セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

AnyConnect VPN 電話 - IP Phone、ASA、および CUCM のトラブルシューティング

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 5 日) | フィードバック

概要

このドキュメントでは、IP 電話でセキュア ソケット レイヤ(SSL)プロトコル(Cisco AnyConnect セキュア モビリティ クライアント)を使用して、VPN ゲートウェイとして使用される Cisco Adaptive Security Appliance(ASA)に接続する場合、または、音声サーバとして使用される Cisco Unified Communications Manager(CUCM)に接続する場合に発生する問題の解決方法について説明します。

VPN 電話を使用した AnyConnect の設定例については、以下を参照してください。

著者:Cisco TAC エンジニア、ウォルター・ロペス、エドアルド・サラザール。

要件

IP 電話を使用して SSL VPN を展開する前に、ASA 用と CUCM の米国輸出制限バージョン用の AnyConnect ライセンスに関する次の初期要件が満たされていることを確認します。

ASA 上の VPN 電話ライセンスの確認

VPN 電話ライセンスは ASA の機能を有効にします。 AnyConnect(IP 電話かどうかに関係なく)と接続可能なユーザ数を確認するには、AnyConnect Premium SSL ライセンスをチェックします。 詳細については、「IP Phone およびモバイル VPN 接続に ASA ライセンスが必要な理由」 を参照してください。

ASA で、show version command コマンドを使用して、機能が有効になっているかどうかをチェックします。 ライセンス名は ASA リリースによって異なります。

  • ASA リリース 8.0.x: ライセンス名は AnyConnect for Linksys Phone です。
  • ASA リリース 8.2.x 以降: ライセンス名は AnyConnect for Cisco VPN Phone です。

これは、ASA リリース 8.0.x の例です。

ASA5505(config)# sh ver

Cisco Adaptive Security Appliance Software Version 8.0(5)
Device Manager Version 7.0(2)
<snip>
Licensed features for this platform:
VPN Peers : 10
WebVPN Peers : 2
AnyConnect for Linksys phone : Disabled
<snip>
This platform has a Base license.

これは、ASA リリース 8.2.x 以降の例です。

ASA5520-C(config)# sh ver

Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(1)
<snip>
Licensed features for this platform:
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
<snip>
This platform has an ASA 5520 VPN Plus license.

輸出制限 CUCM と輸出無制限 CUCM

VPN 電話機能を利用するには、CUCM の米国輸出制限バージョンを展開する必要があります。

CUCM の米国輸出制限バージョンを使用する場合は、次の点に注意してください。

  • IP 電話のセキュリティ設定がシグナリングとメディアの暗号化を無効にするように変更されます。 これには VPN 電話機能による暗号化が含まれます。
  • インポート/エクスポート経由で VPN の詳細をエクスポートできません。
  • [VPN Profile]、[VPN Gateway]、[VPN Group]、および [VPN Feature Configuration] の各チェックボックスが表示されません。

: CUCM の米国輸出無制限バージョンにアップグレードすると、このソフトウェアの米国輸出制限バージョンにアップグレードしたり、その新規インストールを実行したりできなくなります。

ASA の一般的な問題



このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

ASA で使用する証明書

ASA では、自己署名 SSL 証明書、サードパーティ SSL 証明書、およびワイルドカード証明書を使用できます。 このすべてが IP 電話と ASA 間の通信を保護します。

使用できるのは 1 つの ID 証明書だけです、これは、各インターフェイスに 1 つの証明書しか割り当てることができないためです。

サードパーティ SSL 証明書の場合は、ASA にチェーン全体をインストールして、中間証明書とルート証明書を含めます。

ASA エクスポートおよび CUCM インポート用のトラストポイント/証明書

SSL ネゴシエーション中に ASA から IP 電話に提示される証明書は、ASA からエクスポートして、CUCM にインポートする必要があります。 IP 電話が接続されているインターフェイスに割り当てられたトラストポイントをチェックして、ASA からエクスポートする証明書を確認します。

show run ssl コマンドを使用して、エクスポートするトラストポイント(証明書)を確認します。 詳細については、「証明書認証を使用した AnyConnect VPN Phone の設定例」を参照してください。

