Hướng dẫn cấu hình Cisco AnyConnect VPN

Hướng dẫn cấu hình Cisco AnyConnect VPN

Trong điều kiện công nghệ đang ngày một phát triển như ngày nay, nhu cầu làm việc từ xa hay làm việc lưu động được nhiều công ty áp dụng cho nhân viên của họ. Mặc dù vậy, việc truy cập vào hệ thống công ty từ xa tiềm ẩn rất nhiều rủi ro về bảo mật thông tin doanh nghiệp. Nắm được vấn đề này, tập đoàn Cisco đã cho ra đời sản phẩm Cisco AnyConnect VPN Client. Vậy phần mềm này là gì, cách cấu hình ra sao? Hãy cùng tìm hiểu thêm ở bài viết dưới đây!

Cisco AnyConnect VPN Client là gì?

Cisco AnyConnect là một phần mềm được nghiên cứu và phát triển bởi tập đoàn Cisco System nhằm đem đến giải pháp kết nối từ xa của nhân viên làm việc tại nhà hay nhân viên lưu động vào hệ thống của công ty một cách an toàn, bảo mật thông tin. Phần mềm này cũng được áp dụng tại các văn phòng, chi nhánh con ở xa muốn kết nối với công ty mẹ hay văn phòng trung tâm.

AnyConnect cũng được người dùng từ xa kết nối với VPN Server theo dạng User-to-LAN. VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS...

Cấu hình Cisco AnyConnect VPN Client trên FTD (Firepower Threat Defense)

Những yêu cầu cần chuẩn bị

Trước khi tiến hành định cấu hình, Datech khuyên bạn nên nắm rõ được các kiến thức sau:

• Kiến thức cơ bản về SSL, VPN truy cập từ xa và IKEv2 (Internet Key Exchange phiên bản 2).
• Kiến thức FMC, FTD, Radius và AAA cơ bản.

Hướng dẫn cấu hình

Ở đây chúng mình đang áp dụng với phần mềm Anny Connect phiên bản 4.7, Cisco FMC (Firepower Management Center) 6.4 và Cisco FTD (Cisco trên Firepower Threat Defense) 6.3.

Nhập chứng chỉ SSL

1. Vào thiết bị, chọn Devices và chọn Add Certificates.
2. Chọn Devices và thêm đối tượng đăng ký chứng chỉ mới tại mục Add Cert Enrollment.
3. Chọn Enrollment Type và dán chứng chỉ CA (chứng chỉ dùng để ký CSR) ở mục CA certificate.
4. Ở mục Certificate Parameters và thiết lập FQDN bằng cách nhập đầy đủ các thông tin.
5. Ở mục Key, chọn loại key, ở đây bạn có thể thay đổi tên và kích cỡ. Đối với RSA, yêu cầu tối thiểu là 2048 byte.
6. Chọn Save, xác nhận lại Devices, ở phần Cert Enrollment, chọn chứng chỉ vừa tạo, chọn Add để triển khai chứng chỉ SSL.
7. Sau khi thêm thành công, trạng thái chứng chỉ sẽ xuất hiện , chọn vào biểu tượng ID, chọn Yes để tạo CSR.
8. Sao chép CSR và ký CA thường sử dụng của bạn.
9. Sau khi nhận được chứng chỉ nhận dạng từ CA, chọn Browse Identity Certificate và tìm chứng chỉ ở trong máy. Nhấn Import.
10. Sau khi nhập thành công, thông tin về chứng chỉ CA lẫn ID đều sẽ được hiển thị.

Định cấu hình máy chủ RADIUS

Do trên FTD do FMC quản lý không hỗ trợ cơ sở dữ liệu người dùng cục bộ nên bạn cần sử dụng một phương thức khác, chả hạn như RADIUS.

1. Lựa chọn Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
2. Gán tên cho RADIUS, thêm địa chỉ IP và các thông tin bảo mật, chọn Save sau khi đã hoàn thành xong các thông tin.
3. Thông tin của RADIUS sẽ được hiển thị sẵn trong phần RADIUS Servers.

