セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/PIX: CLI および ASDM による VPN Client トラフィック用の着信 NAT を使用したリモート VPN サーバの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Adaptive Security Device Manager(ASDM)か CLI を使用して、リモート VPN サーバとして機能し、着信 VPN Client トラフィックに NAT を実行するように Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)を設定する方法について説明します。 ASDM では、直感的で使用が容易な Web ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理と監視機能が提供されています。 Cisco ASA 設定が完了した、それは Cisco VPN Client によって確認することができます。

前提条件

要件

このドキュメントでは、ASA が完全に動作していて、Cisco ASDM か CLI で設定を変更できるように設定されていることを想定しています。 ASA はまた発信 NAT のために設定されると仮定されます。 割り当て内部ホストをアクセスします発信 NAT を設定する方法に関する詳細については PAT の使用の外部ネットワークに参照して下さい。

注: ASDM 用の HTTPS アクセスの許可」または「PIX/ASA 7.x: 内部および外部インターフェイスの SSH の設定例」を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 適応性があるセキュリティ アプライアンス モデル ソフトウェア バージョン 7.x およびそれ以降

  • 適応性がある Security Device Manager バージョン 5.x および それ 以降

  • Cisco VPN Client バージョン 4.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、Cisco PIX セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

リモート アクセス設定により、モバイル ユーザのような Cisco VPN クライアントにセキュアなリモート アクセスが提供されます。 リモート アクセス VPN により、リモート ユーザが中央のネットワーク リソースに安全にアクセスできるようになります。 Cisco VPN Client は IPSec プロトコルに準拠しており、具体的にはセキュリティ アプライアンスと協調動作する設計になっています。 ところが、セキュリティ アプライアンスは、多様なプロトコルに準拠するクライアントと IPSec 接続を確立できます。 IPSec に関する詳細については ASA コンフィギュレーション ガイドを参照して下さい。

グループとユーザは、VPN のセキュリティの管理とセキュリティ アプライアンスの設定では中心となる概念です。 これらにより、VPN の使用とユーザ アクセスを決定する属性が指定されます。 グループはユーザの集合で、単一のエンティティとして扱われます。 ユーザは自身の属性をグループのポリシーから取得します。 トンネル グループは特定の接続のためのグループ ポリシーを識別します。 ユーザに特定のグループにポリシーを割り当てない場合、接続のためのデフォルト グループ ポリシーは適用します。

トンネル グループは、トンネル接続のポリシーを決定するレコードのセットで構成されています。 これらのレコードはトンネル ユーザが認証される、また接続 情報が送信 される アカウンティング サーバを、もしあれば識別しますサーバ。 また、これらのレコードでは、接続のデフォルトのグループ ポリシーも判別され、プロトコル特有の接続パラメータが含まれています。 トンネル グループはトンネルの作成自体に関係する少数の属性が含まれています。 トンネル グループには、ユーザ指向の属性を定義するグループ ポリシーに対するポインタが含まれています。

設定

ASDM でリモート VPN サーバで ASA/PIX を設定して下さい

ASDM を使用して Cisco ASA をリモート VPN サーバとして設定するには、次の手順を実行します。

  1. ブラウザを開き、ASA の ASDM にアクセスするために ASDM Access> のために設定された ASA のインターフェイスの https:// <IP_Address を入力して下さい。

    SSL 証明書認証の信憑性に関連してブラウザから出力されるすべての警告を認可します。 デフォルトのユーザ名とパスワードは、両方とも空白です。

    ASA がこのウィンドウを表示するのは、ASDM アプリケーションのダウンロードを許可するためです。 次の例の場合、アプリケーションはローカル コンピュータにロードされ、Java アプレットでは動作しません。

    asa-vpnclient-nat-asdm-01.gif

  2. [Download ASDM Launcher and Start ASDM] をクリックして、ASDM アプリケーションのインストーラをダウンロードします。

  3. ASDM Launcher がダウンロードされたら、プロンプトに従って一連のステップを実行し、該当ソフトウェアをインストールした後、Cisco ASDM Launcher を起動します。

  4. http コマンドで設定したインターフェイスの IP アドレス、およびユーザ名とパスワード(指定した場合)を入力します。

    この例はユーザ名として cisco123 およびパスワードとして cisco123 を使用します。

    asa-vpnclient-nat-asdm-02.gif

  5. SELECT ウィザード > Home ウィンドウからの IPSec VPN ウィザード

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-03.gif

  6. リモートアクセス VPN トンネルタイプを選択し、VPN トンネルインターフェイスが望まれるように設定 されるし、ここに示されているようにように『Next』 をクリック して下さい。

    asa-vpnclient-nat-asdm-04.gif

  7. VPN クライアント型は示されているように、選択されます。 Cisco VPN Client はここに選択されます。 [Next] をクリックします。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-05.gif