: サードパーティ証明書を 1 つ以上の ASA に展開した場合は、すべてのファイアウォール間で共有されるルート CA 証明書をエクスポートすることもできます。 これを実行すると、ASA ごとに ID 証明書をエクスポートしてから、CUCM にインポートする必要がなくなります。

IP 電話ユーザの認証用の外部データベース

外部データベースを使用して IP 電話ユーザを認証できます。 Lightweight Directory Access Protocol(LDAP)や Remote Authentication Dial In User Service(RADIUS)などのプロトコルを VPN 電話ユーザの認証に使用できます。

ASA 証明書と VPN 電話信頼リスト間での証明書ハッシュの照合

ASA SSL インターフェイスに割り当てられた証明書をダウンロードして CUCM 内の電話 VPN 信頼証明書としてアップロードする必要があることに注意してください。 環境によっては、ASA から提示されるこの証明書のハッシュと、CUCM サーバが生成してコンフィギュレーション ファイル経由で VPN 電話にプッシュするハッシュが一致しない場合があります。

設定が完了したら、IP 電話と ASA 間の VPN 接続をテストしてください。 接続に成功しない場合は、ASA 証明書のハッシュと、IP 電話で想定されているハッシュが一致するかどうかを確認します。

  1. ASA から提示されるセキュア ハッシュ アルゴリズム 1(SHA1)ハッシュを確認します。
  2. CUCM から IP 電話コンフィギュレーション ファイルをダウンロードするには、TFTP を使用します。
  3. ハッシュは、16 進数から Base 64 に、または、Base 64 から 16 進数にデコードします。

SHA1 ハッシュの確認

ASA は、IP 電話が接続されているインターフェイス上で ssl trustpoint コマンドを使用して適用された証明書を提示します。 この証明書をチェックするには、ブラウザ(この例では Firefox)を開いて、電話を接続する URL(group-url)を入力します。

116162-trouble-anyconnect-vpn-phone-01.jpg

IP 電話コンフィギュレーション ファイルのダウンロード

CUCM へのダイレクト アクセスを備えた PC から、接続の問題がある電話の TFTP コンフィギュレーション ファイルをダウンロードします。 次の 2 種類のダウンロード方法があります。

  • Windows でコマンドライン インターフェイス(CLI)を開いて、tftp -i <TFTP Server> GET SEP<Phone Mac Address>.cnf.xml コマンドを使用します。
  • Tftpd32to などのアプリケーションを使用してファイルをダウンロードします。

    116162-trouble-anyconnect-vpn-phone-02.jpg

ファイルをダウンロードしたら、XML を開いて、vpnGroup 設定を探します。 次の例で、確認すべきセクションと certHash を示します。

<vpnGroup>
<mtu>1290</mtu>
<failConnectTime>30</failConnectTime>
<authMethod>2</authMethod>
<pswdPersistent>0</pswdPersistent>
<autoNetDetect>0</autoNetDetect>
<enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.198.16.140/VPNPhone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>5X6B6plUwUSXZnjQ4kGM33mpMXY=</certHash1>
</credentials>
</vpnGroup>

ハッシュのデコード

両方のハッシュ値が一致することを確認します。 ブラウザはハッシュを 16 進数形式で表示しますが、XML ファイルでは Base 64 が使用されるため、一致を確認するには一方の形式から他方の形式に変換する必要があります。 さまざまな変換ツールを使用できます。 1 つの例が TRANSLATOR, BINARY です。

