セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

任意のポートで IPSec over TCP をサポートするための PIX/ASA 7.x の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 11 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX ファイアウォールと VPN ハードウェア クライアントとの間に、リモート VPN セッションを設定する方法について説明します。 この設定例では、任意のポートに IPsec over TCP を設定する手順が示されています。 この機能は、PIX バージョン 7.x で導入されました。

isakmp ipsec-over-tcp port コマンドを使用することにより、PIX は任意のポートで IPsec over TCP を使用して、Cisco VPN Software および Hardware Client に接続できます。

PIX セキュリティ アプライアンスでソフトウェア バージョン 6.x が稼働している場合の同様のシナリオについては、『PIX 6.x に VPN 3002 Hardware Client を接続する場合の設定例』を参照してください。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • PIX ファイアウォールでは、バージョン 7.0 以降のコードが稼働している必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX 515 バージョン 7.0.4

  • Cisco VPN 3002 ハードウェア クライアント 4.7.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この資料はまたと適応性があるセキュリティ アプライアンス モデル(ASA)その実行ソフトウェア バージョン 7.0 およびそれ以降 Cisco 5500 シリーズ使用することができます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-1.gif

設定

このドキュメントでは、次の設定を使用します。

PIX 7.x
PIX Version 7.0(4)
!
hostname pix
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 speed 10
 nameif outside
 security-level 0
 ip address 172.30.200.1 255.255.0.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.5.10 255.255.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
!
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any
access-list outside extended permit icmp any any
access-list OUT extended permit ip any any
!
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 172.30.200.2 1
!

!--- Output is suppressed.

group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec

!--- This specifies the VPN protocol used by this group. 
!--- The two options are IPsec and WebVPN. IPsec is configured for this example. 

 password-storage enable

!--- This allows the users to store passwords on VPN Client devices. 
!--- Password storage is disabled by default for security reasons. 
!--- Enable password storage only on systems that you know to be in secure sites.

 ip-comp disable
 re-xauth disable
 group-lock none
 pfs disable
 ipsec-udp disable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem enable

!--- Enter the nem command with the enable keyword in 
!--- group-policy configuration mode to enable network 
!--- extension mode for hardware clients. 
!--- This is disabled by default.

 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 
!--- Refer to Group Policies for more information.

!
crypto ipsec transform-set my-set esp-3des esp-md5-hmac
crypto dynamic-map dyn_outside 20 set transform-set my-set
crypto map mymap 20 ipsec-isakmp dynamic dyn_outside
crypto map mymap interface outside

!--- These are the IPsec parameters that are 
!--- negotiated with the client. In this example, dynamic maps are 
!--- used since the client IP address is not known.

isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

!--- These are the Phase 1 parameters negotiated by the two peers.

isakmp ipsec-over-tcp port 10000

!--- Use the isakmp ipsec-over-tcp command 
!--- in global configuration mode to enable IPsec over TCP.

tunnel-group DefaultRAGroup general-attributes

!--- A tunnel group consists of a set of records that 
!--- contain tunnel connection policies. The two attributes 
!--- are General and IPsec. 

 authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
: end 

Cisco VPN 3002 ハードウェア クライアント

次の手順を実行します。

  1. [Configuration] > [Interfaces] を選択して、両方のインターフェイスの IP アドレスを設定します。

    この例では、パブリック インターフェイスのアドレスは動的に割り当てられています。

    /image/gif/paws/68326/pix7x-ipsec-tcp-anyport-2.gif

  2. [Configuration] > [System] > [Tunneling Protocols] > [IPsec] を選択して、IPsec トンネルに関連したパラメータを設定します。

    [IPsec Over TCP] が選択されていることを確認します。また、PIX に設定されているのと同じポート番号が設定されていることを確認します。 この例では、ポート 10000 が使用されています。

    この例では、トンネルのグループ名とパスワードも設定されています。 これは、事前共有鍵を使用する場合にだけ必要になります。証明書を使用する場合には、必須ではありません。 この例では、グループ名は DefaultRAGroup です。

    pix7x-ipsec-tcp-anyport-3.gif

  3. PAT をディセーブルにして、Network Extension Mode(NEM)で IPsec トンネルを設定します。 [Configuration] > [Policy Management] > [Traffic Management] > [PAT] > [Enable] を選択します。

    NEM によって、ハードウェア クライアントは、VPN トンネルの反対側のリモートのプライベート ネットワークから、単一のルーティング可能なネットワークとして認識されるようになります。 IPsec によって、ハードウェア クライアントの背後のプライベート ネットワークから、セキュリティ アプライアンスの背後のネットワークに送られるすべてのトラフィックがカプセル化されます。

    pix7x-ipsec-tcp-anyport-4.gif

確認

ここでは、設定が正常に動作していることを確認します。

PIX 7.x の設定の確認

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Associations(SA; セキュリティ アソシエーション)をすべて表示します。 AM_ACTIVE というステートは、IPsec VPN トンネルのセットアップにメイン モードが使用されていることを示します。

    pix#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.1.1.5
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    
  • show crypto ipsec sa:現在の SA で使用されている設定を表示します。 ピア IP アドレス、ローカルとリモートの両端のアクセスが可能なネットワーク、および使用されている変換セットをチェックします。 2 つの ESP SA が、各方向に 1 つずつあります。

    pix#show crypto ipsec sa
    interface: outside
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (172.30.200.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.1.1.5/255.255.255.255/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 3B091B02
    
        inbound esp sas:
          spi: 0x4B73C095 (1265877141)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28607
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x3B091B02 (990452482)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28605
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 02E893BC
    
        inbound esp sas:
          spi: 0x67593523 (1733899555)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x02E893BC (48796604)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
  • show crypto isakmp ipsec-over-tcp stat:このコマンドを使用して、IPsec over TCP のパラメータをチェックします。

    pix#show crypto isakmp ipsec-over-tcp stat
    
    Global IPSec over TCP Statistics
    --------------------------------
    Embryonic connections: 0
    Active connections: 1
    Previous connections: 80
    Inbound packets: 803
    Inbound dropped packets: 0
    Outbound packets: 540
    Outbound dropped packets: 0
    RST packets: 87
    Recevied ACK heart-beat packets: 7
    Bad headers: 0
    Bad trailers: 0
    Timer failures: 0
    Checksum errors: 0
    Internal errors: 0

Cisco VPN 3002 ハードウェア クライアントの設定の確認

[Monitoring] > [Statics] > [IPsec] を選択して、VPN 3002 ハードウェア クライアントでトンネルがアップ状態になっているかどうかを確認します。 このウィンドウには、IKE パラメータと IPsec パラメータの両方に関する統計情報が表示されます。

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-5.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

インターフェイスで外部で予約される IPSec UDP のための IKE ポート 10000 既に

%ASA-6-713905 を受け取りました: 既にログメッセージの外部のインターフェイスで予約される IPSec UDP のための IKE ポート 10000

解決策

これは安全に無視することができる情報メッセージです。 この情報メッセージが発生したイベントを把握するのに使用されています。 このメッセージに関する詳細については、713905 を参照して下さい。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

次に、PIX で VPN トンネルに使用できる debug コマンドを示します。

  • debug crypto isakmp sa:ISAKMP SA ネゴシエーションをデバッグします。

  • debug crypto ipsec sa:IPSec SA ネゴシエーションをデバッグします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 68326