セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/PIX:CLI および ADSM による IPSec VPN Client のスタティック IP アドレスの設定例

2010 年 3 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 2 月 23 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      リモート アクセス VPN(IPSec)の設定
      CLI による ASA/PIX の設定
      Cisco VPN Client の設定
確認
      show コマンド
トラブルシューティング
      セキュリティ アソシエーションのクリア
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報


概要

このドキュメントでは、Adaptive Security Device Manager(ASDM)または CLI を使用してスタティック IP アドレスを VPN Client に提供できるよう Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)を設定する方法について解説します。ASDM では、直感的で使用が容易な Web ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理と監視機能が提供されています。Cisco ASA の設定が完了すると、Cisco VPN Client を使用して、これを確認できます。

Cisco VPN クライアント(4.x for Windows)と PIX 500 シリーズ セキュリティ アプライアンス 7.x との間にリモート アクセス VPN 接続を設定する方法については、『PIX/ASA 7.x および Cisco VPN Client 4.x で Active Directory に対する Windows 2003 IAS RADIUS 認証を使用するための設定例』を参照してください。リモートの VPN Client ユーザは Microsoft Windows 2003 Internet Authentication Service(IAS)RADIUS サーバを使用して Active Directory に対する認証を行います。

Cisco Secure Access Control Server(ACS バージョン 3.2)を使用して拡張認証(Xauth)用に、Cisco VPN Client(4.x for Windows)と PIX 500 シリーズ セキュリティ アプライアンス 7.x との間にリモート アクセス VPN 接続を設定する方法については、『PIX/ASA 7.x と Cisco VPN Client 4.x の Cisco Secure ACS 認証用の設定例』を参照してください。



前提条件

要件

このドキュメントでは、ASA が完全に動作していて、Cisco ASDM か CLI で設定を変更できるように設定されていることを想定しています。

注:ASDM か Secure Shell(SSH)によるデバイスのリモートでの設定を許可するには、『ASDM 用の HTTPS アクセスの許可』または『PIX/ASA 7.x:Inside および Outside インターフェイスの SSH の設定例』を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 適応型セキュリティ アプライアンス ソフトウェア バージョン 7.x 以降

  • Adaptive Security Device Manager バージョン 5.x 以降

  • Cisco VPN Client バージョン 4.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



関連製品

この設定は、Cisco PIX セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

asa-vpn-static-asdm-config1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 でのアドレスであり、ラボ環境で使用されたものです。



リモート アクセス VPN(IPSec)の設定

ASDM の手順

リモート アクセス VPN を設定するには、次の手順を実行します。

  1. Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add を選択し、ISAKMP ポリシーを作成します。

    asa-vpn-static-asdm-config20.gif

  2. ISAKMP ポリシーの詳細情報を設定します。

    asa-vpn-static-asdm-config2.gif

    OKApply の順にクリックします。

  3. Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters を選択し、外部インターフェイス上の IKE を有効にします。

    asa-vpn-static-asdm-config21.gif

  4. Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add を選択し、次のように ESP-DES-SHA トランスフォームを作成します。

    asa-vpn-static-asdm-config3.gif

    OKApply の順にクリックします。

  5. Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add を選択し、次のような Priority 1 のダイナミック ポリシーを持つ crypto マップを作成します。

    asa-vpn-static-asdm-config4.gif

    OKApply の順にクリックします。

  6. Configuration > Remote Access VPN > AAA Setup > Local Users > Add を選択し、VPN Client アクセス用のユーザ アカウント(例:Username - cisco123、Password - cisco123)を作成します。

    asa-vpn-static-asdm-config7.gif

  7. VPN Policy に移動し、次のようにユーザ "cisco123" の Static/Dedicated IP Address を追加します。

    asa-vpn-static-asdm-config22.gif

  8. Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools を選択して Add をクリックし、VPN Client ユーザの VPN Client を追加します。

    asa-vpn-static-asdm-config23.gif

  9. Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add を選択し、次のようにトンネル グループ(例:TunnelGroup1、事前共有鍵が cisco123)を追加します。

    asa-vpn-static-asdm-config19.gif

    • Basic タブの User Authentication フィールドで、サーバ グループとして LOCAL を選択します。

    • VPN Client ユーザの Client Address Pools として vpnclient1 を選択します。

    asa-vpn-static-asdm-config24.gif

    OK をクリックします。

  10. Advanced > Client Addressing を選択し、Use address pool チェック ボックスにチェックマークを入れて、VPN Client に IP アドレスを割り当てます。

    注:Use authentication server および Use DHCP チェック ボックスのチェックマークは外します。

    asa-vpn-static-asdm-config25.gif

    OK をクリックします。

  11. IPSec アクセスの Outside インターフェイスを有効にします。Apply をクリックして、次に進みます。

    asa-vpn-static-asdm-config26.gif



CLI による ASA/PIX の設定

後述のステップを実行して DHCP サーバを設定し、コマンドラインから VPN Client に IP アドレスを割り当てます。使用する各コマンドについての詳細は、『リモート アクセス VPN の設定』または『Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、コマンド リファレンス』を参照してください。

ASA デバイスでの実行コンフィギュレーション

ASA# sh run
ASA Version 8.0(2)
!

