セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x:VPN クライアントでローカル LAN アクセスを許可するための設定例

2010 年 8 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 2 月 25 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      ネットワーク ダイアグラム
      関連製品
      表記法
背景説明
VPN Client 用のローカル LAN アクセスの設定
      ASDM 経由での ASA の設定
      CLI による ASA の設定
      Cisco VPN Client の設定
      SSL VPN Client(SVC)/AnyConnect VPN Client の設定
確認
      VPN Client で接続する
      VPN Client ログを表示する
      ping でローカル LAN アクセスをテストする
トラブルシューティング
      名前による印刷またはブラウズができない
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco ASA 5500 シリーズ セキュリティ アプライアンスまたは PIX 500 シリーズ セキュリティ アプライアンスにトンネリングしながら、Cisco VPN Client がローカル LAN だけにアクセスを許可する方法の手順について説明します。この設定によって、Cisco VPN Client は IPSec 経由で企業リソースへの安全なアクセスができると同時に、クライアントがどこにあっても印刷などのアクティビティを実行する機能をクライアントに提供できます。許可されている場合、インターネット宛てのトラフィックは引き続き ASA または PIX にトンネリングされます。

ドキュメントで使用される ASA CLI と ASDM の設定は、Cisco ASA 5500 シリーズ セキュリティ アプライアンスにトンネリングされる一方で、Cisco ANYConnect VPN Client(SVC)用のローカル LAN アクセスも許可できます。この設定によって、SSL VPN Client は SSL 経由で企業リソースへの安全なアクセスができると同時に、クライアントがどこにあっても印刷などのアクティビティを実行する機能をクライアントに提供できます。許可されている場合、インターネット宛てのトラフィックは引き続き ASA にトンネリングされます。

Secure Socket Layer(SSL)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)テクノロジーによって、任意の場所から社内ネットワークに安全に接続できます。詳細は、『ASDM を使用した ASA での SSL VPN クライアント(SVC)の設定例』を参照してください。

PIX 500 シリーズ セキュリティ アプライアンスは SSL/WEB VPN をサポートしません。

注:これは、ASA や PIX に接続されているときにクライアントがインターネットに暗号化されていないアクセスを行うスプリット トンネリング用の設定ではありません。ASA または PIX でスプリット トンネリングを設定する詳細は、『PIX/ASA 7.x:ASA で VPN クライアントのスプリット トンネリングを許可するための設定例』を参照してください。



前提条件

要件

このドキュメントは、動作中のリモート アクセス VPN 設定が ASA または PIX にすでに存在していることを前提としています。まだ設定されていない場合には、IPSec 用の『ASDM を使用した PIX/ASA 7.x をリモート VPN サーバとする設定例』を参照してください。

このドキュメントは、機能しているリモート アクセス VPN 設定が ASA にすでに存在していることを前提としています。まだ設定されていない場合には、SSL 用の『ASDM を使用した ASA での SSL VPN クライアント(SVC)の設定例』を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 5500 シリーズ セキュリティ アプライアンス バージョン 7.2

  • Cisco VPN Client バージョン 4.0.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



ネットワーク ダイアグラム

VPN Client は、典型的な SOHO ネットワークに存在し、インターネット経由で本社に接続します。

local-lan-pix-asa-20.gif



関連製品

この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス バージョン 7.x にも適用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

すべてのインターネット トラフィックが暗号化されずに送信される従来のスプリット トンネリング シナリオとは異なり、VPN Client 用にローカルの LAN アクセスをイネーブルにすると、それらのクライアントは、存在する場所のネットワーク上にあるデバイスだけと暗号化せずに通信することを許可されます。たとえば、自宅から ASA に接続しているときにローカル LAN アクセスを許可される VPN Client は、所有しているプリンタに印刷することはできますが、トンネル経由でトラフィックを最初に送信せずにインターネットにアクセスすることはできません。

アクセス リストは、スプリット トンネリングが ASA で設定されるのとまったく同じ方法でローカル LAN アクセスを許可するために使用されます。ただし、この場合のアクセス リストは、どのネットワークを暗号化すべきかを定義するのではなく、どのネットワークを暗号化すべきではないかを定義します。また、スプリット トンネリング シナリオとは異なり、リスト内の実際のネットワークを知る必要はありません。その代わりに、ASA は、VPN Client のローカル LAN を意味すると理解されているデフォルト ネットワークの 0.0.0.0/255.255.255.255 を供給します。

