セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

AnyConnect SSL VPN クライアントによる ASA 8.x VPN アクセスの設定例

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2011 年 6 月 19 日) | 英語版 (2007 年 11 月 6 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ステップ 1:自己発行証明書を設定する
      ステップ 2:SSL VPN クライアント イメージをアップロードして識別する
      ステップ 3:Anyconnect アクセスをイネーブルにする
      ステップ 4:新規グループ ポリシーを作成する
      ステップ 5:VPN 接続用にアクセス リスト バイパスを設定する
      ステップ 6:AnyConnect クライアントの接続用に接続プロファイルとトンネル グループを作成する
      ステップ 7:AnyConnect クライアント用に NAT 免除を設定する
      ステップ 8:ローカル データベースにユーザを追加する
確認
トラブルシューティング
      トラブルシューティングのためのコマンド(オプション)
Cisco サポート コミュニティ - 特集対話
関連情報

概要

このドキュメントでは、Cisco AnyConnect 2.0 のクライアントから ASA へのリモート アクセス VPN 接続を許可する方法を説明しています。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • ソフトウェア バージョン 8.0 が稼働する基本的な ASA の設定

  • ASDM 6.0(2)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 8.0(2)、ASDM 6.0 (2)

  • Cisco AnyConnect 2.0

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco AnyConnect 2.0 のクライアントは SSL ベースの VPN クライアントになります。 AnyConnect のクライアントは、Windows 2000、XP、Vista、Linux(複数のディストリビューション ベンダー)、MAC OS X. などの多様な OS でのインストールと利用が可能です。AnyConnect のクライアントは、管理者によるリモート PC での手動インストールが可能です。 セキュリティ アプライアンスにロードして、リモート ユーザにダウンロードできるようにすることも可能です。 このアプリケーションがダウンロードされたら、接続が終了した際に自動的にアンインストールされるようにもできますし、今後の SSL VPN 接続用にリモート PC に残しておくようにすることもできます。 この例では、ブラウザベースの SSL 認証が成功すると、AnyConnect のクライアントをダウンロードできるようになっています。

AnyConnect 2.0 のクライアントについての詳細は、『AnyConnect 2.0 リリース ノート』を参照してください。

注:AnyConnect のクライアントと組み合せての MS Terminal Service の使用はサポートされていません。 RDP を使用してコンピュータにアクセスした場合、AnyConnect のセッションを開始できません。 また、AnyConnect を介して接続されたクライアントには RDP にてコンピュータにアクセスできません。

注:AnyConnect の最初のインストールでは、スタンドアロン AnyConnect MSI パッケージを使用するか、ASA からパッケージ ファイルをプッシュするかにかかわらず、管理者権限が必要です。 管理者権限がない場合は、これが必要であることを通知するダイアログ ボックスが表示されます。 AnyConnect をインストールしたユーザには、以降のアップグレードでは、管理者権限は不要です。

設定

AnyConnect のクライアントを使用して VPN アクセス用に ASA を設定するには、次の手順を実行します。

  1. 自己発行証明書を設定する

  2. SSL VPN Client イメージをアップロードして識別する

  3. Anyconnect アクセスをイネーブルにする

  4. 新規グループ ポリシーを作成する

  5. VPN 接続用にアクセス リスト バイパスを設定する

  6. AnyConnect Client の接続用に接続プロファイルとトンネル グループを作成する

  7. AnyConnect クライアント用に NAT 免除を設定する

  8. ローカル データベースにユーザを追加する

ステップ 1:自己発行証明書を設定する

デフォルトでは、セキュリティ アプライアンスには、デバイスのリブート時に毎回作成される自己発行証明書が備わっています。 Verisign や EnTrust などのベンダーから自身の証明書を購入することもできますが、自身にアイデンティティ証明書を発行するように ASA を設定することもできます。 デバイスがリブートしても、この証明書はそのまま残ります。 デバイスがリブートしても残る自己発行証明書を作成するには、次の手順を実行します。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Certificate Management を開いて、Identity Certificates を選択する。