116162-trouble-anyconnect-vpn-phone-03.jpg

: 上記ハッシュ値が一致しなかった場合は、VPN 電話が ASA とネゴシエートされた接続を信頼しないため、接続に失敗します。

VPN ロードバランシングと IP 電話

負荷分散された SSL VPN は VPN 電話でサポートされません。 VPN 電話は、実際の証明書を検証しませんが、代わりに、CUCM からプッシュダウンされたハッシュを使用してサーバを検証します。 VPN ロードバランシングの原理は HTTP リダイレクトであり、電話機が複数の証明書を検証する必要があるため、エラーが発生します。 VPN ロードバランシング エラーの症状には次のようなものがあります。

  • 電話機がサーバ間を往復するため、接続に異常に時間がかかったり、最終的に失敗したりします。
  • 電話機のログには次のようなメッセージが書き込まれます。

    909: NOT 20:59:50.051721 VPNC: do_login: got login response
    910: NOT 20:59:50.052581 VPNC: process_login: HTTP/1.0 302 Temporary moved
    911: NOT 20:59:50.053221 VPNC: process_login: login code: 302 (redirected)
    912: NOT 20:59:50.053823 VPNC: process_login: redirection indicated
    913: NOT 20:59:50.054441 VPNC: process_login: new 'Location':
    /+webvpn+/index.html
    914: NOT 20:59:50.055141 VPNC: set_redirect_url: new URL
    <https://xyz1.abc.com:443/+webvpn+/index.html>

CSD と IP 電話

現在、IP 電話は Cisco Secure Desktop(CSD)をサポートしていないため、CSD が tunnel-group に対してまたは ASA 内でグローバルに有効になっている場合は接続が行われません。

最初に、ASA で CSD が有効になっているかどうかを確認します。 ASA CLI で、show run webvpn コマンドを実行します。

ASA5510-F# show run webvpn
webvpn
enable outside
csd image disk0:/csd_3.6.6210-k9.pkg
csd enable

anyconnect image disk0:/anyconnect-win-3.1.00495-k9.pkg 1
anyconnect enable
ASA5510-F#

IP 電話の接続中に CSD 問題を確認するには、ASA のログまたはデバッグをチェックします。

ASA ログ

%ASA-4-724002: Group <VPNPhone> User <Phone> IP <172.6.250.9> WebVPN session not 
terminated. Cisco Secure Desktop was not running on the client's workstation.

ASA デバッグ

debug webvpn anyconnect 255
<snip>
Tunnel Group: VPNPhone, Client Cert Auth Success.
WebVPN: CSD data not sent from client
http_remove_auth_handle(): handle 24 not found!
<snip>

: AnyConnect ユーザの負荷が高い大規模展開では、debug webvpn anyconnect を有効にしないことをお勧めします。 この出力は IP アドレスで絞り込むことができないため、大量の情報が生成される可能性があります。

ASA バージョン 8.2 以降では、tunnel-group の webvpn-attributes の下に without-csd コマンドを付加する必要があります。

tunnel-group VPNPhone webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/VPNPhone enable
without-csd

以前のバージョンの ASA では、これができなかったため、唯一の回避策が CSD をグローバルに無効にすることでした。

Cisco Adaptive Security Device Manager(ASDM)で、この例で示すように、特定の接続プロファイルの CSD を無効にすることができます。

116162-trouble-anyconnect-vpn-phone-04.jpg

: CSD 機能をオフにするには、group-url を使用します。


DAP ルール

ほとんどの展開では、IP 電話が ASA に接続されるだけでなく、さまざまなタイプのマシン(Microsoft、Linux、Mac OS)とモバイル デバイス(Android、iOS)も接続されます。 そのため、ダイナミック アクセス ポリシー(DAP)ルールの既存の設定が見つかることがよくあります。このルールでは、大抵、DfltAccessPolicy の下の Default Action が接続の停止になっています。

このような場合は、VPN 電話用の別の DAP ルールを作成します。 [Connection Profile] などの特定のパラメータを使用して、アクションを [Continue] に設定します。

