セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.X:トンネリングされたデフォルト ゲートウェイを使用した SSL VPN トラフィック ルーティングの設定例

2011 年 10 月 28 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2010 年 10 月 18 日) | フィードバック

概要

このドキュメントでは、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)を設定して、Tunneled Default Gateway(TDG)を経由するように SSL VPN トラフィックをルーティングする設定例について説明します。tunneled オプションを使用してデフォルト ルートを作成すると、ASA で終端しているトンネルからのトラフィックで、学習されたルートまたはスタティック ルートのいずれを使用してもルーティングできないトラフィックは、すべてこのルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • バージョン 8.x が稼働する ASA

  • Cisco SSL VPN Client(SVC)1.x

    注:シスコの「ソフトウェア ダウンロード」(登録ユーザ専用)から、SSL VPN Client パッケージ(sslclient-win*.pkg)をダウンロードします。SVC を ASA のフラッシュ メモリにコピーします。ASA との SSL VPN 接続を確立するには、リモート ユーザのコンピュータに SVC をダウンロードする必要があります。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.x が稼働している Cisco 5500 シリーズ ASA

  • Windows 1.1.4.179 用のバージョンの Cisco SSL VPN Client

  • Windows 2000 Professional または Windows XP が稼働している PC

  • Cisco Adaptive Security Device Manager(ASDM)バージョン 6.1(5)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

SSL VPN Client(SVC)は、ネットワーク管理者によるリモート コンピュータへの IPSec VPN クライアントのインストールおよび設定を必要とせずに、リモート ユーザに IPSec VPN クライアントのメリットを提供する VPN トンネリング技術です。SVC は、リモート コンピュータに既存の SSL 暗号化およびセキュリティ アプライアンスの WebVPN ログインおよび認証を使用します。

現在のシナリオでは、SSL VPN トンネルを経由して ASA の背後にある内部リソースに接続する SSL VPN クライアントが存在します。スプリットトンネルはイネーブルではありません。SSL VPN クライアントが ASA に接続しているときは、すべてのデータがトンネリングされます。主な基準は、内部リソースへのアクセスに加えて、このトンネリングされたトラフィックを Default Tunneled Gateway(DTG)を経由してルーティングすることです。

標準のデフォルト ルートに加えて、トンネル トラフィック用に別のデフォルト ルートを定義できます。ASA が受信した暗号化されていないトラフィック(スタティック ルートも学習されたルートも存在しないもの)は、標準のデフォルト ルートを経由してルーティングされます。ASA が受信した暗号化されているトラフィック(スタティック ルートも学習されたルートも存在しないもの)は、トンネリングされたデフォルト ルートを使用して定義された DTG に渡されます。

トンネリングされたデフォルト ルートを定義するには、次のコマンドを使用します。

route <if_name> 0.0.0.0 0.0.0.0 <gateway_ip> tunneled


設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

ssl-tdg-config-example-01.gif

ここでは、SSL VPN クライアントは、トンネルを経由して ASA の内部ネットワークにアクセスします。スプリットトンネルは設定されていないため、内部ネットワーク以外に送信されるトラフィックもトンネリングされ、TDG(192.168.100.20)経由でルーティングされます。

パケットが TDG(この例ではルータ 2)にルーティングされた後は、これらのパケットをインターネットにルーティングするためのアドレス変換が実行されます。インターネット ゲートウェイとしてのルータ設定の詳細については、『Cisco 製ではないケーブル モデムに接続された Cisco ルータの設定方法』を参照してください。



ASDM 6.1(5) を使用した ASA 設定

このドキュメントは、インターフェイス設定などの基本設定がすでに行われていて適切に動作していることを前提としています。

注:ASA を ASDM で設定できるようにするには、「ASDM での HTTPS アクセスの許可」を参照してください。

注:WebVPN と ASDM は、ポート番号を変更しない限り、同じ ASA インターフェイス上でイネーブルにはできません。詳細は、『ASA の同じインターフェイスでイネーブルになる ASDM および WebVPN』を参照してください。

