セキュリティと VPN : WebVPN/SSL VPN

EAP-PEAP およびネイティブウィンドウ クライアントで ASA IKEv2 リモートアクセスを設定して下さい

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料はリモート VPN アクセスを標準 Extensible Authentication Protocol (EAP) 認証とインターネット鍵交換 プロトコル(IKEv2)を使用する許可する Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)バージョン 9.3.2 および それ 以降に設定例を提供したものです。 これはネイティブ Microsoft Windows 7 クライアント(および他のどの標準ベース IKEv2 も) IKEv2 および EAP 認証と ASA に接続するようにします。

ミカル Garcarz、Eugene Korneychuk、および Wojciech Cecot によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • 基本 VPN および IKEv2 ナレッジ
  • 基本的な認証、許可および会計(AAA)および RADIUS ナレッジ
  • ASA VPN 設定のエクスペリエンス
  • Identity Services Engine (ISE)設定のエクスペリエンス

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 7
  • Cisco ASA ソフトウェア、バージョン 9.3.2 および それ 以降
  • Cisco ISE、リリース 1.2 およびそれ以降

背景説明

AnyConnect セキュアな機動性 クライアント考慮事項

ネイティブウィンドウ IKEv2 クライアントはスプリットトンネルを(Windows 7 クライアントによって受け入れることができる CONF 応答属性がありません)サポートしません、従って Microsoft クライアントとの唯一の可能性のある ポリシーはすべてのトラフィック(0/0 トラフィック セレクタ)をトンネル伝送することです。 仕様スプリットトンネル ポリシーのための必要がある場合、AnyConnect は使用する必要があります。

AnyConnect は AAAサーバ(PEAP、Transport Layer Security)で終わる標準化された EAP メソッドをサポートしません。 AAAサーバの EAP セッションを終了する必要があれば Microsoft クライアントは使用することができます。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

ASA は認証と認証するために設定されます(クライアントはその認証を信頼する必要があります)。 Windows 7 クライアントは EAP (EAP-PEAP)と認証を受けるために設定されます。

ASA はクライアントからの IKEv2 セッションを終了する VPNゲートウェイとして機能します。 ISE はクライアントからの EAP セッションを終了する AAAサーバとして機能します。 次に EAP パケットはクライアントと ASA (IKEv2)間のトラフィックのための IKE_AUTH パケットと ASA と ISE 間の認証 トラフィックのための RADIUSパケットでカプセル化されます。

証明書

Microsoft Certificate Authority (CA)は ASA のための認証を生成するために使用されました。 認証必要条件は Windows 7 ネイティブ クライアントによって受け入れられるために次のとおりです:

  • 拡張キー使用法(EKU)拡張はサーバ認証を含む必要があります(テンプレート「Webサーバ」はその例で使用されました)。
  • Subject-Name はクライアントによって接続するために使用される完全修飾ドメイン名 (FQDN)を含む必要があります(この例 ASAv.example.com で)。

詳細については Microsoft クライアントで、IKEv2 VPN 接続のトラブルシューティングを参照して下さい。

: Android 4.x はより制限し、RFC 6125 によって正しい認証対象代替名前を必要とします。 Android の詳細については、EAP および RSA 認証を用いる Cisco IOS に strongSwan Android からの IKEv2 を参照して下さい。

証明書署名要求を ASA で生成するために、この設定は使用されました:

hostname ASAv
domain-name example.com

crypto ca trustpoint TP
enrollment terminal

crypto ca authenticate TP
crypto ca enroll TP

ISE

ステップ 1. ISE のネットワークデバイスに ASA を追加して下さい。

> ネットワークデバイス 『管理』 を選択 して下さい。 ASA によって使用される事前共有パスワードを設定 して下さい。

ステップ 2.ローカル ストアのユーザ名を作成して下さい。

> 識別 > Users 『管理』 を選択 して下さい。 ユーザ名を要求に応じて作成して下さい。

他の設定はすべて ISE が EAP-PEAP (保護された Extensible Authentication Protocol)のエンドポイントを認証することができるようにデフォルトで有効に なります。

ASA

リモートアクセスのための設定は IKEv1 および IKEv2 のために類似したです。

aaa-server ISE2 protocol radius
aaa-server ISE2 (inside) host 10.62.97.21
 key cisco

group-policy AllProtocols internal
group-policy AllProtocols attributes
 vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0

crypto ipsec ikev2 ipsec-proposal ipsec-proposal
 protocol esp encryption aes-256 aes-192 aes
 protocol esp integrity sha-256 sha-1 md5

crypto dynamic-map DYNMAP 10 set ikev2 ipsec-proposal ipsec-proposal
crypto map MAP 10 ipsec-isakmp dynamic DYNMAP
crypto map MAP interface outside

crypto ikev2 policy 10
 encryption 3des
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

