セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ローカルLAN 設定例への VPN クライアントおよび AnyConnect クライアントアクセス

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

Cisco 適応性があるセキュリティ アプライアンス モデル(ASA) 5500 シリーズか ASA 5500-X シリーズにトンネル伝送されている間この資料に Cisco VPN Client か Cisco AnyConnect セキュア モビリティ クライアントをローカルLAN しかアクセスしないことを許可する方法を記述されています。 この設定は IPsec、Secure Sockets Layer (SSL)、またはインターネット鍵交換 バージョン 2 (IKEv2)によって共有リソースに Cisco VPN Clients か Cisco AnyConnect セキュア モビリティ クライアント 安全なアクセスを許可し、まだクライアントにクライアントが見つけられる印刷のようなアクティビティを遂行する機能を与えます。 許可されている場合、インターネット宛てのトラフィックは引き続き ASA にトンネリングされます。

: これは、ASA や PIX に接続されているときにクライアントがインターネットに暗号化されていないアクセスを行うスプリット トンネリング用の設定ではありません。 詳細は、『PIX/ASA 7.x: ASA の分割トンネリングを設定する方法の情報のための ASA 設定例の VPN クライアントのための分割トンネリングを許可して下さい

グスタボ マディーナおよび Atri Basu によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントは、機能しているリモート アクセス VPN 設定が ASA にすでに存在していることを前提としています。

1 つがまだ設定されていない場合 Cisco VPN Client のための ASDM 設定例を使用してリモート VPN サーバとして PIX/ASA 7.x を参照して下さい。

1 つがまだ設定されていない場合 Cisco AnyConnect セキュア モビリティ クライアントのための AnyConnect SSL VPN クライアント 設定例の ASA 8.x VPN アクセスを参照して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 5500 シリーズ バージョン 9(2)1
  • Cisco Adaptive Security Device Manager(ASDM)バージョン 7.1(6)
  • Cisco VPN Clientバージョン 5.0.07.0440
  • Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.1.05152

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク図

クライアントは典型的なスモール オフィス/ホーム オフィス (SOHO) ネットワークにい、インターネットを渡って主要 な オフィスに接続します。

背景説明

VPN クライアントのためのローカルLAN アクセスをイネーブルにする時、すべてのインターネット トラフィックが送信 された非暗号化であるクラシック分割トンネリング シナリオとは違って、それあるネットワークのデバイスだけと非暗号化を伝える割り当てそれらのクライアント。 たとえば、ホームからの ASA に接続されている間ローカルLAN アクセスをできる自身のプリンタに印刷許可されるしかしインターネットに最初にトンネル上のトラフィックを送信 しないでアクセスしないためクライアント。

ASA でスプリット トンネリングを設定する場合とほぼ同じように、ローカル LAN アクセスの許可には、アクセス リストが使用されます。 ただし、アクセス リストで定義されるのは、暗号化するネットワークではなく、暗号化しないネットワークです。 また、スプリット トンネリング シナリオとは異なり、リスト内の実際のネットワークを知る必要はありません。 その代り、ASA はクライアントのローカルLAN を意味するために理解される 0.0.0.0/255.255.255.255 のデフォルトネットワークを供給します。

: クライアントがローカルLAN アクセスのために接続され、設定されるとき、ローカルLAN で名指しで印刷するか、または参照できません。 ただし、IP アドレスによる表示や印刷は可能です。 詳細についてはこの資料、またこの状況については回避策の Troubleshoot セクションを参照して下さい。

VPN クライアントまたは AnyConnect セキュアな機動性 クライアントのためのローカルLAN アクセスを設定して下さい

ASA に接続されている間ローカルLAN に Cisco VPN Clients か Cisco AnyConnect セキュア モビリティ クライアントをアクセス許可するためにこれらのタスクを完了して下さい:

ASDM 経由での ASA の設定

ASA に接続されている間 VPN クライアントがローカルLAN アクセスを持つように ASDM のこれらのステップを完了して下さい:

  1. > リモートアクセス VPN > ネットワーク(クライアント)アクセス > グループ ポリシー『Configuration』 を選択 し、ローカルLAN アクセスをイネーブルにしたいグループ ポリシーを選択して下さい。 次に [Edit] をクリックします。