  3. Add をクリックし、次に Add a new identity certificate オプション ボタンをクリックする。

  4. New をクリックする。

  5. Add Key Pair ダイアログ ボックスで、Enter new key pair name オプション ボタンをクリックする。

  6. キーペアを識別する名前を入力する。

    この例では、sslvpnkeypair を使用しています。

  7. Generate Now をクリックする。

  8. Add Identity Certificate ダイアログ ボックスで、新しく作成されたキーペアが選択されていることを確認する。

  9. Certificate Subject DN には、VPN 終端インターフェイスへの接続に使用される完全修飾のドメイン名(FQDN)を入力する。

    CN=sslvpn.cisco.com

  10. Advanced をクリックして、Certificate Subject DN フィールドで使用されている FQDN を入力する。

    例:FQDN: sslvpn.cisco.com

  11. OK をクリックする。

  12. Generate Self Signed Certificate チェック ボックスをクリックして、次に Add Certificate をクリックする。

  13. OK をクリックする。

  14. Configuration をクリックし、次に Remote Access VPN をクリックする。

  15. Advanced を開いて、SSL Settings を選択する。

  16. Certificates 領域で、SSL VPN(Outside)を終端するのに使用されるインターフェイスを選択し、Edit をクリックする。.

  17. Certificate ドロップダウン リストで、あらかじめ作成してある自己署名証明書を選択する。

  18. OK をクリックし、次に Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#crypto key generate rsa label sslvpnkeypair
INFO: The name for the keys will be: sslvpnkeypair
Keypair generation process begin. Please wait...

!--- 証明書用の RSA キーを作成します。 (名前は一意である必要があります。 
!--- 例:sslvpnkeypair)

ciscoasa(config)#crypto ca trustpoint localtrust

!--- 自己発行証明書用のトラストポイントを作成します。

ciscoasa(config-ca-trustpoint)#enrollment self
ciscoasa(config-ca-trustpoint)#fqdn sslvpn.cisco.com
ciscoasa(config-ca-trustpoint)#subject-name CN=sslvpn.cisco.com

!--- fqdn と CN の両方とも完全修飾のドメイン名が使用されます。
!--- この名前は ASA Outside インターフェイスの IP アドレスに解決されます。

ciscoasa(config-ca-trustpoint)#keypair sslvpnkeypair

!--- この RSA キーは証明書作成用のトラストポイントに割り当てられます。 

ciscoasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm
% The fully-qualified domain name in the certificate will be: sslvpn.cisco.com
ciscoasa(config)# ssl trust-point localtrust outside

!--- Outside インターフェイスでの SSL 接続に使用されるトラストポイントを割り当てます。


ステップ 2:SSL VPN クライアント イメージをアップロードして識別する

このドキュメントでは、AnyConnect SSL 2.0 のクライアントが使用されています。 このクライアントは、Cisco ソフトウェア ダウンロード Web サイトで入手できます。 リモート ユーザが使用を計画している各 OS に応じて、別の Anyconnect イメージが必要です。 詳細は、『Cisco AnyConnect 2.0 リリース ノート』を参照してください。

AnyConnect クライアントを入手したら、次の手順を実行します。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Network (Client) Access を開いて、次に Advanced を開く。

  3. SSL VPN を開いて、Client Settings を選択する。

  4. SSL VPN Client Images 領域で、Add をクリックし、次に Upload をクリックする。

  5. AnyConnect のクライアントをダウンロードした場所を表示する。

  6. ファイルを選択して、次に Upload File をクリックする。

    クライアントがアップロードされたら、ファイルがフラッシュに正しくアップロードされたことを通知するメッセージが受信されます。

  7. OK をクリックする。

    新しくアップロードされたイメージを現在の SSL VPN クライアント イメージとして使用することを確認するダイアログ ボックスが表示されます。

  8. OK をクリックする。

  9. OK をクリックし、次に Apply をクリックする。

  10. 使用する各 OS 特定の Anyconnect について、このセクションの手順を繰り返します。

コマンドラインの例

ciscoasa
ciscoasa(config)#copy tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg flash

Address or name of remote host [192.168.50.5]?

Source filename [anyconnect-win-2.0.0343-k9.pkg]?

Destination filename [anyconnect-win-2.0.0343-k9.pkg]?

Accessing tftp://192.168.50.5/anyconnect-win-2.0.0343-k9.pkg...!!!!!!!!!!!!!
Writing file disk0:/anyconnect-win-2.0.0343-k9.pkg...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2635734 bytes copied in 4.480 secs (658933 bytes/sec)

!--- AnyConnect イメージが TFTP を介して ASA にダウンロードされます。

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1

!--- ダウンロードする AnyConnect イメージをユーザごとに指定します。
!--- 最もよくダウンロードされるイメージには
!--- 最小の番号を付ける必要があります。 このイメージでは
!--- AnyConnect Windows イメージに 1 が使用されています。


ステップ 3:Anyconnect アクセスをイネーブルにする

AnyConnect のクライアントが ASA に接続できるようにするには、SSL VPN 接続を終端するインターフェイスでアクセスをイネーブルする必要があります。 この例では、Anyconnect 接続を終端するのに Outside インターフェイスを使用しています。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Network (Client) Access を開いて、次に SSL VPN Connection Profiles を選択する。

  3. Enable Cisco AnyConnect VPN Client チェックボックスにチェックマークを付けます。

  4. Outside インターフェイスの Allow Access チェック ボックスにチェック マークを入れて、Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#svc enable

!--- AnyConnect をイネーブルにして、リモート コンピュータにダウンロード
!--- されるようにします。


ステップ 4:新規グループ ポリシーを作成する

グループ ポリシーでは、接続時にクライアントに適用される設定パラメータが指定されます。 この例では、SSLClientPolicy という名前のグループ ポリシーを作成しています。.