116162-trouble-anyconnect-vpn-phone-05.jpg

IP 電話専用の DAP ポリシーを作成しなかった場合は、ASA に DfltAccessPolicy 違反と失敗した接続が表示されます。

%ASA-6-716038: Group <DfltGrpPolicy> User <CP-7962G-SEP8CB64F576113> IP 
<172.16.250.9> Authentication: successful, Session Type: WebVPN.
%ASA-7-734003: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Session
Attribute aaa.cisco.grouppolicy = GroupPolicy_VPNPhone
<snip>
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: DfltAccessPolicy
%ASA-5-734002: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9: Connection
terminated by the following DAP records: DfltAccessPolicy

アクションが [Continue] に設定された IP 電話専用の DAP ポリシーを作成した場合は、接続できます。

%ASA-7-746012: user-identity: Add IP-User mapping 10.10.10.10 - 
LOCAL\CP-7962G-SEP8CB64F576113 Succeeded - VPN user
%ASA-4-722051: Group <GroupPolicy_VPNPhone> User <CP-7962G-SEP8CB64F576113> IP
<172.16.250.9> Address <10.10.10.10> assigned to session
%ASA-6-734001: DAP: User CP-7962G-SEP8CB64F576113, Addr 172.16.250.9,
Connection AnyConnect: The following DAP records were selected for this
connection: VPNPhone

DfltGrpPolicy またはその他のグループからの継承値

多くの場合、DfltGrpPolicy は複数のオプションを使用してセットアップされます。 デフォルトで、これらの設定は、IP 電話で使用すべき group-policy 内で手動で指定されなかった場合に、IP 電話セッションに継承されます。

DfltGrpPolicy から継承された場合に接続に影響するパラメータは次のとおりです。

  • group-lock
  • vpn-tunnel-protocol
  • vpn-simultaneous-logins
  • vpn-filter

次のような設定が DfltGrpPolicy と GroupPolicy_VPNPhone に含まれていると仮定します。

group-policy DfltGrpPolicy attributes
vpn-simultaneous-logins 0
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless
group-lock value DefaultWEBVPNGroup
vpn-filter value NO-TRAFFIC

group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
default-domain value cisco.com

GroupPolicy_VPNPhone の下で明示的に指定されなかった DfltGrpPolicy からのパラメータが接続に継承され、接続中に IP 電話にすべての情報がプッシュされます。

これを回避するには、手動で直接、グループ内で必要な値を指定します。

group-policy GroupPolicy_VPNPhone internal
group-policy GroupPolicy_VPNPhone attributes
wins-server none
dns-server value 10.198.29.20
vpn-simultaneous-logins 3
vpn-tunnel-protocol ssl-client
group-lock value VPNPhone
vpn-filter none
default-domain value cisco.com

DfltGrpPolicy のデフォルト値を確認するには、show run all group-policy コマンドを使用します。 次の例で、出力の違いを明示します。

ASA5510-F# show run group-policy DfltGrpPolicygroup-policy DfltGrpPolicy 
attributes dns-server value 10.198.29.20 10.198.29.21 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless default-domain value cisco.comASA5510-F#

ASA5510-F# sh run all group-policy DfltGrpPolicygroup-policy DfltGrpPolicy
internal
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server value 10.198.29.20 10.198.29.21
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

ASDM 経由で属性を継承した group-policy の出力を以下に示します。

116162-trouble-anyconnect-vpn-phone-06.jpg

サポートされる暗号方式

7962G IP 電話とファームウェア バージョン 9.1.1 でテストされた AnyConnect VPN 電話は、どちらも Advanced Encryption Standard(AES)である AES256-SHA と AES128-SHA の 2 つの暗号方式のみをサポートします。 ASA で正しい暗号方式が指定されていない場合は、接続が拒否され、ASA ログには次のように書き込まれます。

