セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.X: トンネリングされたデフォルト ゲートウェイを使用した SSL VPN トラフィック ルーティングの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2011 年 10 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、適応型セキュリティ アプライアンス(ASA)を設定して、トンネリングされたデフォルト ゲートウェイ(TDG)を経由するように SSL VPN トラフィックをルーティングする方法について説明します。 トンネル伝送されたオプションでデフォルト ルートを作成するとき、学習されるかスタティック・ルートを使用してルーティングされるできない ASA で終端するこのルートにトンネルからすべてのトラフィックは送信 されます。 トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • バージョン 8.x が稼働する ASA

  • Cisco SSL VPN Client(SVC)1.x

    注: シスコの「ソフトウェア ダウンロード」(登録ユーザ専用)から、SSL VPN Client パッケージ(sslclient-win*.pkg)をダウンロードします。 SVC を ASA のフラッシュ メモリにコピーします。 ASA との SSL VPN 接続を確立するには、リモート ユーザのコンピュータに SVC をダウンロードする必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.x が稼働している Cisco 5500 シリーズ ASA

  • Windows 1.1.4.179 用のバージョンの Cisco SSL VPN Client

  • Windows 2000 Professional または Windows XP が稼働している PC

  • Cisco Adaptive Security Device Manager(ASDM)バージョン 6.1(5)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

SSL VPN Client(SVC)は、ネットワーク管理者によるリモート コンピュータへの IPSec VPN クライアントのインストールおよび設定を必要とせずに、リモート ユーザに IPSec VPN クライアントのメリットを提供する VPN トンネリング技術です。 SVC は、リモート コンピュータに既存の SSL 暗号化およびセキュリティ アプライアンスの WebVPN ログインおよび認証を使用します。

現在のシナリオでは、SSL VPN トンネルを経由して ASA の背後にある内部リソースに接続する SSL VPN クライアントが存在します。 スプリットトンネルはイネーブルではありません。 SSL VPN クライアントが ASA に接続しているときは、すべてのデータがトンネリングされます。 主な基準は、内部リソースへのアクセスに加えて、このトンネリングされたトラフィックを Default Tunneled Gateway(DTG)を経由してルーティングすることです。

標準のデフォルト ルートに加えて、トンネル トラフィック用に別のデフォルト ルートを定義できます。 ASA が受信した暗号化されていないトラフィック(スタティック ルートも学習されたルートも存在しないもの)は、標準のデフォルト ルートを経由してルーティングされます。 ASA が受信した暗号化されているトラフィック(スタティック ルートも学習されたルートも存在しないもの)は、トンネリングされたデフォルト ルートを使用して定義された DTG に渡されます。

トンネリングされたデフォルト ルートを定義するには、次のコマンドを使用します。

route <if_name> 0.0.0.0 0.0.0.0 <gateway_ip> tunneled

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

ssl-tdg-config-example-01.gif

この例では、SSL VPN クライアントはトンネルによって ASA の内部ネットワークをアクセス しました。 内部ネットワーク以外宛先のために意味されるトラフィックはまた TDG によって設定される分割トンネルがないトンネル伝送されのでルーティングされます(192.168.100.20)。

パケットがこの場合ルータ 2 である TDG にルーティングされた後、インターネットにそれらのパケットを前方にルーティングするためにアドレス 変換を行います。 インターネット ゲートウェイでルータを設定することに関する詳細については、Cisco 以外のケーブルモデムでのCiscoルータの設定方法を参照して下さい。

ASDM 6.1(5) を使用した ASA 設定

この資料は基本設定を、インターフェイスコンフィギュレーションのような想定し、完了したきちんと作業であり。

注: ASA を ASDM で設定できるようにする方法については、「ASDM での HTTPS アクセスの許可」を参照してください。

注: ポート番号を変更しなければ WebVPN および ASDM は同じ ASA インターフェイスで有効に することができません。 詳細については、『ASA の同じインターフェイスで有効になる ASDM および WebVPN』(英語)を参照してください。

