<![CDATA[сбои Cisco Firepower DTLS]]>Я борюсь с этой проблемой, но Cisco не помогает, хотя билет открыт уже неделю. Переходим с ASA на FMC/FTD только для SSL Anyconnect VPN, и у нас все работает, КРОМЕ DTLS. Есть реальная проблема с устранением неполадок с помощью отладки и т. д. Я не могу найти, почему DTLS не работает. Использую FMC 7.3.1 и 7.3.1 FTD. DTLS v1.2 включен в настройках платформы и в политике RA VPN. У кого-нибудь есть советы по устранению этой проблемы?

]]>https://sla247.ru/forum/topic/2437/сбои-cisco-firepower-dtlsRSS for NodeFri, 15 May 2026 08:03:45 GMTMon, 02 Mar 2026 12:43:56 GMT60<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:11 GMT]]>В результате получается соединение TLS 1.2, без DTLS. С нашим старым ASA, когда мы подключаемся с DTLS, это DTLS v1.2
ECDHE_RSA_AES256_GCM_SHA384, но этот шифр по какой-то причине не работает на FTD. Вот как выглядит наш старый ASA: sh run all ssl
ssl server-version tlsv1.2 dtlsv1
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 fips
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 medium
ssl dh-group group2
ssl ecdh-group group19
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl certificate-authentication fca-timeout 2

]]>https://sla247.ru/forum/post/17100https://sla247.ru/forum/post/17100Mon, 02 Mar 2026 12:44:11 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:10 GMT]]>

show running-config all ssl
ssl server-version tlsv1.2 dtlsv1.2
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 custom "AES256-GCM-SHA384"
ssl cipher tlsv1.3 medium
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 custom "AES256-GCM-SHA384"
ssl dh-group group14
ssl ecdh-group group19
ssl trust-point *****
ssl trust-point ***** Внешняя
аутентификация SSL-сертификата fca-timeout 2

]]>https://sla247.ru/forum/post/17099https://sla247.ru/forum/post/17099Mon, 02 Mar 2026 12:44:10 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:09 GMT]]>@bnjones
Вы видите этот журнал, потому что использование шифров ECDSA с сертификатом, использующим подпись RSA, не будет работать и приведет к сбою соединения
. Вам необходимо настроить dtlsv1.2 для использования не-ec SSL-шифра, такого как
AES256-GCM-SHA384
. Это можно сделать из FMC. Можете ли вы также поделиться выводом «
show run all ssl
» из cli, чтобы я мог посмотреть, что сейчас настроено.
С уважением,
Салман Махаджан

]]>https://sla247.ru/forum/post/17098https://sla247.ru/forum/post/17098Mon, 02 Mar 2026 12:44:09 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:08 GMT]]>Единственная проблема, с которой я столкнулся, — это невозможность установить DTLS, что связано с невозможностью согласовать следующий шифр. Это из журналов устройства FTD 7.3.1:
«Устройство пропускает шифр: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия».

]]>https://sla247.ru/forum/post/17097https://sla247.ru/forum/post/17097Mon, 02 Mar 2026 12:44:08 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:07 GMT]]>Привет
[, @bnjones.]
С какой именно проблемой вы столкнулись при использовании RA-VPN?

]]>https://sla247.ru/forum/post/17096https://sla247.ru/forum/post/17096Mon, 02 Mar 2026 12:44:07 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:06 GMT]]>Я уже зарегистрировал устройства в программе лицензирования интеллектуального программного обеспечения, но это руководство предназначено для кода ASA. Я использую FTD 7.3.1, поэтому это не применимо к моей ситуации.

]]>https://sla247.ru/forum/post/17095https://sla247.ru/forum/post/17095Mon, 02 Mar 2026 12:44:06 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:05 GMT]]>https://www.youtube.com/watch?v=Hlz07vF1sBM

]]>https://sla247.ru/forum/post/17094https://sla247.ru/forum/post/17094Mon, 02 Mar 2026 12:44:05 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:04 GMT]]>Я знаком с этим в отношении кода ASA, но я использую FTD с FMC... Есть ли какие-нибудь идеи, как проверить эту информацию?

]]>https://sla247.ru/forum/post/17093https://sla247.ru/forum/post/17093Mon, 02 Mar 2026 12:44:04 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:03 GMT]]>[) Encryption-3DES-AES Вам нужна лицензия для 3DES-AES, которая предоставляется бесплатно компанией Cisco.
Проверьте ссылку, она такая же, как ваша.
Спасибо,
MHM.

]]>https://sla247.ru/forum/post/17092https://sla247.ru/forum/post/17092Mon, 02 Mar 2026 12:44:03 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:02 GMT]]>Похоже, что шифр, который мы используем на ASA (
ecdhe-ecdsa-aes256-gcm-sha384) для трафика DTLS, не работает на Firepower, что соответствует логам, которые я получаю. Есть ли способ прикрепить ключи ECDSA к моему trustpoint в FMC?

]]>https://sla247.ru/forum/post/17091https://sla247.ru/forum/post/17091Mon, 02 Mar 2026 12:44:02 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:01 GMT]]>Это мой исходный вывод ASA:
Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group2 (1024-битный модуль).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
Внутренний интерфейс: **** (RSA 2048 бит RSA-SHA256) Вот вывод устройства Firepower «show ssl»: Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group14 (2048-битный модуль, FIPS).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
по умолчанию: **** (RSA 2048 бит RSA-SHA256) Есть какие-нибудь идеи?

]]>https://sla247.ru/forum/post/17090https://sla247.ru/forum/post/17090Mon, 02 Mar 2026 12:44:01 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:44:00 GMT]]>https://integratingit.wordpress.com/2021/01/28/secure-ftd-tls-ciphers/ Изменить шифр SSL.

]]>https://sla247.ru/forum/post/17089https://sla247.ru/forum/post/17089Mon, 02 Mar 2026 12:44:00 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:43:59 GMT]]>Я проверил MTU и убедился, что IPS не мешает. Единственные логи, которые могут пролить свет на ситуацию, приведены ниже: Устройство пропускает шифрование: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия Он подключается с ECDSA на ASA, но FMC/FTD подключается с этим шифром ECDHE_RSA_AES256_GCM_SHA384

]]>https://sla247.ru/forum/post/17088https://sla247.ru/forum/post/17088Mon, 02 Mar 2026 12:43:59 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:43:58 GMT]]>Здравствуйте У вас в сети есть IPS? А как насчет MTU? Вы проверяли? Недавно у меня возникла проблема с dtls, и мы обнаружили, что MTU и IPS теряют пакеты.

]]>https://sla247.ru/forum/post/17087https://sla247.ru/forum/post/17087Mon, 02 Mar 2026 12:43:58 GMT<![CDATA[Reply to сбои Cisco Firepower DTLS on Mon, 02 Mar 2026 12:43:57 GMT]]>Хорошо, мы наконец смогли решить эту проблему. Наши брандмауэры Windows блокировали исходящий UDP-трафик. Спасибо всем за помощь, но эта проблема уже решена.

]]>https://sla247.ru/forum/post/17086https://sla247.ru/forum/post/17086Mon, 02 Mar 2026 12:43:57 GMT