%ASA-7-725010: Device supports the following 2 cipher(s).
%ASA-7-725011: Cipher[1] : RC4-SHA
%ASA-7-725011: Cipher[2] : DES-CBC3-SHA
%ASA-7-725008: SSL client outside:172.16.250.9/52684 proposes the following
2 cipher(s).
%ASA-7-725011: Cipher[1] : AES256-SHA
%ASA-7-725011: Cipher[2] : AES128-SHA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no
shared cipher

ASA で正しい暗号方式が有効になっていることを確認するには、次の内容をチェックします。

ASA5510-F# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
ssl trust-point SSL outside
ASA5510-F#

ASA5510-F# sh ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1
SSL trust-points:
outside interface: SSL
Certificate authentication is not enabled
ASA5510-F#

CUCM の一般的な問題

IP 電話に適用されない VPN 設定

CUCM 上でコンフィギュレーション(ゲートウェイ、グループ、およびプロファイル)を作成したら、共通電話プロファイル内の VPN 設定を適用します。

  1. [Device] > [Device Settings] > [Common Phone Profile] に移動します。

    116162-trouble-anyconnect-vpn-phone-07.jpg

  2. VPN 情報を入力します。

    116162-trouble-anyconnect-vpn-phone-08.jpg

  3. [Device] > [Phone] に移動して、このプロファイルが電話設定に割り当てられていることを確認します。

    116162-trouble-anyconnect-vpn-phone-09.jpg

証明書認証方法

IP 電話の証明書認証を設定する方法には、 Manufacturer Installed Certificate(MIC)とローカルで有効な証明書(LSC)の 2 種類があります。 状況に最適なオプションを選択するには、「証明書認証を使用した AnyConnect VPN Phone の設定例」を参照してください。

証明書認証を設定するときに、CUCM サーバから証明書(ルート CA)をエクスポートして、ASA にインポートします。

  1. CUCM にログインします。
  2. [Unified OS Administration] > [Security] > [Certificate Management] に移動します。
  3. Certificate Authority Proxy Function(CAPF)または Cisco_Manufacturing_CA を探します。 証明書のタイプは MIC または LSC 証明書認証を使用したかどうかによって異なります。
  4. ファイルをローカル コンピュータにダウンロードします。

ファイルがダウンロードされたら、CLI または ASDM 経由で ASA にログインして、証明書を CA 証明書としてインポートします。

116162-trouble-anyconnect-vpn-phone-10.jpg

79x1 以降(69XX/89XX/99XX を含む)のすべての電話機に工場でインストールされた MIC が付属しています。 LSC は個々の電話機に手動でインストールする必要があります。

セキュリティ リスクが高まるため、MIC は LSC のインストールにのみ使用し、他では使用しないことをお勧めします。 Transport Layer Security(TLS)認証やその他の目的で MIC を使用するようにシスコ製 IP 電話を設定する場合は、お客様の責任で行ってください。

デフォルトで、電話機に LSC が組み込まれている場合は、電話機に MIC が組み込まれているかどうかに関係なく、認証で LSC が使用されます。 電話機に MIC と LSC が組み込まれている場合は、認証で LSC が使用されます。 電話機に LSC が組み込まれていないが、MIC が組み込まれている場合は、認証で MIC が使用されます。

: 証明書認証の場合は、ASA から SSL 証明書をエクスポートして、CUCM にインポートする必要があることに注意してください。

ホスト ID チェック

証明書のタイトル内の一般名(CN)が電話機から VPN 経由で ASA に接続するときに使用される URL(group-url)と一致しない場合は、CUCM 上のホスト ID チェックを無効にするか、ASA 上のその URL と一致する ASA 内の証明書を使用します。

この操作は、ASA の SSL 証明書がワイルドカード証明書の場合、SSL 証明書に別の SAN(Subject Alternative Name)が含まれている場合、または URL が完全修飾ドメイン名(FQDN)の代わりに IP アドレスを使用して作成された場合に必要です。

これは、証明書の CN が電話機から到達しようとしている URL と一致しない場合の IP 電話ログの例です。

1231: NOT 07:07:32.445560 VPNC: DNS has wildcard, starting checks...
1232: ERR 07:07:32.446239 VPNC: Generic third level wildcards are not allowed,
stopping checks on host=(test.vpn.com) and dns=(*.vpn.com)

1233: NOT 07:07:32.446993 VPNC: hostID not found in subjectAltNames
1234: NOT 07:07:32.447703 VPNC: hostID not found in subject name
1235: ERR 07:07:32.448306 VPNC: hostIDCheck failed!!

