Firepower（FTD）で Cisco Secure Clientを使用する場合、TLS が原因で VPN が貼れないケースは“非常に多い”です。
特に Firepower は ASA と違い、FTD の SSL/TLS 周りの動きが独特で、細かいポイントを外すと接続できません。

Contents

1 Firepower（FTD）× Cisco Secure Client
2 TLS が原因で VPN 接続できない典型パターン
3 ① 証明書（CA / サーバー証明書）の不備
4 対策（証明書）
5 ② TLS バージョンのミスマッチ（非常に多い）
6 ▶ 対策（TLS version）
7 ④ MTU/MSS 問題（Firepower でかなり多い）
8 ▶ 対策（MTU/MSS）
9 ⑤ NAT / ACL / Policy 中で SSL-VPN トラフィックが落ちている
10 ▶ 対策（最重要）
11 Firepower で SSL-VPN を使うときの正しい設定フロー
12 実際の “TLS エラー例”（Firepower ログ）

Firepower（FTD）× Cisco Secure Client

TLS が原因で VPN 接続できない典型パターン

① 証明書（CA / サーバー証明書）の不備

Firepower の SSL-VPN では 証明書が最重要 です。

よくあるNGポイント：

❌ 1. FQDN と CN/SAN が一致していない

例：

接続URL → vpn.example.com
証明書のCN → firepower.localdomain

→ TLS ハンドシイクで即拒否

❌ 2. 中間証明書を Firepower に入れていない

証明書チェーンが途中で切れると
AnyConnect が “証明書検証失敗” で接続拒否

Firepower は ASA より中間証明書に厳しいです。

❌ 3. 証明書期限切れ

当たり前ですが、FTD は期限切れ cert をそのまま提示するので TLS が即失敗します。

対策（証明書）

FMC（またはFDM）で：

Objects > PKI > Internal Certs > Import
Objects > PKI > CA > Import

そして Connection Profile で正しい証明書を選択しているか確認。

② TLS バージョンのミスマッチ（非常に多い）

Firepower の “SSL Settings” で
TLS1.0 / 1.1 を有効にしたまま、
Secure Client が TLS1.2/1.3 強制 になっていると失敗します。

特に最近の Secure Client は “TLS1.2 未満は拒否” のことが多い。

▶ 対策（TLS version）

FTD（FMC管理）の場合：

Devices > VPN > Remote Access > SSL Settings

で TLS1.2 を有効／優先にします。

推奨：

✔ TLS1.2 のみ
❌ TLS1.0/1.1 は無効（セキュリティ的にも禁止推奨）

④ MTU/MSS 問題（Firepower でかなり多い）

特に PPPoE 回線で MTU=1454 の環境では TLS の ClientHello が断片化し、途中で消失します。

症状：

Secure Client「接続中…」で止まる
TLS ハンドシイクが完了しない

▶ 対策（MTU/MSS）

Firepower CLI：

system support diagnostic-cli
configure firewall
sysopt connection tcpmss 1300

または VPN プロファイルで 1300〜1350推奨

⑤ NAT / ACL / Policy 中で SSL-VPN トラフィックが落ちている

Firepower は NAT と Access Control Policy が ASA より複雑です。

TLS ハンドシイク中のパケットが以下でブロックされることがあります：

access-control-policy
NAT の no-proxy-arp 問題
インスペクション（TLS）

特に「TLS Inspection」が ON だと SSL-VPN が壊れます。

▶ 対策（最重要）

SSL Decryption / TLS Inspection を “OFF” にする
SSL-VPN ポリシーが破壊されるため。

Firepower で SSL-VPN を使うときの正しい設定フロー

1. Connection Profile 作成

トンネルグループ
AAA
ポータル
グループポリシー

2. 証明書設定

CA + 中間証明書
サーバー証明書割り当て

3. SSL 設定（TLS/暗号）

TLS1.2
ECDHE + AES-GCM

4. NAT/ACL

Outside の 443 へ NAT
ACL は自動生成だが、不要な block がないか確認

5. TLS Inspection を無効化

（SSL-VPN に干渉するため）

実際の “TLS エラー例”（Firepower ログ）

FTD の VPN debug でよく見るエラー：

TLS alert, unknown_ca
TLS handshake failed
protocol version mismatch
unsupported cipher
certificate validate failed

これらは全て TLS が原因です。

ネットワークエンジニアでフリーランスの日々

VPNが貼れない原因(TLSの場合)(firepowerでSecure Client)

Firepower（FTD）× Cisco Secure Client

TLS が原因で VPN 接続できない典型パターン

① 証明書（CA / サーバー証明書）の不備

❌ 1. FQDN と CN/SAN が一致していない

❌ 2. 中間証明書を Firepower に入れていない

❌ 3. 証明書期限切れ

対策（証明書）

② TLS バージョンのミスマッチ（非常に多い）

▶ 対策（TLS version）

④ MTU/MSS 問題（Firepower でかなり多い）

▶ 対策（MTU/MSS）

⑤ NAT / ACL / Policy 中で SSL-VPN トラフィックが落ちている

▶ 対策（最重要）

Firepower で SSL-VPN を使うときの正しい設定フロー

1. Connection Profile 作成

2. 証明書設定

3. SSL 設定（TLS/暗号）

4. NAT/ACL

5. TLS Inspection を無効化

実際の “TLS エラー例”（Firepower ログ）

お知らせ

頭を良くする方法

作業効率化　ソフト　ペースター

頭の禿げを防ぐ、増毛、育毛

やる気が出る方法

おすすめ本：きたみりゅうじ本

VPNが貼れない原因(TLSの場合)(firepowerでSecure Client)

Firepower（FTD）× Cisco Secure Client

TLS が原因で VPN 接続できない典型パターン

① 証明書（CA / サーバー証明書）の不備

❌ 1. FQDN と CN/SAN が一致していない

❌ 2. 中間証明書を Firepower に入れていない

❌ 3. 証明書期限切れ

対策（証明書）

② TLS バージョンのミスマッチ（非常に多い）

▶ 対策（TLS version）

④ MTU/MSS 問題（Firepower でかなり多い）

▶ 対策（MTU/MSS）

⑤ NAT / ACL / Policy 中で SSL-VPN トラフィックが落ちている

▶ 対策（最重要）

Firepower で SSL-VPN を使うときの正しい設定フロー

1. Connection Profile 作成

2. 証明書設定

3. SSL 設定（TLS/暗号）

4. NAT/ACL

5. TLS Inspection を無効化

実際の “TLS エラー例”（Firepower ログ）

頭を良くする方法

作業効率化 ソフト ペースター

頭の禿げを防ぐ、増毛、育毛

やる気が出る方法

おすすめ本：きたみりゅうじ本

作業効率化　ソフト　ペースター