セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x:ASA で VPN クライアントのスプリット トンネリングを許可するための設定例

2006 年 8 月 7 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 10 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      ネットワーク ダイアグラム
      関連製品
      表記法
背景説明
ASA でのスプリット トンネリングの設定
      Adaptive Security Device Manager(ASDM)による ASA の設定
      CLI による ASA の設定
確認
      VPN Client を使用した接続
      VPN Client ログの確認
      Ping によるローカル LAN アクセスのテスト
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスにトンネル接続している VPN クライアントにインターネット アクセスを許可する手順について説明します。 この設定により VPN クライアントは、IPsec を使用した企業リソースへのセキュアなアクセスと、セキュリティ保護されていないインターネット アクセスの両方を実現できます。

注:スプリット トンネリングの設定にはセキュリティ上のリスクが伴います。 セキュリティ保護されていないインターネット アクセスが VPN クライアントに許可されるため、攻撃者がクライアントに侵入する可能性があります。 この結果、攻撃者が IPsec トンネル経由で企業 LAN にアクセスできるようになる可能性があります。 完全なトンネリングとスプリット トンネリングの間の妥協案として、VPN クライアントにローカル LAN アクセスだけを許可する方法が考えられます。 詳細については、『PIX/ASA 7.x:VPN クライアントにローカル LAN アクセスを許可するための設定例』を参照してください。

前提条件

要件

このドキュメントでは、ASA でリモート アクセス VPN 設定がすでに機能していることを前提としています。 未設定の場合は、『ASDM を使用したリモート VPN サーバとしての PIX/ASA 7.x の設定例』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 5500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.2

  • Cisco Systems VPN Client バージョン 4.0.5

このドキュメントの情報は、特定のラボ環境にあるデバイスを使用して作成されたものです。このドキュメント内で使用されているデバイスはすべて、クリアな設定(デフォルト)から作業を始めています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

ネットワーク ダイアグラム

VPN クライアントは一般的な SOHO ネットワーク上にあり、インターネット経由で本社に接続しています。

asa-split-tunnel-vpn-client-1.gif

関連製品

この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.x にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

VPN Client と ASA の基本的な接続シナリオでは、宛先に関係なく、VPN Client からのすべてのトラフィックは暗号化されて ASA に送信されます。 企業の構成とサポートしているユーザ数によっては、このような設定は帯域幅を多く消費します。 スプリット トンネリングでは、トンネル接続で、企業ネットワーク向けトラフィックの送信だけがユーザに許可されるため、この問題の軽減に役立ちます。 インスタント メッセージ、電子メール、または通常の Web 閲覧など、その他すべてのトラフィックは、VPN Client のローカル LAN 経由でインターネットに送出されます。

ASA でのスプリット トンネリングの設定

Adaptive Security Device Manager(ASDM)による ASA の設定

次の手順を実施して、グループのユーザにスプリット トンネリングを許可するトンネル グループを設定します。

  1. Configuration > VPN > General > Group Policy の順に選択し、ローカル LAN アクセスをイネーブルにするグループ ポリシーを選択します。次に Edit をクリックします。

    asa-split-tunnel-vpn-client-2.gif

  2. Client Configuration タブに移動します。

    asa-split-tunnel-vpn-client-3.gif

  3. Split Tunnel Policy の Inherit ボックスのチェックマークを外し、Tunnel Network List Below を選択します。

    asa-split-tunnel-vpn-client-4.gif

  4. Split Tunnel Network List の Inherit ボックスのチェックマークを外し、Manage をクリックして、ACL Manager を起動します。

    asa-split-tunnel-vpn-client-5.gif

  5. ACL Manager で Add > Add ACL... の順に選択し、新規のアクセス リストを作成します。

    asa-split-tunnel-vpn-client-6.gif

  6. ACL の名前を入力し、OK をクリックします。

    asa-split-tunnel-vpn-client-7.gif

  7. ACL が作成されたら、Add > Add ACE... の順に選択し、Access Control Entry(ACE; アクセス コントロール エントリ)を追加します。

    asa-split-tunnel-vpn-client-8.gif

  8. ASA 背後の LAN に対応する ACE を定義します。 この場合、10.0.1.0/24 のネットワークです。

    1. Permit を選択します。

    2. IP アドレスには 10.0.1.0 を選択します。

    3. ネットマスクには 255.255.255.0 を選択します。

    4. オプションで、説明を入力します。

    5. OK をクリックします。

      asa-split-tunnel-vpn-client-9.gif

  9. OK をクリックして、ACL Manager を終了します。

    asa-split-tunnel-vpn-client-10.gif

  10. Split Tunnel Network List で、作成した ACL が選択されていることを確認します。

    asa-split-tunnel-vpn-client-11.gif

  11. OK をクリックして、グループ ポリシーの設定に戻ります。

    asa-split-tunnel-vpn-client-12.gif

  12. ApplySend(必要な場合)の順にクリックして、コマンドを ASA に送信します。

    asa-split-tunnel-vpn-client-13.gif

CLI による ASA の設定

ASDM を使用する代わりに、ASA CLI で次の手順を実施して、ASA でスプリット トンネリングを許可できます。

  1. コンフィギュレーションモードに入ります。

      ciscoasa>enable
      Password: ********
      ciscoasa#configure terminal
      ciscoasa(config)#
      