CUCM のホスト ID チェックを無効にするには、[Advanced Features] > [VPN] > [VPN Profile] に移動します。

116162-trouble-anyconnect-vpn-phone-11.jpg

その他のトラブルシューティング

ASA で使用するログとデバッグ

ASA では、これらのデバッグとログを有効にしてトラブルシューティングに利用できます。

logging enable
logging buffer-size 1048576
logging buffered debugging

debug webvpn anyconnect 255

: AnyConnect ユーザの負荷が高い大規模展開では、debug webvpnh anyconnect を有効にしないことをお勧めします。 この出力は IP アドレスで絞り込むことができないため、大量の情報が生成される可能性があります。

IP 電話ログ

電話ログにアクセスするには、Web アクセス機能を有効にします。 CUCM にログインして、[Device] > [Phone] > [Phone Configuration] に移動します。 この機能を有効にする IP 電話を探して、Web アクセス用のセクションを探します。 IP 電話に設定変更を適用します。

116162-trouble-anyconnect-vpn-phone-12.jpg

この新しい機能を導入するためにサービスを有効にして電話機をリセットしたら、ブラウザで IP 電話ログにアクセスできます。 そのサブネットへのアクセス権が付与されたコンピュータから電話機の IP アドレスを使用します。 コンソール ログに移動して、5 つのログ ファイルをチェックします。 この 5 つのファイルが電話機によって上書きされるため、すべてのファイルをチェックして必要な情報を探す必要があります。

116162-trouble-anyconnect-vpn-phone-13.jpg

ASA ログと IP 電話ログの関連付けの問題

次の例は、ASA と IP 電話からのログを関連付ける方法を示しています。 この例では、ASA 上の証明書のハッシュが電話機のコンフィギュレーション ファイル内の証明書のハッシュと一致していません。これは、ASA 上の証明書が別の証明書に置き換えられたためです。

ASA ログ

%ASA-7-725012: Device chooses cipher : AES128-SHA for the SSL session with 
client outside:172.16.250.9/50091
%ASA-7-725014: SSL lib error. Function: SSL3_READ_BYTES Reason: tlsv1 alert
unknown ca

%ASA-6-725006: Device failed SSL handshake with client outside:172.16.250.9/50091

電話ログ

 902: NOT 10:19:27.155936 VPNC: ssl_state_cb: TLSv1: SSL_connect: before/connect 
initialization
903: NOT 10:19:27.162212 VPNC: ssl_state_cb: TLSv1: SSL_connect: unknown state
904: NOT 10:19:27.361610 VPNC: ssl_state_cb: TLSv1: SSL_connect: SSLv3 read
server hello A
905: NOT 10:19:27.364687 VPNC: cert_vfy_cb: depth:1 of 1, subject:
</CN=10.198.16.140/unstructuredName=10.198.16.140>
906: NOT 10:19:27.365344 VPNC: cert_vfy_cb: depth:1 of 1, pre_err: 18 (self
signed certificate)
907: NOT 10:19:27.368304 VPNC: cert_vfy_cb: peer cert saved: /tmp/leaf.crt
908: NOT 10:19:27.375718 SECD: Leaf cert hash = 1289B8A7AA9FFD84865E38939F3466A61B5608FC
909: ERR 10:19:27.376752 SECD: EROR:secLoadFile: file not found </tmp/issuer.crt>
910: ERR 10:19:27.377361 SECD: Unable to open file /tmp/issuer.crt
911: ERR 10:19:27.420205 VPNC: VPN cert chain verification failed, issuer
certificate not found and leaf not trusted
912: ERR 10:19:27.421467 VPNC: ssl_state_cb: TLSv1: write: alert: fatal:
unknown CA