Windows 7 が IKE_AUTH パケットの IKE-ID 型アドレスを送信 するので接続が正しいトンネル グループで上陸することを確かめるために、DefaultRAGroup は使用する必要があります。 ASA は認証(ローカル認証)と認証し、クライアントが EAP (リモート 認証)を使用すると期待します。 また、ASA は EAP 識別応答(クエリ識別)と応答する特別にクライアントのための EAP Identity 要求を送る必要があります。

tunnel-group DefaultRAGroup general-attributes
 address-pool POOL
 authentication-server-group ISE
 default-group-policy AllProtocols
tunnel-group DefaultRAGroup ipsec-attributes
 ikev2 remote-authentication eap query-identity
 ikev2 local-authentication certificate TP

最終的には、IKEv2 は有効に なることを使用される必要があり、正しい認証。

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint TP

Windows 7

ステップ 1. CA 認証をインストールして下さい。

ASA によって示される認証を信頼するために Windows クライアントは CA を信頼する必要があります。 その CA 認証はコンピュータ証明書ストア(ないユーザー ストア)に追加する必要があります。 Windows クライアントは IKEv2 認証を検証するためにパソコンショップを使用します。

CA を追加するために、MMC > Add を選択するか、またはスナップ ins > 認証取除いて下さい

Computer Accountオプション・ボタンをクリックして下さい。

信頼されたルート 認証機関に CA をインポートして下さい。

Windows クライアントが ASA によって示される認証を検証できなければ場合報告します:

13801: IKE authentication credentials are unacceptable 

ステップ 2. VPN 接続を設定して下さい。

ネットワークおよび共有センターからの VPN 接続を設定するために、VPN 接続を作成するために仕事場に『Connect』 を選択 して下さい。

使用をインターネット接続(VPN)選択して下さい。

ASA FQDN でアドレスを設定して下さい。 Domain Name Server (DNS)によって正しく解決されることを確かめて下さい。

必要であれば、保護された EAP Properties ウィンドウの特性を(認証の検証のような)調節して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

Windows クライアント

接続するとき、資格情報を入力して下さい。

認証の成功の後で IKEv2 設定は適用します。

セッションがアップします。

ルーティング テーブルは低いメトリックの新しいインターフェイスの使用のデフォルト ルートによってアップデートされました。

C:\Users\admin>route print
===========================================================================
Interface List
 41...........................IKEv2 connection to ASA
 11...08 00 27 d2 cb 54 ......Karta Intel(R) PRO/1000 MT Desktop Adapter
  1...........................Software Loopback Interface 1
 15...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 22...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP #4
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.68   4491
          0.0.0.0          0.0.0.0         On-link      192.168.1.10     11
     10.62.71.177  255.255.255.255     192.168.10.1    192.168.10.68   4236
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
     192.168.1.10  255.255.255.255         On-link      192.168.1.10    266
     192.168.10.0    255.255.255.0         On-link     192.168.10.68   4491
    192.168.10.68  255.255.255.255         On-link     192.168.10.68   4491
   192.168.10.255  255.255.255.255         On-link     192.168.10.68   4491
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.10.68   4493
        224.0.0.0        240.0.0.0         On-link      192.168.1.10     11
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.10.68   4491
  255.255.255.255  255.255.255.255         On-link      192.168.1.10    266
===========================================================================

ログ

認証の成功の後 ASA レポート:

ASAv(config)# show vpn-sessiondb detail ra-ikev2-ipsec 

Session Type: Generic Remote-Access IKEv2 IPsec Detailed

Username     : cisco                  Index        : 13
Assigned IP  : 192.168.1.10           Public IP    : 10.147.24.166
Protocol     : IKEv2 IPsecOverNatT
License      : AnyConnect Premium
Encryption   : IKEv2: (1)3DES  IPsecOverNatT: (1)AES256
Hashing      : IKEv2: (1)SHA1  IPsecOverNatT: (1)SHA1
Bytes Tx     : 0                      Bytes Rx     : 7775
Pkts Tx      : 0                      Pkts Rx      : 94
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : AllProtocols           Tunnel Group : DefaultRAGroup
Login Time   : 17:31:34 UTC Tue Nov 18 2014
Duration     : 0h:00m:50s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a801010000d000546b8276
Security Grp : none

IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1

IKEv2:
  Tunnel ID    : 13.1
  UDP Src Port : 4500                   UDP Dst Port : 4500
  Rem Auth Mode: EAP
  Loc Auth Mode: rsaCertificate
  Encryption   : 3DES                   Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86351 Seconds
  PRF          : SHA1                   D/H Group    : 2
  Filter Name  :

IPsecOverNatT:
  Tunnel ID    : 13.2
  Local Addr   : 0.0.0.0/0.0.0.0/0/0
  Remote Addr  : 192.168.1.10/255.255.255.255/0/0
  Encryption   : AES256                 Hashing      : SHA1                   
  Encapsulation: Tunnel                 
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28750 Seconds          
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Bytes Tx     : 0                      Bytes Rx     : 7834                   
  Pkts Tx      : 0                      Pkts Rx      : 95   

ISE ログはデフォルトの認証および承認規則の認証の成功を示します。

詳細は PEAP 方式を示します。

 

ASA のデバッグ

最も重要なデバッグは下記のものを含んでいます:

ASAv# debug crypto ikev2 protocol 32
<most debugs omitted for clarity....