!--- セキュリティ アプライアンスのホスト名の指定。

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Outside と Inside のインターフェイスを設定します。

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.10.2 255.255.255.0


!--- 出力を省略。


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
192.168.5.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- ADSM アクセスのイメージを取得するために、 
   ADSM イメージの場所を指定します。

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- この設定で定義した設定値と共に使用する 
!--- インターフェイスを指定します。

crypto map outside_map interface outside


!--- フェーズ 1 の設定 ---!

!--- この設定では ISAKMP ポリシー 2 を使用します。   
!--- ここでの設定コマンドは、使用するフェーズ 1 の 
!--- ポリシー パラメータを定義します。

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal


!--- VPN Client に対する IP アドレスを、AAA や DHCP ではなく 
ローカルに割り当てるよう指定します。CLI 
vpn-addr-assign local
による ASA を介した VPN アドレス割り当ては、 
show run コマンドによる CLI 内で隠されます。

no vpn-addr-assign aaa
no vpn-addr-assign dhcp

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal


!--- セキュリティ アプライアンスへのリモート アクセス ユーザを識別するために、 
!--- デバイス上でユーザ名とパスワードを設定することもできます。
!--- 特定のユーザに割り当てる IP アドレスを指定するには、 
vpn-framed-ip-address コマンド
!--- を nusername モードで使用します。

username cisco123 password ffIRPGpDSOJh9YLq encrypted
username cisco123 attributes
  vpn-framed-ip-address 192.168.5.1 255.255.255.0

!--- 新規のトンネル グループを作成して、接続タイプを 
!--- remote-access に設定します。

tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient1


!--- 事前共有鍵を入力して、認証方式を設定します。

tunnel-group TunnelGroup1 ipsec-attributes
pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#



Cisco VPN Client の設定

ASA の設定に成功したことを確認するには、Cisco VPN Client を使用して Cisco ASA に接続してみます。

  1. Start > Programs > Cisco Systems VPN Client > VPN Client の順に選択します。

  2. New をクリックして、Create New VPN Connection Entry ウィンドウを開きます。

    asa-vpn-static-asdm-config11.gif

  3. 新しい接続の詳細情報を入力します。

    説明とともに、接続エントリの名前を入力します。Host ボックスに、ASA の Outside の IP アドレスを入力します。次に、ASA で設定されている VPN トンネル グループ名(TunnelGroup1)とパスワード(事前共有鍵 - cisco123)を入力します。Save をクリックします。

    asa-vpn-static-asdm-config12.gif

  4. 使用する接続をクリックし、VPN Client メイン ウィンドウの Connect をクリックします。

    asa-vpn-static-asdm-config13.gif

  5. プロンプトが表示されたら、ASA(Xauth)で設定されているように、Username:cisco123Password:cisco123 と入力し、OK をクリックして リモート ネットワークに接続します。

    asa-vpn-static-asdm-config14.gif

  6. VPN Client が中央サイトの ASA に接続されます。

    asa-vpn-static-asdm-config15.gif

  7. 接続が正常に確立されたら、Status メニューから Statistics を選択し、トンネルの詳細情報を確認します。

    asa-vpn-static-asdm-config16.gif



確認

show コマンド

このセクションでは、設定が正常に動作していることを確認しています。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show crypto isakmp sa:ピアにおける現在の IKE Security Associations(SA; セキュリティ アソシエーション)をすべて表示します。

  • show crypto ipsec sa:現在の SA が使用している設定を表示します。



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介しています。デバッグ出力例も紹介しています。

注:リモートアクセス IPSec VPN の詳細は、『一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について』を参照してください。



セキュリティ アソシエーションのクリア

トラブルシューティングを行う際には、変更を加えた後、既存のセキュリティ アソシエーションを必ずクリアしてください。PIX の特権モードで、次のコマンドを使用します。

  • clear [crypto] ipsec sa:アクティブな IPSec SA を削除します。crypto キーワードはオプションです。

  • clear [crypto] ipsec sa:アクティブな IKE SA を削除します。crypto キーワードはオプションです。



トラブルシューティングのためのコマンド

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec 7:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp 7:フェーズ 1 の ISAKMP ネゴシエーションを表示します。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 109639