  8. Tunnel Group Name の名前を入力します。 使用する認証情報(今の場合は事前共有鍵)を入力します。 次の例では、cisco123 という事前共有鍵を使用しています。 この例で使用されるトンネル グループ名前は cisco です。 [Next] をクリックします。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-06.gif

  9. リモート ユーザの認証用にローカル ユーザのデータベースか外部 AAA サーバ グループを選択します。

    注: ステップ 10.のローカルユーザデータベースにユーザを追加します。

    注: ASDM で外部 AAAサーバグループを設定する方法の情報に関しては ASDM 設定例によって VPN ユーザ向けの PIX/ASA 7.x 認証 および 権限 サーバグループを参照して下さい。

    asa-vpnclient-nat-asdm-07.gif

  10. ユーザ名およびオプションの パスワードを提供し、ユーザ認証 データベースに新規 ユーザを追加するために『Add』 をクリック して下さい。 [Next] をクリックします。

    注: このウィンドウで既存のユーザを削除しないようにしてください。 > デバイス管理 > Users/AAA > データベースの既存 の エントリを編集するか、またはデータベースから取除く主要な ASDM ウィンドウのユーザアカウント 『Configuration』 を選択 して下さい。

    asa-vpnclient-nat-asdm-08.gif

  11. 動的にリモート VPN クライアントに割り当てられるべきローカルアドレスのプールを定義するために新しい IPプールを作成するために『New』 をクリック して下さい。

    asa-vpnclient-nat-asdm-09.gif

  12. タイトルを付けられる New ウィンドウでは IPプールを提供しこの情報を、『OK』 をクリック します追加して下さい

    1. IPプールの名前

    2. IP アドレスの開始

    3. IP アドレスの終了

    4. サブネット マスク

    asa-vpnclient-nat-asdm-10.gif

  13. それらが接続するとき動的にリモート VPN クライアントに割り当てられるべきローカルアドレスのプールを定義した後、『Next』 をクリック して下さい

    asa-vpnclient-nat-asdm-11.gif

  14. オプション: DNS と WINS のサーバ情報、およびリモート VPN Client にプッシュするデフォルトのドメイン名を指定します。

    asa-vpnclient-nat-asdm-12.gif

  15. IKE のパラメータを指定します。これは IKE Phase 1 とも呼ばれます。

    トンネルの両側の設定は厳密に一致している必要があります。 ただし、Cisco VPN Client では自身の適切な設定が自動的に選択されます。 そのため、クライアント PC での IKE 設定は必要ありません。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-13.gif

  16. このウィンドウにはユーザが行った操作の概要が表示されます。 設定に問題がなければ、[Finish] をクリックします。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-14.gif

ASDM で NAT 受信 VPN クライアント トラフィックに ASA/PIX を設定して下さい

ASDM で NAT 受信 VPN クライアント トラフィックに Cisco ASA を設定するためにこれらのステップを完了して下さい:

  1. > ファイアウォール > NAT ルール『Configuration』 を選択 し、『Add』 をクリック して下さい。 ドロップダウン リストで、ダイナミック NAT ルールを『Add』 を選択 して下さい。

    asa-vpnclient-nat-asdm-15.gif

  2. 追加ダイナミック NAT ルール ウィンドウで、インターフェイスとして『outside』 を選択 し、ソース ボックスの隣で Browse ボタンをクリックして下さい。

    asa-vpnclient-nat-asdm-16.gif

  3. 参照 Source ウィンドウで、適切なネットワーク オブジェクトを選択し、また『Source』 を選択 された セクションの下でソースを選択し、『OK』 をクリック して下さい。 ここに 192.168.1.0 ネットワーク オブジェクトは選択されます。

    asa-vpnclient-nat-asdm-17.gif

  4. [Manage] をクリックします。

    asa-vpnclient-nat-asdm-18.gif

  5. 管理グローバルプール ウィンドウで、『Add』 をクリック して下さい。

    asa-vpnclient-nat-asdm-19.gif

  6. 追加グローバルアドレスプール ウィンドウで、インターフェイスとして内部およびプール ID として 2 つを選択して下さい。 またインターフェイスの IP アドレスを使用して PAT の隣のオプション ボタンが選択されることを確かめて下さい。 Add>> をクリックし、次に『OK』 をクリック して下さい。

    asa-vpnclient-nat-asdm-20.gif

  7. 前の手順で設定されるプール ID 2 を持つグローバルプールを選択した後『OK』 をクリック して下さい。

    asa-vpnclient-nat-asdm-21.gif

  8. 設定が ASA.This に完了する設定を適用されるようにこの場合『Apply』 をクリック して下さい。

    asa-vpnclient-nat-asdm-22.gif

CLI でリモート VPN サーバでおよび受信 NAT のために ASA/PIX を設定して下さい

ASA デバイスでの設定の実行
ciscoasa#show running-config 

: Saved
ASA Version 8.0(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255
0
pager lines 24
logging enable
mtu Outside 1500
mtu inside 1500
ip local pool vpnpool 192.168.1.1-192.168.1.254 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
global (inside) 2 interface
nat (Outside) 2 192.168.1.0 255.255.255.0 outside
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route Outside 0.0.0.0 0.0.0.0 10.10.10.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
no snmp-server location
no snmp-server contact


!--- Configuration for IPsec policies.
!--- Enables the crypto transform configuration mode, 
!--- where you can specify the transform sets that are used 
!--- during an IPsec negotiation.