SSL VPN ウィザードを使用して SSL VPN を設定するには、次の手順を実行します。

  1. [File] メニューで [Wizards] を選択して、[SSL VPN Wizard] をクリックします。

    ssl-tdg-config-example-02.gif

  2. [Cisco SSL VPN Client] を選択して、[Next] をクリックします。

    ssl-tdg-config-example-03.gif

  3. 接続の名前を入力して、ユーザが SSL VPN へのアクセスに使用しているインターフェイスを選択します。

    ssl-tdg-config-example-04.gif

    この例では、ユーザに対してローカル認証を使用しています。

    ssl-tdg-config-example-05.gif

  4. 既存のデフォルト グループ ポリシー以外の新しいグループ ポリシーを作成します。

    ssl-tdg-config-example-06.gif

  5. SSL VPN クライアント PC の接続が確立したときにこれらの PC に割り当てられるアドレスのプールを新規作成します。

    ssl-tdg-config-example-07.gif

    192.168.10.40 〜 192.168.10.50 の範囲のプールが、「newpool」という名前で作成されました。

    ssl-tdg-config-example-08.gif

  6. [Browse] をクリックし、SSL VPN クライアント イメージを選択して ASA のフラッシュ メモリにアップロードします。

    ssl-tdg-config-example-09.gif

  7. [Upload] をクリックして、マシンのローカル ディレクトリからファイル パスを設定します。

    ssl-tdg-config-example-10.gif

  8. [Browse Local Files] をクリックして、sslclient.pkg ファイルが存在するディレクトリを選択します。

    ssl-tdg-config-example-11.gif

  9. [Upload File] をクリックして、選択したファイルを ASA のフラッシュにアップロードします。

    ssl-tdg-config-example-12.gif

    ssl-tdg-config-example-13.gif

    ssl-tdg-config-example-14.gif

  10. ファイルが ASA のフラッシュにアップロードされたら、[OK] をクリックしてタスクを完了します。

    ssl-tdg-config-example-15.gif

  11. これで、ASA のフラッシュにアップロードされた最新の anyconnect pkg ファイルが表示されます。[Next] をクリックします。

    ssl-tdg-config-example-16.gif

  12. SSL VPN クライアントの設定の要約が表示されます。[Finish] をクリックしてウィザードを完了します。

    ssl-tdg-config-example-17.gif

ASDM に表示された設定は、主に SSL VPN クライアントのウィザード設定に関係があります。

CLI では、追加の設定の一部を確認できます。次に CLI の設定のすべてを示します。重要なコマンドは強調表示されています。

ciscoasa
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(4) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 209.165.201.2 255.255.255.224 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.2 255.255.255.0 
!
interface Ethernet0/2
 nameif manage
 security-level 0
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nonat extended permit ip 192.168.100.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0

!--- NAT から除外されるトラフィックを定義する ACL。
 
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu manage 1500

!--- VPN クライアントに割り当てられる IP アドレス ブロックを作成します。

ip local pool newpool 192.168.10.40-192.168.10.50 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-615.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nonat

!--- 「nonat」ACL で許可されているトラフィックは、NAT から除外されます。

nat (inside) 1 192.168.100.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1

!--- 通常のトラフィック用のデフォルト ルートは、「inside」インターフェイスを
使用して設定されます。

route inside 0.0.0.0 0.0.0.0 192.168.100.20 tunneled

!--- 暗号化されたトラフィック用のトンネリングされたデフォルト ルートは「inside」インターフェイスを
使用して設定されます。

!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable

!--- ASA を HTTP サーバとして設定します。

http 10.1.1.0 255.255.255.0 manage

!--- ASDM アクセスに許可されるネットワークを設定します。

!

!--- 出力を省略

!
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
!

!--- 出力を省略

!
webvpn
 enable outside

!--- 外部インターフェイスで WebVPN をイネーブルにします。

 svc image disk0:/sslclient-win-1.1.4.179.pkg 1

!--- 使用する AnyConnect SSL VPN クライアント イメージを割り当てます。

 svc enable

!--- SVC イメージをリモート コンピュータにダウンロードするように、ASA をイネーブルにします。

group-policy grppolicy internal

!--- 内部グループ ポリシー「grppolicy」を作成します。

group-policy grppolicy attributes
 VPN-tunnel-protocol svc 

!--- 許可された VPN トンネリング プロトコルとして SSL を指定します。

!
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 15

!--- ユーザ アカウント「cisco」を作成します。

tunnel-group Test type remote-access

!--- タイプをリモート アクセスとしてトンネル グループ「Test」を作成します。

tunnel-group Test general-attributes
 address-pool newpool

!--- 作成されたアドレス プール vpnpool を関連付けます。

 default-group-policy grppolicy

!--- 作成されたグループ ポリシー「clientgroup」を関連付けます。

prompt hostname context 
Cryptochecksum:1b247197c8ff70ee4432c13fb037854e
: end

ciscoasa#



確認

このセクションで説明するコマンドは、設定の確認に使用できます。

Output Interpreter Tool(OIT; アウトプット インタープリタ ツール)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • show webvpn svc:ASA フラッシュ メモリに格納された SVC イメージを表示します。

  • show VPN-sessiondb svc:現在の SSL 接続についての情報を表示します。



トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112182