Tạo nhóm IP

1. Lựa chọn Objects > Object Management > Address Pools > Add IPv4 Pools.
2. Gán tên và địa chỉ IP, ở mục Mask không bắt buộc nhưng bạn có thể nhập 225.225.225.0.
3. Chọn Save.

Tạo hồ sơ XML

1. Truy cập Cisco.com và tải về trình biên tập hồ sơ.
2. Mở trình biên tập, chọn Server List, chọn thêm và điền đầy đủ các thông tin về tên hiển thị, tên miền đủ điều kiện (FQDN)/địa chỉ IP.
3. Chọn OK. Thông tin vừa thêm sẽ hiển thị tại Server List.
4. Chọn File > Save As để lưu hồ sơ.

Tải lên hồ sơ XML AnyConnect

1. Trong FMC, lần lượt chọn Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
2. Điền tên, tìm kiếm hồ sơ khách hàng trong hệ thống cục bộ ở mục File Name bằng cách ấn Browser. 
3. Chọn Save.

Tải lên phần mềm AnyConnect

1. Truy cập Cisco và tải xuống phần mềm AnyConnect với đuôi .pkg
2. Lần lượt chọn Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
3. Điền tên, chọn tệp AnyConnect vừa tải.
4. Chọn Save.

Trình hướng dẫn VPN từ xa

Bạn có thể dựa trên các bước đã triển khai trước đó để thực hiện trình hướng dẫn từ xa.

1. Lần lượt chọn Devices > VPN > Remote Access.
2. Điền tên và chọn thiết bị FTD ở phần Available Devices.
3. Gán tên cấu hình kết nối ở phần Connection Profile Name, chọn Authentication Server and Address Pools.
4. Chọn biểu tượng dấu “+” để tạo mới Group Policy.
5. Tùy chọn nhóm địa chỉ IP cục bộ có thể được định cấu hình trên cơ sở chính sách nhóm. Nếu nó không được cấu hình, nó sẽ kế thừa từ nhóm được định cấu hình sẵn trong Cấu hình kết nối. Đối với trường hợp này, toàn bộ truy cập được được định tuyến qua đường hầm. Chính sách  IPv4 Split Tunneling sẽ được đặt thành Allow all traffic over the tunnel.
6. Chọn đuôi .xml cho cấu hình AnyConnect.
7. Chọn Save.
8. Chọn cấu hình AnyConnect đúng theo yêu cầu của hệ thống, sau đó chọn Next.
9. Chọn Security Zone và Device Certificates.
10. Chọn Finish và Triển khai các thay đổi. Sau đó tất các các cấu hình liên quan đến VPS, chứng chỉ SSL, phần mềm AnyConnect sẽ được đẩy qua FMC 

Hướng dẫn cầu hình NAT Exemption and Hairpin

Cấu hình NAT Exemption

1. Lựa chọn Objects> Network > Add Network > Add Object.
2. Chọn Device > NAT, chọn chính sách NAT.
3. Chọn tài nguyên nội bộ đằng sau FTD và đích làm nhóm IP cục bộ cho người dùng phần mềm AnyConnect.
4. Đảm bảo bật no-proxy-arp, route-lookup và tắt các phần còn lại. 
5. Chọn OK

Cấu hình Hairpin

1. Tạo một cấu hình NAT mới, chọn Auto NAT Rule trong mục Nat Rule và Dynamic trong mục Type.
2. Chọn giống nhau cho các đối tượng giao diện nguồn và đích.
3. Tại mục Translation, chọn đối tượng vpn-pool là Original Source và chọn Destination Interface IP là Translated Source.
4. Chọn Ok.
5. Chọn Save và triển khai

Trên đây là thông tin và cách cấu hình Cisco AnyConnect VPN Client mà Datech muốn chia sẻ đến bạn. Hy vọng những thông tin này hữu ích với bạn, cảm ơn bạn đã theo dõi!