913: ERR 10:19:27.422295 VPNC: alert_err: SSL write alert: code 48, unknown CA
914: ERR 10:19:27.423201 VPNC: create_ssl_connection: SSL_connect ret -1 error 1
915: ERR 10:19:27.423820 VPNC: SSL: SSL_connect: SSL_ERROR_SSL (error 1)
916: ERR 10:19:27.424541 VPNC: SSL: SSL_connect: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
917: ERR 10:19:27.425156 VPNC: create_ssl_connection: SSL setup failure
918: ERR 10:19:27.426473 VPNC: do_login: create_ssl_connection failed
919: NOT 10:19:27.427334 VPNC: vpn_stop: de-activating vpn
920: NOT 10:19:27.428156 VPNC: vpn_set_auto: auto -> auto
921: NOT 10:19:27.428653 VPNC: vpn_set_active: activated -> de-activated
922: NOT 10:19:27.429187 VPNC: set_login_state: LOGIN: 1 (TRYING) --> 3 (FAILED)
923: NOT 10:19:27.429716 VPNC: set_login_state: VPNC : 1 (LoggingIn) --> 3
(LoginFailed)
924: NOT 10:19:27.430297 VPNC: vpnc_send_notify: notify type: 1 [LoginFailed]
925: NOT 10:19:27.430812 VPNC: vpnc_send_notify: notify code: 37
[SslAlertSrvrCert]
926: NOT 10:19:27.431331 VPNC: vpnc_send_notify: notify desc: [alert: Unknown
CA (server cert)]

927: NOT 10:19:27.431841 VPNC: vpnc_send_notify: sending signal 28 w/ value 13 to
pid 14
928: ERR 10:19:27.432467 VPNC: protocol_handler: login failed

PC ポート機能へのスパン

コンピュータを電話機に直接接続することができます。 電話機のバックプレーン内にスイッチ ポートがあります。

以前行ったように電話機を設定して、CUCM 上の PC ポートへのスパンを有効にし、設定を適用します。 電話機が各フレームのコピーを PC に送信し始めます。 Wireshark を無差別モードで使用して、トラフィックを収集して分析します。

116162-trouble-anyconnect-vpn-phone-14.jpg

VPN 経由で接続された状態での IP 電話設定の変更

IP 電話が AnyConnect 経由でネットワーク外部から接続された状態で、VPN 設定を変更できるかという質問をよく受けます。 答えは「はい」ですが、いくつかの構成設定を確認する必要があります。

CUCM 内で必要な変更を加えてから、その変更を電話機に適用します。 新しい設定を電話機にプッシュするための 3 つのオプション(Apply Config、Reset、Restart)があります。 3 つすべてのオプションが VPN と電話機および ASA 間の接続を解除しますが、証明書認証が使用されている場合は自動的に再接続されます。 認証、許可、およびアカウンティング(AAA)を使用している場合は、クレデンシャルの再入力が要求されます。

116162-trouble-anyconnect-vpn-phone-15.jpg

: IP 電話がリモート側に存在する場合は、外部 DHCP サーバから IP アドレスを受け取るのが一般的です。 IP 電話で CUCM から新しい設定を受信するには、本社の TFTP サーバに接続する必要があります。 通常は、CUCM が TFTP サーバを兼ねています。

更新されたコンフィギュレーション ファイルを受信するには、TFTP サーバの IP アドレスが電話機のネットワーク設定内で正しくセットアップされていることを確認します。 確認のために、DHCP サーバからオプション 150 を使用するか、手動で電話機の TFTP を設定します。 この TFTP サーバには AnyConnect セッション経由でアクセスできます。