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Network (Client) Access を開いて、Group Policies を選択する。

  3. Add をクリックする。

  4. General を選択して、Name フィールドに SSLClientPolicy と入力する。

  5. Address Pools の Inherit チェックボックスのチェック マークを外す。

  6. Select をクリックし、次に Add をクリックする。

    Add IP Pool ダイアログ ボックスが表示されます。

  7. 現在、ネットワークでは使用されていない IP の範囲からアドレス プールを設定する。

    この例では次の値を使用しています。

    • Name: SSLClientPool

    • Starting IP Address: 192.168.25.1

    • Ending IP Address: 192.168.25.50

    • Subnet Mask: 255.255.255.0

  8. OK をクリックする。

  9. 新しく作成したプールを選択し、Assign をクリックする。

  10. OK をクリックし、次に More Options をクリックする。

  11. Tunneling Protocols の Inherit チェックボックスのチェック マークを外す。

  12. SSL VPN Client にチェック マークを入れる。

  13. 左側のペインで Servers を選択する。

  14. DNS Servers の Inherit チェックボックスのチェック マークを外し、AnyConnect のクライアントが使用する内部 DNS サーバの IP アドレスを入力する。

    この例では、192.168.50.5 を使用しています。

  15. More Options をクリックする。

  16. Default Domain の Inherit チェックボックスのチェック マークを外す。

  17. 内部ネットワークで使用されているドメインを入力する。 例:tsweb.local

  18. OK をクリックし、次に Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#ip local pool SSLClientPool 192.168.25.1-192.168.25.50 mask 255.255.255.0
!--- IP プールを定義します。 IP プールは内部ネットワークでは未使用の
!--- IP アドレスの範囲である必要があります。 

ciscoasa(config)#group-policy SSLCLientPolicy internal
ciscoasa(config)#group-policy SSLCLientPolicy attributes
ciscoasa(config-group-policy)#dns-server value 192.168.50.5

!--- 使用する内部 DNS サーバを指定します。

ciscoasa(config-group-policy)#vpn-tunnel-protocol svc

!--- グループ ポリシーで使用される VPN トンネル プロトコルを指定します。
 
ciscoasa(config-group-policy)#default-domain value tsweb.local

!--- VPN ユーザに割り当てられるデフォルトのドメインと定義します。

ciscoasa(config-group-policy)#address-pools value SSLClientPool

!--- SSLClientPolicy グループのポリシーに作成された IP プールを割り当てます。


ステップ 5:VPN 接続用にアクセス リスト バイパスを設定する

このオプションをイネーブルにすると、SSL/IPSec クライアントではインターフェイスのアクセス リストをバイパスできるようになります。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Network (Client) Access を開いて、次に Advanced を開く。

  3. SSL VPN を開いて、Bypass Interface Access List を選択する。

  4. Enable inbound SSL VPN and IPSEC Sessions to bypass interface access lists チェック ボックスにチェック マークが入っていることを確認して、Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#sysopt connection permit-vpn

!--- VPN 接続に対してインターフェイス アクセス リスト バイパスをイネーブルにします。 
!--- この例では、アクセス コントロールに vpn-filter コマンドが使用されています。

ciscoasa(config-group-policy)#

ステップ 6:AnyConnect クライアントの接続用に接続プロファイルとトンネル グループを作成する

VPN クライアントが ASA に接続する際には、接続プロファイルあるいはトンネル グループに接続します。 IPSec L2L、IPSec リモート アクセス、クライアントレス SSL、クライアント SSL. などの特定のタイプの VPN 接続のための接続パラメータを定義するためにトンネル グループが使用されます。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. Network (Client) Access を開いて、次に SSL VPN を開く。