SSL VPN ウィザードを使用して SSL VPN を設定するには、次の手順を実行します。

  1. Wizards メニューから、SSL VPN ウィザードを選択して下さい。

    ssl-tdg-config-example-02.gif

  2. Cisco SSL VPN Client チェックボックスをクリックし、『Next』 をクリック して下さい。

    ssl-tdg-config-example-03.gif

  3. 接続の名前を接続名 フィールドで入力し、次に SSL VPN インターフェイス ドロップダウン リストから SSL VPN にアクセスするのにユーザによって使用しているインターフェイスを選択して下さい。

    ssl-tdg-config-example-04.gif

  4. [Next] をクリックします。

  5. 認証モードを選択し、『Next』 をクリック して下さい。 (この例はローカル認証を使用します。)

    ssl-tdg-config-example-05.gif

  6. 既存のデフォルト グループ ポリシー以外の新しいグループ ポリシーを作成します。

    ssl-tdg-config-example-06.gif

  7. SSL VPN クライアント PC の接続が確立したときにこれらの PC に割り当てられるアドレスのプールを新規作成します。

    ssl-tdg-config-example-07.gif

    範囲 192.168.10.40-192.168.10.50 のプールはずっと作成された名指しで newpool です。

    ssl-tdg-config-example-08.gif

  8. [Browse] をクリックし、SSL VPN クライアント イメージを選択して ASA のフラッシュ メモリにアップロードします。

    ssl-tdg-config-example-09.gif

  9. [Upload] をクリックして、マシンのローカル ディレクトリからファイル パスを設定します。

    ssl-tdg-config-example-10.gif

  10. [Browse Local Files] をクリックして、sslclient.pkg ファイルが存在するディレクトリを選択します。

    ssl-tdg-config-example-11.gif

  11. [Upload File] をクリックして、選択したファイルを ASA のフラッシュにアップロードします。

    ssl-tdg-config-example-12.gif

    ssl-tdg-config-example-13.gif

    ssl-tdg-config-example-14.gif

  12. ファイルが ASA のフラッシュにアップロードされたら、[OK] をクリックしてタスクを完了します。

    ssl-tdg-config-example-15.gif

  13. これで、ASA のフラッシュにアップロードされた最新の anyconnect pkg ファイルが表示されます。 [Next] をクリックします。

    ssl-tdg-config-example-16.gif

  14. SSL VPN クライアントの設定の要約が表示されます。 [Finish] をクリックしてウィザードを完了します。

    /image/gif/paws/112182/ssl-tdg-config-example-17.gif

ASDM に表示された設定は、主に SSL VPN クライアントのウィザード設定に関係があります。

CLI では、追加の設定の一部を確認できます。 次に CLI の設定のすべてを示します。重要なコマンドは強調表示されています。

ciscoasa
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(4) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.224 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.2 255.255.255.0 
!
interface Ethernet0/2
 nameif manage
 security-level 0
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nonat extended permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0

!--- ACL to define the traffic to be exempted from NAT.
 
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu manage 1500

!--- Creating IP address block to be assigned for the VPN clients

ip local pool newpool 192.168.10.40-192.168.10.50 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.

nat (inside) 1 192.168.100.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1

!--- Default route is configured through "inside" interface
                   for normal traffic.

route inside 0.0.0.0 0.0.0.0 192.168.100.20 tunneled

!--- Tunneled Default route is configured through "inside" interface
                   for encrypted traffic

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable

!--- Configuring the ASA as HTTP server.

http 10.1.1.0 255.255.255.0 manage

!--- Configuring the network to be allowed for ASDM access.

!

!--- Output is suppressed

!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
!

!--- Output suppressed

!
webvpn
 enable outside

!--- Enable WebVPN on the outside interface

 svc image disk0:/sslclient-win-1.1.4.179.pkg 1

!--- Assign the AnyConnect SSL VPN Client image to be used

 svc enable

!--- Enable the ASA to download SVC images to remote computers

group-policy grppolicy internal

!--- Create an internal group policy "grppolicy"

group-policy grppolicy attributes
 VPN-tunnel-protocol svc 

!--- Specify SSL as a permitted VPN tunneling protocol

!
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15

!--- Create a user account "cisco"

tunnel-group Test type remote-access

!--- Create a tunnel group "Test" with type as remote access

tunnel-group Test general-attributes
 address-pool newpool

!--- Associate the address pool vpnpool created

 default-group-policy grppolicy

!--- Associate the group policy "clientgroup" created

prompt hostname context 
Cryptochecksum:1b247197c8ff70ee4432c13fb037854e
: end

ciscoasa#

確認

このセクションで説明するコマンドは、設定の確認に使用できます。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show webvpn svc:ASA フラッシュ メモリに格納された SVC イメージを表示します。

  • show VPN-sessiondb svc:現在の SSL 接続についての情報を表示します。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112182