IP 電話がローカル DHCP サーバから TFTP サーバを受信しているが、そのアドレスが正しくない場合は、代替 TFTP サーバ オプションを使用して、DHCP サーバから提供される TFTP サーバの IP アドレスを上書きすることができます。 この手順では、代替 TFTP サーバの適用方法を説明します。

  1. [Settings] > [Network Configuration] > [IPv4 Configuration] に移動します。
  2. [代替 TFTP(Alternate TFTP)] オプションにスクロールします。
  3. 電話機で代替 TFTP サーバを使用する場合は、[Yes] ソフトキーを押します。 それ以外の場合は、[No] ソフトキーを押します。 オプションがロックされている場合は、* * # を押してロックを解除します。
  4. Save ソフトキーを押します。
  5. [TFTP Server 1] オプションで代替 TFTP サーバを適用します。

Web ブラウザまたは電話機メニューで直接ステータス メッセージを確認して、電話機が正しい情報を受信していることを確認します。 通信が正しくセットアップされている場合は、次のようなメッセージが表示されます。

116162-trouble-anyconnect-vpn-phone-16.jpg

電話機が TFTP サーバから情報を受信できない場合は、TFTP エラー メッセージが表示されます。

116162-trouble-anyconnect-vpn-phone-17.jpg

ASA SSL 証明書の更新

AnyConnect VPN 電話のセットアップは正しく機能しているが、ASA SSL 証明書の期限が近づいてきた場合に、すべての IP 電話をメイン サイトに移動して、新しい SSL 証明書を電話機に導入する必要はありません。 VPN が接続された状態で、新しい証明書を追加することができます。

ID 証明書の代わりに ASA のルート CA 証明書をエクスポートまたはインポートしてから、更新で同じベンダー(CA)を引き続き使用する場合は、CUCM 内の証明書を変更する必要がありません。これは、証明書を流用できるためです。 ただし、ID 証明書を使用していた場合は、次の手順が必要になります。 そうしないと、ASA と IP 電話間のハッシュ値が一致しないため、接続が電話機で信頼されません。

  1. ASA 上の証明書を更新します。

    : 詳細については、「ASA 8.x: ASDM を使用した SSL 証明書の更新とインストール」を参照してください。 別のトラストポイントを作成して、すべての VPN IP 電話に証明書を適用するまで、ssl trustpoint <name> outside コマンドを使用してこの新しい証明書を適用しないでください。

  2. 新しい証明書をエクスポートします。
  3. 電話 VPN 信頼証明書として新しい証明書を CUCM にインポートします。
  4. CUCM の [VPN Gateway Configuration] に移動して、新しい証明書を適用します。 これで、次の両方の証明書が存在することになります。 期限が迫っている証明書とまだ ASA に適用されていない新しい証明書。
  5. この新しい設定を IP 電話に適用します。 [Apply Config] > [Reset] > [Restart] に移動して、VPN トンネル経由で新しい設定変更を IP 電話に導入します。 すべての IP 電話が VPN 経由で接続されており、それらからトンネル経由で TFTP サーバに到達可能なことを確認します。
  6. TFTP を使用してステータス メッセージとコンフィギュレーション ファイルをチェックし、IP 電話が更新されたコンフィギュレーション ファイルを受信したことを確認します。
  7. ASA で新しい SSL トラストポイントを適用して、古い証明書を置き換えます。

: ASA SSL 証明書がすでに期限切れで、IP 電話が AnyConnect 経由で接続できない場合は、 変更(新しい ASA 証明書ハッシュなど)を IP 電話にプッシュできます。 手動で IP 電話内の TFTP をパブリック IP アドレスに設定して IP 電話がそこから情報を取得できるようにします。 パブリック TFTP サーバを使用して、コンフィギュレーション ファイルをホストします。 たとえば、ASA 上でポート フォワーディングを作成して、そのトラフィックを内部 TFTP サーバにリダイレクトします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116162