange, M-ID of 3774393995 Feb 24 09:30:33.063 MST: ISAKMP:(1027):QM Initiator gets spi Feb 24 09:30:33.064 MST: ISAKMP:(1027): sending packet to 1.1.1.1 my_port 500 peer_port 500 (I) QM_IDLE Feb 24 09:30:33.064 MST: ISAKMP:(1027):Sending an IKE IPv4 Packet. Feb 24 09:30:33.064 MST: ISAKMP:(1027):Node 3774393995, Input = IKE_MESG_INTERNAL, IKE_INIT_QM Feb 24 09:30:33.064 MST: ISAKMP:(1027):Old State = IKE_QM_READY New State = IKE_QM_I_QM1 Feb 24 09:30:33.064 MST: ISAKMP:(1027):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE Feb 24 09:30:33.064 MST: ISAKMP:(1027):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE Feb 24 09:30:33.087 MST: ISAKMP (1027): received packet from 1.1.1.1 dport 500 sport 500 Global (I) QM_IDLE Feb 24 09:30:33.087 MST: ISAKMP: set new node 3609818105 to QM_IDLE Feb 24 09:30:33.087 MST: ISAKMP:(1027): processing HASH payload. message ID = 3609818105 Feb 24 09:30:33.087 MST: ISAKMP:(1027): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3 spi 2704825335, message ID = 3609818105, sa = 0x7FA3586E8E20 Feb 24 09:30:33.087 MST: ISAKMP:(1027): deleting spi 2704825335 message ID = 3774393995 Feb 24 09:30:33.087 MST: ISAKMP:(1027):deleting node 3774393995 error TRUE reason "Delete Larval" Feb 24 09:30:33.087 MST: ISAKMP:(1027):deleting node 3609818105 error FALSE reason "Informational (in) state 1" Feb 24 09:30:33.087 MST: ISAKMP:(1027):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY Feb 24 09:30:33.087 MST: ISAKMP:(1027):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

Здравствуйте, Я пытаюсь использовать IPSEC с ikev1 на Packet Tracer 09, но в конце при выполнении команды show crypto ipsec sa получаю сообщение «There are no ipsec sa» (Нет ipsec sa). Что мне нужно изменить? ASA версии 9.16(2)3 ! интерфейс GigabitEthernet1/1 nameif outside уровень безопасности 0 ip address 200.100.100.2 255.255.255.0 ! интерфейс GigabitEthernet1/2 имя внутри уровень безопасности 100 IP-адрес 192.168.1.1 255.255.255.0 объект сети net подсеть 192.168.1.0 255.255.255.0 nat (внутри2,снаружи2) динамический интерфейс ! маршрут outside2 0.0.0.0 0.0.0.0 200.100.100.1 1 ! список доступа outside1_access_in расширенный разрешить ip любой любой access-list inside1_access_in extended permit ip any any access-list outside2_access_in extended permit ip any any access-list inside2_access_in extended permit ip any any access-list vpn extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 access-list AAA extended permit tcp any any access-list AAA extended permit icmp any any !! access-group outside1_access_in in interface outside1 access-group inside1_access_in in interface inside1 access-group AAA in interface outside2 группа доступа inside2_access_in в интерфейсе inside2 ! telnet timeout 5 ssh timeout 5 ! crypto ipsec ikev1 transform-set pmnet esp-3des esp-sha-hmac ! crypto map mymap 10 match address vpn crypto map mymap 10 set peer 200.200.200.2 crypto map mymap 10 set security-association lifetime seconds 86400 crypto map mymap 10 set ikev1 transform-set pmnet crypto map mymap interface outside2 крипто ikev1 включить outside2 крипто ikev1 политика 10 encr aes аутентификация pre-share группа 5 ! группа туннелей 200.200.200.2 тип ipsec-l2l группа туннелей 200.200.200.2 атрибуты ipsec ikev1 предварительно совместно используемый ключ Cisco123 ! маршрутизатор eigrp 1 сеть 192.168.1.0 сеть 200.100.100.0 Спасибо

Здравствуйте У меня возникли проблемы с разрешением DNS при использовании VPN удаленного доступа, настроенного на Cisco FMC версии 7.4 Cisco Secure Client успешно подключается к FTD, управляемому FMC. Аутентификация проходит без проблем. Клиент получает: - Правильный IP-адрес из пула VPN - Локальные DNS-серверы через DHCP push - Правильную конфигурацию раздельного туннелирования - IP-соединение работает с разрешенными подсетями Разрешение DNS через локальные DNS-серверы полностью не работает Клиенты получают IP-адреса и могут выполнять ping, но не могут разрешить никакие внутренние имена хостов. Локальные DNS-серверы определенно доступны. Где в FMC следует искать отладочную информацию по DNS для VPN? Как лучше всего отслеживать DNS-запросы от VPN-клиентов через FTD, управляемый FMC?

Здравствуйте, я пытаюсь настроить VPN для удаленного доступа на маршрутизаторе Cisco. Я могу настроить RA на брандмауэре Cisco и могу настроить соединение «сайт-сайт» на брандмауэре и маршрутизаторе Cisco. Кто-нибудь может порекомендовать мне какой-нибудь документ? Все, что я нашел до сих пор, не сработало. https://www.cisco.com/c/en/us/support/docs/security/flexvpn/200555-FlexVPN-AnyConnect-IKEv2-Remote-Access.html Мне нужно настроить RA с IKEv2/IPsec и еще один с SSL. Есть какие-нибудь советы?

Здравствуйте, Я помогаю клиенту перейти с ASA 5555-X на FTD 3105, управляемый FMC. Клиент использует локальные имена пользователей в ASA, а затем назначает групповые политики с VPN-фильтром на основе имени пользователя. Конфигурация в ASA выглядит примерно так групповая политика GP-XXX внутренняя групповая политика GP-XXX атрибуты vpn-filter значение VPN-XXX vpn-tunnel-protocol ssl-client ssl-clientless ! имя пользователя aaaa пароль xxxxxxxxxxxx зашифрованное имя пользователя aaaa атрибуты vpn-group-policy GP-XXX Я полагаю, что FTD не поддерживает назначение групповых политик для локальных пользователей, поэтому мне нужно найти альтернативное решение. Если у клиента уже есть локальный сервер AD, я думаю, что использование его для аутентификации и назначения групповых политик будет самым простым решением. Однако я не уверен, следует ли использовать Radius (NPS) или LDAP с сопоставлением атрибутов? Я полагаю, что оба метода должны работать, но каковы преимущества/недостатки этих двух методов? Спасибо /Chess

В настоящее время мы используем AnyConnect Remote Access VPN на Cisco ASA 5510 (платформа EOL). В настоящее время SSL настроен в качестве основного протокола. Мы планируем перейти на IKEv2 (IPsec) в качестве основного протокола из соображений производительности. Наша среда включает: Конфигурации раздельного и полного туннеля Несколько политик динамического доступа (DAP) Проверка состояния HostScan Правила DAP, специфичные для поставщика Я уже настроил IKEv2 и подтвердил подключение клиента. Моя проблема заключается в следующем: Будет ли AnyConnect через IKEv2 (IPsec) полностью поддерживать политики DAP и проверку состояния HostScan так же, как SSL? В частности, правильно ли оцениваются условия DAP (проверка реестра, атрибуты конечной точки и т. д.) во время аутентификации IKEv2 на ASA 5510? Есть ли какие-либо известные ограничения или предостережения при использовании IKEv2 с DAP на старых платформах ASA?