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SH
 ESP-DES-MD5
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside
crypto isakmp enable Outside


!--- Configuration for IKE policies.
!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation. Encryption and 
!--- Policy details are hidden as the default values are chosen.


crypto isakmp policy 10
authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 30
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 60
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
group-policy cisco internal
group-policy cisco attributes
 vpn-tunnel-protocol IPSec


!--- Specifies the username and password with their 
!--- respective privilege levels

username cisco123 password ffIRPGpDSOJh9YLq encrypted privilege 15
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

username cisco attributes
 vpn-group-policy cisco
tunnel-group cisco type remote-access
tunnel-group cisco general-attributes
 address-pool vpnpool
 default-group-policy cisco


!--- Specifies the pre-shared key "cisco123" which must
!--- be identical at both peers. This is a global 
!--- configuration mode command.

tunnel-group cisco ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f2ad6f9d5bf23810a26f5cb464e1fdf3
: end
ciscoasa#

確認

Cisco VPN Client によって Cisco ASA に ASA がうまく設定されることを確認するために接続するように試みて下さい。

  1. [New] をクリックします。

    asa-vpnclient-nat-asdm-23.gif

  2. 新しい接続の詳細情報を入力します。

    ザ・ホスト フィールドは前もって設定された Cisco ASA の IP アドレス または ホスト名が含まれている必要があります。 グループ 認証情報はステップ 4.で使用されるそれに終了したら『SAVE』 をクリック します対応する必要があります。

    asa-vpnclient-nat-asdm-24.gif

  3. 新しく作成した接続を選択し、Connect をクリックします。

    asa-vpnclient-nat-asdm-25.gif

  4. 拡張認証用のユーザ名とパスワードを入力します。 この情報はステップ 5 および 6.で規定 されるそれを一致する必要があります

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-26.gif

  5. 接続が正常に確立されたら、[Status] メニューから [Statistics] を選択し、トンネルの詳細情報を確認します。

    asa-vpnclient-nat-asdm-27.gif

    次のウィンドウには、トラフィックと暗号の情報が表示されています。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-28.gif

    次のウィンドウには、スプリット トンネリング情報が表示されています。

    /image/gif/paws/112020/asa-vpnclient-nat-asdm-29.gif

ASA/PIX セキュリティ アプライアンス - show コマンド

  • show crypto isakmp sa:現在ピアにあるすべての IKE SA を表示します。

    ASA#show crypto isakmp sa
    
          Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.10.10.1
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
  • show crypto ipsec sa:現在ピアにあるすべての IPSec SA を表示します。

    ASA#show crypto ipsec sa
    			interface: Outside
        Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 10.10
    .10.2
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)
          current_peer: 10.10.10.1, username: cisco123
          dynamic allocated peer ip: 192.168.1.1
    
          #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
          #pkts decaps: 74, #pkts decrypt: 74, #pkts verify: 74
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.10.10.2, remote crypto endpt.: 10.10.10.1
    
          path mtu 1500, ipsec overhead 58, media mtu 1500
          current outbound spi: F49F954C
    
        inbound esp sas:
          spi: 0x3C10F9DD (1007745501)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
             sa timing: remaining key lifetime (sec): 27255
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xF49F954C (4104099148)
             transform: esp-des esp-md5-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 24576, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
             sa timing: remaining key lifetime (sec): 27255
             IV size: 8 bytes
             replay detection support: Y
  • ciscoasa(config)#debug icmp trace
    
    !--- Inbound Nat Translation is shown below for Outside to Inside
    
    ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
    ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=7936 len=3
    2
    
    !--- Inbound Nat Translation is shown below for Inside to Outside
    
    ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
    ICMP echo request from Outside:192.168.1.1 to inside:172.16.1.3 ID=768 seq=8192
    len=32
    ICMP echo request translating Outside:192.168.1.1/768 to inside:172.16.1.2/1
    ICMP echo reply from inside:172.16.1.3 to Outside:172.16.1.2 ID=1 seq=8192 len=3
    2
    ICMP echo reply untranslating inside:172.16.1.2/1 to Outside:192.168.1.1/768
    ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8448 len=32
    ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8448 len=32
    ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8704 len=32
    ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8704 len=32
    ICMP echo request from 192.168.1.1 to 172.16.1.2 ID=768 seq=8960 len=32
    ICMP echo reply from 172.16.1.2 to 192.168.1.1 ID=768 seq=8960 len=32

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

もっとも一般的な L2L およびサイト間の VPN を解決する方法に関する詳細についてはリモートアクセス IPSec VPN トラブルシューティングソリューションを参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112020