注:VPN Client がローカル LAN アクセス用に接続され設定されていると、ローカル LAN では名前によって印刷やブラウズを行うことはできません。ただし、IP アドレスでブラウズや印刷を行うことはできます。この状況の詳細と回避策については、このドキュメントの「トラブルシューティング」セクションを参照してください。



VPN Client 用のローカル LAN アクセスの設定

VPN コンセントレータに接続しているときに、VPN Client にローカル LAN へのアクセスを許可するには、次の 2 つの手順を実行します。



ASDM 経由での ASA の設定

ASA に接続しているときに VPN Client にローカル LAN へのアクセスを許可するには、次の手順を実行します。

  1. [Configuration] > [VPN] > [General] > [Group Policy] を順に選択して、ローカル LAN アクセスをイネーブルにするグループ ポリシーを選択します。次に [Edit] をクリックします。

    local-lan-pix-asa-1.gif

  2. [Client Configuration] タブを選択します。

    local-lan-pix-asa-2.gif

  3. [Split Tunnel Policy] の [Inherit] ボックスをオフにし、[Exclude Network List Below] を選択します。

    local-lan-pix-asa-3.gif

  4. [Split Tunnel Network List] の [Inherit] ボックスをオフにし、[Manage] をクリックして ACL Manager を起動します。

    local-lan-pix-asa-4.gif

  5. ACL Manager 内で、[Add] > [Add ACL...] の順に選択して、新しいアクセス リストを作成します。

    local-lan-pix-asa-5.gif

  6. ACL に名前を付けて、[OK] をクリックします。

    local-lan-pix-asa-6.gif

  7. ACL が作成されたら、[Add] > [Add ACE...] の順に選択して、Access Control Entry(ACE; アクセス コントロール エントリ)を追加します。

    local-lan-pix-asa-7.gif

  8. クライアントのローカル LAN に対応する ACE を定義します。

    1. [Permit] を選択します。

    2. 0.0.0.0 の IP アドレスを選択します。

    3. 255.255.255.255 のネットマスクを選択します。

    4. (オプション)説明を記入します。

    5. [OK] をクリックします。

      local-lan-pix-asa-8.gif

  9. [OK] をクリックして ACL Manager を終了します。

    local-lan-pix-asa-9.gif

  10. いま作成した ACL が [Split Tunnel Network List] で選択されていることを確認します。

    local-lan-pix-asa-10.gif

  11. [OK] をクリックして、グループ ポリシー設定に戻ります。

    local-lan-pix-asa-11.gif

  12. コマンドを ASA に送信するために、[Apply] をクリックしてから [Send](必要な場合)をクリックします。

    local-lan-pix-asa-12.gif



CLI による ASA の設定

ASA に接続しているときに VPN Client にローカル LAN へのアクセスを許可するには、ASDM を使用する代わりに ASA CLI で次の手順を実行することもできます。

  1. コンフィギュレーション モードを開始します。

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#
  2. ローカル LAN アクセスを許可するためにアクセス リストを作成します。

    ciscoasa(config)#access-list Local_LAN_Access remark VPN Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    
  3. 変更するポリシーのグループ ポリシー コンフィギュレーション モードを開始します。

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#
  4. スプリット トンネル ポリシーを指定します。この場合、ポリシーは excludespecified です。

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    
  5. スプリット トンネル アクセス リストを指定します。この場合、リストは Local_LAN_Access です。

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    
  6. 次のコマンドを発行します。

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    
  7. グループ ポリシーをトンネル グループに関連付けます。

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    
  8. 2 つのコンフィギュレーション モードを終了します。

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#
  9. この設定を Non-Volatile RAM(NVRAM; 不揮発性 RAM)に保存して、ソース ファイル名を指定するようにプロンプトが表示されたら、Enter キーを押します。

    ciscoasa#copy running-config startup-config
    
    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#


Cisco VPN Client の設定

ASA に接続しているときにクライアントにローカル LAN アクセスを許可するには、VPN Client で次の手順を実行します。

  1. 既存の接続エントリを選択して、[Modify] をクリックします。

    local-lan-pix-asa-13.gif

  2. [Transport] タブに移動して、[Allow Local LAN Access] ボックスをオンにします。設定が終了したら、[Save] をクリックします。

    local-lan-pix-asa-14.gif



SSL VPN Client(SVC)/AnyConnect VPN Client の設定

SSL VPN Client を設定するには、「SVC による SSL VPN 接続の確立」(『ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可する場合の設定例』)を参照してください。