  3. Connection Profiles を選択し、Add をクリックする。

  4. Basic を選択して、次の値を入力する。

    • Name: SSLClientProfile

    • Authentication: LOCAL

    • Default Group Policy: SSLClientPolicy

  5. SSL VPN Client Protocol チェックボックスにチェックマークが付いていることを確認する。

  6. 左側のペインで Advanced を開いて、SSL VPN を選択する。

  7. Connection Aliases の下で、Add をクリックして、ユーザが VPN 接続を関連付けできる名前を入力する。 例:SSLVPNClient

  8. OK をクリックし、さらに OK をクリックする。

  9. ASDM ウィンドウの下部で Allow user to select connection, identified by alias in the table above at login page チェック ボックスにチェック マークを入れて、Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#tunnel-group SSLClientProfile type remote-access

!--- VPN リモート アクセス接続に使用されるトンネル グループを定義します。

ciscoasa(config)#tunnel-group SSLClientProfile general-attributes
ciscoasa(config-tunnel-general)#default-group-policy SSLCLientPolicy
ciscoasa(config-tunnel-general)#tunnel-group SSLClientProfile webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias SSLVPNClient enable

!--- トンネル グループのエイリアスを割り当てます。

ciscoasa(config-tunnel-webvpn)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable

!--- SSL VPN 接続に対して、エイリアス/トンネル グループの選択をイネーブルにします。


ステップ 7:AnyConnect クライアント用に NAT 免除を設定する

SSL VPN クライアントのアクセスを許可する任意の IP アドレスとその範囲には NAT 免除を設定する必要があります。 この例では、SSL VPN クライアントは内部 IP の 192.168.50.5 にだけアクセスする必要があります。

注:NAT 制御がイネーブルになっていない場合は、このステップは不要です。 確認には show run nat-control コマンドを使用します。 ASDM で確認するには、Configuration をクリックし、Firewall をクリックして、Nat Rules を選択します。 Enable traffic through the firewall without address translation チェック ボックスにチェック マークが入っている場合は、このステップは省略できます。

ASDM の手順

  1. Configuration をクリックし、次に Firewall をクリックする。

  2. Nat Rules を選択し、Add をクリックする。

  3. Add NAT Exempt Rule を選択して、次の値を入力する。

    • Action: Exempt

    • Interface: inside

    • Source: 192.168.50.5

    • Destination: 192.168.25.0/24

    • NAT Exempt Direction: NAT Exempt outbound traffic from interface 'inside' to lower security interfaces (Default)

  4. OK をクリックし、次に Apply をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#access-list no_nat extended permit 
                  ip host 192.168.50.5 192.168.25.0 255.255.255.0

!--- NAT 免除に使用するアクセス リストを定義します。 

ciscoasa(config)#nat (inside) 0 access-list no_nat

!--- アクセス リスト no_nat で定義されている無変換内部アドレスを
!--- 外部接続に許可します。

ciscoasa(config)#

ステップ 8:ローカル データベースにユーザを追加する

ローカル認証(デフォルト)を使用している場合、ユーザ認証用のローカル データベースにユーザ名とパスワードを定義する必要があります。

ASDM の手順

  1. Configuration をクリックし、次に Remote Access VPN をクリックする。

  2. AAA Setup を展開し、Local Users を選択する。

  3. Add をクリックして、次の値を入力する。

    • Username: matthewp

    • Password: p@ssw0rd

    • Confirm Password: p@ssw0rd

  4. No ASDM, SSH, Telnet or Console Access オプション ボタンを選択する。

  5. OK をクリックし、次に Apply をクリックする。

  6. 追加ユーザに対してこのステップを繰り返し、Save をクリックする。

コマンドラインの例

ciscoasa
ciscoasa(config)#username matthewp password p@ssw0rd
ciscoasa(config)#username matthewp attributes
ciscoasa(config-username)#service-type remote-access

!--- ユーザをリモート アクセス専用に割り当てます。
!--- SSH、Telnet、ASDM アクセスは許可されません。

ciscoasa(config-username)#write memory

!--- 設定を保存します。


確認

このセクションを使用して、SSL VPN 設定が正しく行われたことを確認します。

AnyConnect クライアントで ASA に接続する

クライアントを PC に直接インストールして、ASA の Outside インターフェイスに接続するか、Web ブラウザで https と ASA の FQDN/IP アドレスを入力します。 Web ブラウザを使用する場合は、ログインに成功するとクライアントがインストールされます。