  2. > 分割トンネリングは高度に行きます。



  3. ポリシーのための受継ボックスのチェックを外し、除きます下記のネットワークリストを選択して下さい。



  4. ネットワークリストのための受継ボックスのチェックを外し、次に Access Control List (ACL)マネージャを起動させるために『Manage』 をクリック して下さい。



  5. ACL Manager で、[Add] > [Add ACL...] の順に選択して、新しいアクセス リストを作成します。



  6. ACL に名前を指定して [OK] をクリックします。



  7. ACL 名が作成されてから、[Add > [Add ACE...] の順に選択してアクセス コントロール エントリ(ACE)を追加します。



  8. クライアントのローカル LAN に対応する ACE を定義します。

    1. [Permit] を選択します。
    2. 0.0.0.0 の IP アドレスを選択します。
    3. /32 のネットマスクを選択して下さい。
    4. ((オプション)説明を入力します。
    5. [OK] をクリックします。



  9. [OK] をクリックして ACL Manager を終了します。



  10. ちょうど作成した ACL がスプリットトンネル ネットワークリストに選択されることを確かめて下さい。



  11. [OK] をクリックして、グループ ポリシー設定に戻ります。



  12. コマンドを ASA に送信するために、[Apply] をクリックしてから [Send](必要な場合)をクリックします。

CLI による ASA の設定

ASA に接続しているときに VPN Client にローカル LAN へのアクセスを許可するには、ASDM を使用する代わりに ASA CLI で次の手順を実行することもできます。

  1. コンフィギュレーションモードに入ります。

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. ローカルLAN アクセスを許可するためにアクセス リストを作成して下さい。

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. 修正したいポリシーにおけるグループ ポリシー コンフィギュレーションモードを開始して下さい。

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. スプリット トンネル ポリシーを指定します。 この場合、ポリシーは excludespecified

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. スプリット トンネル アクセス リストを指定します。 この場合、リストは Local_LAN_Access です。

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. 次のコマンドを発行します。

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. グループ ポリシーをトンネル グループに関連付けます。

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. 2 つのコンフィギュレーション モードを終了します。

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9. この設定を Non-Volatile RAM(NVRAM; 不揮発性 RAM)に保存して、ソース ファイル名を指定するようにプロンプトが表示されたら、Enter キーを押します。

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Cisco VPN Client の設定

ASA に接続しているときにクライアントにローカル LAN アクセスを許可するには、VPN Client で次の手順を実行します。

  1. 現在の接続 エントリを選択し、『Modify』 をクリック して下さい。



  2. [Transport] タブに移動して、[Allow Local LAN Access] チェックボックスをオンにします。 設定が終了したら、[Save] をクリックします。

Cisco AnyConnect セキュア モビリティ クライアントを設定して下さい

Cisco AnyConnect セキュア モビリティ クライアントを設定するために、確立するを ASA 8.xSVC セクションの SSL VPN 接続参照して下さい: ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例』)を参照してください。

スプリット除外トンネリングでは、AnyConnect クライアントで AllowLocalLanAccess をイネーブルにすることが必要です。 すべてのスプリット除外トンネリングは、ローカル LAN アクセスと見なされます。 スプリット トンネリングの除外機能を使用するには、AnyConnect VPN Client preferencesAllowLocalLanAccess プリファレンスをイネーブルにする必要があります。 デフォルトでは、ローカル LAN アクセスはディセーブルになっています。 

ローカルLAN アクセスを許可し、従ってトンネリングを分割除くために、ネットワーク管理者はプロファイルでそれを有効に することができますまたはユーザはユーザー設定設定でそれを有効に することができます(次の セクションのイメージが表示されて下さい)。 スプリット トンネリングが安全なゲートウェイ上でイネーブルになっており、split-tunnel-policy exclude specified ポリシーで設定されている場合、ローカル LAN アクセスを許可するには、ユーザが [Allow Local LAN access] チェック ボックスをオンにします。 さらにローカルLAN アクセスが <LocalLanAccess UserControllable= "本当" >true</LocalLanAccess> と許可される場合、VPN クライアント プロファイルを設定できます。