スプリット除外トンネリングでは、AnyConnect クライアントで AllowLocalLanAccess をイネーブルにすることが必要です。すべてのスプリット除外トンネリングは、ローカル LAN アクセスと見なされます。スプリット トンネリングの除外機能を使用するには、AnyConnect VPN Client preferencesAllowLocalLanAccess プリファレンスをイネーブルにする必要があります。デフォルトでは、ローカル LAN アクセスはディセーブルになっています。この動作は、AnyConnect クライアント リリース 2.2 の動作とは異なります。

ローカル LAN アクセスを許可し、そのためにスプリット除外トンネリングを許可するには、ネットワーク管理者がそれをプロファイル内でイネーブルにするか、ユーザがプリファレンス設定でイネーブルにすることができます。スプリット トンネリングが安全なゲートウェイ上でイネーブルになっており、split-tunnel-policy exclude specified ポリシーで設定されている場合、ローカル LAN アクセスを許可するには、ユーザが [Allow Local LAN access] チェック ボックスをオンにします。詳細は、『AnyConnect VPN Client リリース 2.3 の使用上の注意』を参照してください。さらに、ローカル LAN アクセスが <LocalLanAccess UserControllable="true">true</LocalLanAccess> で許可されている場合、VPN Client プロファイルを設定できます。



確認

次に示すセクションの手順を実行して、設定を確認します。



VPN Client で接続する

VPN Client を VPN コンセントレータに接続して、設定を確認します。

  1. リストから接続エントリを選択し、[Connect] をクリックします。

    local-lan-pix-asa-15.gif

  2. ユーザ クレデンシャルを入力します。

    local-lan-pix-asa-16.gif

  3. [Status] > [Statistics...] の順に選択して、[Tunnel Details] ウィンドウを表示します。ここでトンネルの詳細を調べ、トラフィックの流れを確認できます。また、[Transport] セクションで、[Local LAN] がイネーブルになっていることも確認できます。

    local-lan-pix-asa-17.gif

  4. [Route Details] タブに移動して、VPN Client が引き続きローカル アクセスを持っているルートを確認します。

    この例では、VPN Client は 192.168.0.0/24 へのローカル LAN アクセスを許可されている一方で、他のすべてのトラフィックは暗号化されてトンネル経由で送信されます。

    local-lan-pix-asa-18.gif



VPN Client ログを表示する

VPN Client ログを調べると、ローカル LAN アクセスを許可するパラメータが設定されているかどうかを判別できます。ログを表示するために、VPN Client の [Log] タブに移動します。次に [Log Settings] をクリックして、記録される内容を調整します。この例では、IKE は 3- High に設定されており、他のすべてのログ要素は 1 - Low に設定されています。

local-lan-pix-asa-19.gif

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- 出力を省略


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client, 
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- ローカル LAN アクセスが許可され、ローカル LAN が定義されます。

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets), 
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
LOCAL_NET #1
	subnet = 192.168.0.0 
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- 出力を省略



ping でローカル LAN アクセスをテストする

VPN コンセントレータにトンネリングされているときに VPN Client が引き続きローカル LAN にアクセスできることをテストする追加の方法として、Windows コマンド ラインで ping コマンドを使用します。VPN Client のローカル LAN は 192.168.0.0/24 であり、別のホストは IP アドレス 192.168.0.3 でネットワーク上に存在します。

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms


トラブルシューティング

名前による印刷またはブラウズができない

VPN Client がローカル LAN アクセス用に接続され設定されていると、ローカル LAN では名前によって印刷やブラウズを行うことはできません。この状況を回避するために次の 2 つのオプションを利用できます。

  • IP アドレスでブラウズまたは印刷する。

    • ブラウズするには、構文 \\sharename を使用するのではなく、構文 \\x.x.x.xx.x.x.x はホスト コンピュータの IP アドレス)を使用します。

    • 印刷するには、ネットワーク プリンタのプロパティを変更して、名前ではなく IP アドレスが使用されるようにします。たとえば、構文 \\sharename\printername を使用するのではなく、構文 \\x.x.x.x\printernamex.x.x.x は IP アドレス)を使用します。

  • VPN Client LMHOSTS ファイルを作成または変更する。Windows PC 上の LMHOSTS ファイルによって、ホスト名と IP アドレスの間のスタティック マッピングを作成できます。たとえば、LMHOSTS ファイルでは次のように表示されます。

    192.168.0.3 SERVER1
    192.168.0.4 SERVER2
    192.168.0.5 SERVER3

    Windows XP Professional Edition では、LMHOSTS ファイルは %SystemRoot%\System32\Drivers\Etc にあります。詳細は、Microsoft のドキュメントまたは Microsoft サポート技術情報 314108 leavingcisco.com を参照してください。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 70847