① AnyConnect（Cisco Secure Client）イメージが未アップロード

Firepower で RA-VPN を動かす場合、
CSD / SBL / webvpn 用の AnyConnect パッケージが必要 です。

未登録の状態で接続すると、内部エラーが出ます。

🔧 確認コマンド（ASA モード）

show webvpn anyconnect

🔧 正しいアップロード例

webvpn
  anyconnect image disk0:/anyconnect-win-5.x.x-k9.pkg 1
  anyconnect enable

② 証明書の失敗（自己署名の期限切れ、多重 CN、不正な Key）

Firepower は TLS ハンドシェイク部分が厳しく、以下で内部エラーが起こります：

• ルート証明書が古い／期限切れ
• CN（CommonName）が FQDN と一致しない
• キー長が 2048 未満
• 無効な PEM/PKCS12 をインストールした

🔧 確認

show crypto ca certificates
show running-config crypto ca trustpoints

③ DH グループ・暗号スイート不一致（TLS エラー）

Secure Client が TLS1.2 以上を使おうとするが、
Firepower 側の SSL 設定が古い と内部エラーになる。

🔧 確認

show ssl settings

推奨設定

ssl server-version tlsv1.2
ssl client-version tlsv1.2
ssl cipher tlsv1.2 custom "ECDHE-RSA-AES256-SHA384"

④ グループポリシーまたはトンネルグループの設定不備

設定途中でよく発生するパターン：

• アドレスプール未設定
• 認証サーバ（AAAサーバ）が無効
• ポリシー中の “default-domain” が不正

🔧 確認

show running-config tunnel-group
show running-config group-policy

⑤ NAT エラー（VPN トラフィックが NATTED される）

内部ネットワーク宛トラフィックが誤って PAT され、エラーのもとに。

🔧 必須の NAT exemption

nat (inside,outside) source static inside inside destination static VPN_POOL VPN_POOL no-proxy-arp

⑥ FTD管理モードの不整合（FMC/FDM/ASA 切り替え時）

Firepower 1010 でよく起こる：

• ASA → FTD へ切り替え後に残骸コンフィグがある
• FDM / FMC が中途半端に残っている
• ライセンスが RA-VPN を許可していない

まず確認すべき3つのコマンド

show vpn-sessiondb anyconnect
show webvpn anyconnect
show logging