ユーザ設定

ローカルLAN アクセスを許可するために Cisco AnyConnect セキュア モビリティ クライアントで Preferences タブで作る必要がある選択はここにあります。

XML プロファイル例

方法の例は XML で VPN クライアント プロファイルを設定するここにあります。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

確認

次に示すセクションの手順を実行して、設定を確認します。

VPN クライアントかセキュアな機動性 クライアントと接続して下さい

設定を確認するために ASA に VPN クライアントを接続して下さい。

  1. リストから接続エントリを選択して [Connect] をクリックします。



  2. トンネルの点を点検し、トラフィックフローを表示できるトンネル Details ウィンドウを表示するために Status > Statistics の順に選択 して下さい。 Transport セクションではローカル LAN 接続が有効かどうかも確認できます。



  3. VPN クライアントにまだローカルアクセスがアクセスできるルートを見るためにルート Details タブをクリックして下さい。

    この例では、VPN Client は 192.168.0.0/24 へのローカル LAN アクセスを許可されています。その他のすべてのトラフィックは暗号化され、トンネル経由で送信されます。

設定を確認するために ASA に Cisco AnyConnect セキュア モビリティ クライアントを接続して下さい。

  1. 接続 エントリを Server リストから選択し、『Connect』 をクリック して下さい。



  2. すべてのコンポーネント > 統計情報のためのウィンドウを…トンネルモードを表示するために『Advanced』 を選択 して下さい。 



  3. Cisco AnyConnect セキュア モビリティ クライアントはまだローカルアクセスをアクセスできるルートを見るためにルート Details タブをクリックして下さい。

    この例では、クライアントは他のトラフィックがすべてトンネルを渡って暗号化され、送信 される間、10.150.52.0/22 および 169.254.0.0/16 へのローカルLAN アクセスを許可されます。

セキュアな機動性 クライアントのための VPN クライアント ログか投げ矢を表示して下さい

VPN Client ログを調べると、ローカル LAN アクセスを許可するパラメータが設定されているかどうかを判別できます。 ログを調べるために、VPN クライアントの Log タブをクリックします。 それから記録 されるものが調節するために設定を『Log』 をクリック して下さい。 この例では、IKE は 3- High に設定されており、他のすべてのログ要素は 1 - Low に設定されています。

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Cisco AnyConnect セキュア モビリティ クライアント

診断からの AnyConnect ログを検査するおよびレポーティング ツール(投げ矢)が組み込むとき、ローカルLAN アクセスを許可するパラメータが設定 されるかどうか判別できます。

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

Ping によるローカル LAN アクセスのテスト

VPN ヘッドエンドにトンネル伝送されている間 VPN クライアントにまだローカルLAN アクセスがあることテストする追加方法は Microsoft Windows コマンド・ラインで ping コマンドを使用することです。 クライアントのローカルLAN が 192.168.0.0/24 であり、もう一つのホストが 192.168.0.3 の IP アドレスのネットワークにあるところに例はここにあります。

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

名前による印刷またはブラウズができない

VPN クライアントがローカル LAN アクセス用に接続および設定されている場合、ローカル LAN 上で名前による印刷または表示はできません。 この状況を回避するために次の 2 つのオプションを利用できます。

  • IP アドレスでブラウズまたは印刷する。

    • 、構文\ \ sharename の代りに参照するために、x.x.x.x がホストコンピュータの IP アドレスである構文\ \ x.x.x.x 使用して下さい。

    • 印刷するために、名前の代りに IP アドレスを使用するためにネットワーク プリンタのためのプロパティを変更して下さい。 たとえば、\\sharename\printername の構文の代わりに、\\x.x.x.x\printername の構文を使用します。x.x.x.x には IP アドレスを指定します。


  • VPN クライアントの LMHOSTS ファイルを作成または修正します。 Microsoft Windows PC の LMHOST ファイルはホスト名と IP アドレス間の静的マッピングを作成することを可能にします。 たとえば、次のような LMHOSTS ファイルを作成できます。

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    Microsoft Windows XP 専門版では、LMHOST ファイルは %SystemRoot%\System32\Drivers\Etc にあります。 詳細についてはマイクロソフトのドキュメンテーションか Microsoft Knowledge Base 記事 314108 を参照して下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 70847