  2. ASA 背後のネットワークを定義するアクセス リストを作成します。

      ciscoasa(config)#access-list Split_Tunnel_List remark The corporate network behind the ASA.
      ciscoasa(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0
       
  3. 修正するポリシーのグループ ポリシー コンフィギュレーションモードに入ります。

      ciscoasa(config)#group-policy hillvalleyvpn attributes
      ciscoasa(config-group-policy)#
      
  4. スプリット トンネル ポリシーを指定します。 この例では、ポリシーは tunnelspecified です。

     ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      
  5. スプリット トンネル アクセス リストを指定します。 この例では、リストは Split_Tunnel_List です。

      ciscoasa(config-group-policy)#split-tunnel-network-list value Split_Tunnel_List
      
  6. 2 つのコンフィギュレーションモードを終了します。

      ciscoasa(config-group-policy)#exit
      ciscoasa(config)#exit
      ciscoasa#
      
  7. 設定を Non-Volatile RAM(NVRAM; 不揮発性 RAM)に保存し、ソース ファイル名を指定するよう求められたら Enter キーを押します。

      ciscoasa#copy running-config startup-config
      
      Source filename [running-config]?
      Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
      
      3847 bytes copied in 3.470 secs (1282 bytes/sec)
      ciscoasa#
      

確認

設定を確認するには、次のセクションの手順を実施します。

VPN Client を使用した接続

VPN Client を VPN Concentrator に接続して、設定を確認します。

  1. リストから接続エントリを選択して Connect をクリックします。

    asa-split-tunnel-vpn-client-14.gif

  2. クレデンシャルを入力します。

    asa-split-tunnel-vpn-client-15.gif

  3. Status > Statistics... の順に選択して Tunnel Details ウィンドウを表示します。ここで、トンネルの詳細と流れているトラフィックを確認できます。

    asa-split-tunnel-vpn-client-16.gif

  4. Route Details タブに移動し、VPN Client によりセキュリティ保護されている ASA へのルートを確認します。

    この例では、VPN Client は 10.0.1.0/24 へのアクセスをセキュリティ保護しています。その他のすべてのトラフィックは暗号化されず、トンネル経由では送信されません。

    asa-split-tunnel-vpn-client-17.gif

VPN Client ログの確認

VPN Client ログを調査すると、スプリット トンネリングを指定するパラメータが設定されているかどうかを確認できます。 ログを見る場合は、VPN Client で Log タブに移動します。 次に Log Settings をクリックし、ログの記録対象を調整します。 この例では、IKE が 3 - High、その他のログ要素が 1 - Low に設定されています。

asa-split-tunnel-vpn-client-18.gif

  Cisco Systems VPN Client Version 4.0.5 (Rel)
  Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
  Client Type(s): Windows, WinNT
  Running on: 5.1.2600 Service Pack 2
  
  1      14:20:09.532  07/27/06  Sev=Info/6       IKE/0x6300003B
  Attempting to establish a connection with 172.22.1.160.
  
  
  !--- 出力を省略。
  
  
  18     14:20:14.188  07/27/06  Sev=Info/5       IKE/0x6300005D
  Client sending a firewall request to concentrator
  
  19     14:20:14.188  07/27/06  Sev=Info/5       IKE/0x6300005C
  Firewall Policy: Product=Cisco Systems Integrated Client, 
  Capability= (Centralized Protection Policy).
  
  20     14:20:14.188  07/27/06  Sev=Info/5       IKE/0x6300005C
  Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
  Capability= (Are you There?).
  
  21     14:20:14.208  07/27/06  Sev=Info/4       IKE/0x63000013
  SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160
  
  22     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x6300002F
  Received ISAKMP packet: peer = 172.22.1.160
  
  23     14:20:14.208  07/27/06  Sev=Info/4       IKE/0x63000014
  RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160
  
  24     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x63000010
  MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50
  
  25     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x63000010
  MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0
  
  26     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x6300000D
  MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000
  
  27     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x6300000D
  MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000
  
  28     14:20:14.208  07/27/06  Sev=Info/5       IKE/0x6300000E
  MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 
  Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45
  
  !--- スプリット トンネリングを許可し、リモート LAN を定義します。
  
  29     14:20:14.238  07/27/06  Sev=Info/5       IKE/0x6300000D
  MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), 
  value = 0x00000001
  
  30     14:20:14.238  07/27/06  Sev=Info/5       IKE/0x6300000F
  SPLIT_NET #1
          subnet = 10.0.1.0 
          mask = 255.255.255.0
          protocol = 0
          src port = 0
          dest port=0
  
  !--- 出力を省略。
  
  

Ping によるローカル LAN アクセスのテスト

VPN Client が ASA とトンネル接続しながらスプリット トンネリングを実現できる設定になっているかどうかは、Windows コマンドラインで ping コマンドを発行する方法でも確認できます。 VPN Client のローカル LAN は 192.168.0.0/24 で、もう一方のホストも同じネットワーク上に存在し、IP アドレス 192.168.0.3 が付与されています。

  C:\>ping 192.168.0.3
  Pinging 192.168.0.3 with 32 bytes of data:
  
  Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
  Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
  Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
  Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
  
  Ping statistics for 192.168.0.3:
      Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  Approximate round trip times in milli-seconds:
      Minimum = 0ms, Maximum = 0ms, Average = 0ms
  

トラブルシューティング

現時点では、この設定に対して使用可能な特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報