SSL VPN クライアント接続を確認する

接続された SSL VPN クライアントを確認するには、show vpn-sessiondb svc コマンドを使用します。

ciscoasa(config-group-policy)#show vpn-sessiondb svc

Session Type: SVC

Username     : matthewp               Index        : 6
Assigned IP  : 192.168.25.1           Public IP    : 172.18.12.111
Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
Encryption   : RC4 AES128             Hashing      : SHA1
Bytes Tx     : 35466                  Bytes Rx     : 27543
Group Policy : SSLClientPolicy     Tunnel Group : SSLClientProfile
Login Time   : 20:06:59 UTC Tue Oct 16 2007
Duration     : 0h:00m:12s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

ciscoasa(config-group-policy)#

vpn-sessiondb logoff name username コマンドでは、ユーザ名でユーザをログオフします。 接続解除されると、Administrator Reset メッセージがユーザに送信されます。

ciscoasa(config)#vpn-sessiondb logoff name matthewp
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "matthewp" logged off : 1

ciscoasa(config)#

AnyConnect 2.0 のクライアントについての詳細は、『Cisco AnyConnect VPN 管理者ガイド』を参照してください。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明しています。

トラブルシューティングのためのコマンド(オプション)

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug webvpn svc 255:WebVPN での SSL VPN クライアントへの接続に関するデバッグ メッセージが表示されます。

    AnyConnect ログインの成功例

    ciscoasa(config)#debug webvpn svc 255
    INFO: debug webvpn svc enabled at level 255.
    ciscoasa(config)#ATTR_FILTER_ID: Name: 
    
    SSLVPNClientAccess
    
    , Id: 1, refcnt: 1
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.10.1.5' - 
    !--- ASA の Outside IP。
    
    Processing CSTP header line: 'Host: 10.10.1.5'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343' - 
    !--- AnyConnect のバージョン。
    
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect 
                                              VPN Client 2, 0, 0343'
    Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=3338474156@28672@1192565782@EFB9042D72C
                       63CE02164F790435897AC72EE70AE'
    Processing CSTP header line: 'Cookie: webvpn=3338474156@28672@119
                       2565782@EFB9042D72C63CE02164F790435897AC72EE70AE'
    Found WebVPN cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C
                       63CE02164F790435897AC72EE70AE'
    WebVPN Cookie: 'webvpn=3338474156@28672@1192565782@EFB9042D72C63CE02
                       164F790435897AC72EE70AE'
    IPADDR: '3338474156', INDEX: '28672', LOGIN: '1192565782'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: wkstation1' - 
    !--- クライアント デスクトップのホスト名。
    
    Processing CSTP header line: 'X-CSTP-Hostname: wkstation1'
    Setting hostname to: 'wkstation1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1206'
    Processing CSTP header line: 'X-CSTP-MTU: 1206'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451CB0948AFBE98296FD849
                              49EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
    Processing CSTP header line: 'X-DTLS-Master-Secret: 72B8AD72F327059AE22CBB451C
           B0948AFBE98296FD84949EB6CAEDC203865C76BDBD634845FA89634C668A67152ABB51'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:
                                  DES-CBC3-SHA:DES-CBC-SHA'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.25.1/255.255.255.0 - 
    !--- IP プールから割り当てられた IP。
    
    CSTP state = HAVE_ADDRESS
    SVC: NP setup
    np_svc_create_session(0x7000, 0xD41612C8, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC IPv6 ACL Name: NULL
    SVC IPv6 ACL ID: -1
    SVC: adding to sessmgmt
    SVC: Sending response
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    

    AnyConnect ログインの失敗例(誤ったパスワード)

    webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
    ewaFormSubmit_webvpn_login: tgCookie = 0
    ewaFormSubmit_webvpn_login: cookie = d53d2990
    ewaFormSubmit_webvpn_login: tgCookieSet = 0
    ewaFormSubmit_webvpn_login: tgroup = NULL
    webvpn_portal.c:http_webvpn_kill_cookie[627]
    webvpn_auth.c:http_webvpn_pre_authentication[1905]
    WebVPN: calling AAA with ewsContext (-717386088) and nh (-717388536)!
    WebVPN: started user authentication...
    webvpn_auth.c:webvpn_aaa_callback[4380]
    WebVPN: AAA status = (REJECT)
    webvpn_portal.c:ewaFormSubmit_webvpn_login[1808]
    ewaFormSubmit_webvpn_login: tgCookie = 0
    ewaFormSubmit_webvpn_login: cookie = d53d2990
    ewaFormSubmit_webvpn_login: tgCookieSet = 0
    ewaFormSubmit_webvpn_login: tgroup = NULL
    webvpn_auth.c:http_webvpn_post_authentication[1180]
    WebVPN: user: (matthewp) rejected.
    http_remove_auth_handle(): handle 9 not found!
    webvpn_portal.c:ewaFormServe_webvpn_login[1749]
    webvpn_portal.c:http_webvpn_kill_cookie[627]
    

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報