ASA によって受信される IKE_SA_INIT パケット(Diffie-Hellman (DH)のための IKEv2 提案および鍵交換が含まれています):

IKEv2-PROTO-2: Received Packet [From 10.147.24.166:500/To 10.62.71.177:500/VRF i0:f0] 
Initiator SPI : 7E5B69A028355701 - Responder SPI : 0000000000000000 Message id: 0
IKEv2 IKE_SA_INIT Exchange REQUESTIKEv2-PROTO-3: Next payload: SA,
version: 2.0 Exchange type: IKE_SA_INIT, flags: INITIATOR Message id: 0, length: 528
Payload contents:
 SA  Next payload: KE, reserved: 0x0, length: 256
  last proposal: 0x2, reserved: 0x0, length: 40
  Proposal: 1, Protocol id: IKE, SPI size: 0, #trans: 4    last transform: 0x3,
reserved: 0x0: length: 8
.....

発信側への IKE_SA_INIT 応答(DH のための IKEv2 提案、鍵交換、および証明書要求が含まれています):

IKEv2-PROTO-2: (30): Generating IKE_SA_INIT message
IKEv2-PROTO-2: (30): IKE Proposal: 1, SPI size: 0 (initial negotiation),
Num. transforms: 4
(30):    3DES(30):    SHA1(30):    SHA96(30):    DH_GROUP_1024_MODP/Group
2IKEv2-PROTO-5:
Construct Vendor Specific Payload: DELETE-REASONIKEv2-PROTO-5: Construct Vendor
Specific Payload: (CUSTOM)IKEv2-PROTO-5: Construct Notify Payload:
NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload:
NAT_DETECTION_DESTINATION_IPIKEv2-PROTO-5: Construct Vendor Specific Payload:
FRAGMENTATION(30):  
IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:500/From
10.62.71.177:500/VRF i0:f0]

IKE-ID のクライアントのための IKE_AUTH は、証明書要求、トランスフォーム セット、要求された設定およびトラフィック セレクタを提案しました:

IKEv2-PROTO-2: (30): Received Packet [From 10.147.24.166:4500/To 10.62.71.177:500/VRF
i0:f0]
(30): Initiator SPI : 7E5B69A028355701 - Responder SPI : 1B1A94C7A7739855 Message id: 1
(30): IKEv2 IKE_AUTH Exchange REQUESTIKEv2-PROTO-3: (30): Next payload: ENCR,
version: 2.0 (30): Exchange type: IKE_AUTH, flags: INITIATOR (30): Message id: 1,
length: 948(30):

EAP Identity 要求(EAP 拡張を用いる最初パケット)を含む ASA からの IKE_AUTH 応答。 そのパケットはまた(そこの ASA に正しい認証があれば失敗がなければ)認証が含まれています:

IKEv2-PROTO-2: (30): Generating EAP request
IKEv2-PROTO-2: (30): Sending Packet [To 10.147.24.166:4500/From 10.62.71.177:4500/VRF
i0:f0]

ASA (長さ 5 受け取った EAP 応答ペイロードによって: cisco):

(30): REAL Decrypted packet:(30): Data&colon; 14 bytes
(30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 14
(30):     Code: response: id: 36, length: 10
(30):     Type: identity
(30): EAP data&colon; 5 bytes

それから多重パケットは EAP-PEAP の一部として交換されます。 最後に EAP 成功は ASA によって受け取られ、サプリカントに転送されます:

Payload contents: 
(30):  EAP(30):   Next payload: NONE, reserved: 0x0, length: 8
(30):     Code: success: id: 76, length: 4

ピア 認証は正常です:

IKEv2-PROTO-2: (30): Verification of peer's authenctication data PASSED

そして VPN セッションは正しく終わります。

パケットは水平になります

EAP Identity 要求は ASA によって IKE_AUTH の「拡張可能認証」で送信 しますカプセル化されます。 Identity 要求と共に、IKE_ID および認証は送信 されます。

すべてのそれに続く EAP パケットは IKE_AUTH でカプセル化されます。 サプリカントが方式(EAP-PEAP)を確認した後、認証に使用する MSCHAPv2 セッションを保護する Secure Sockets Layer (SSL) トンネルを構築し始めます。

多重パケットが交換された後 ISE は成功を確認します。

 

IKEv2 セッションは ASA によって、最終コンフィギュレーション(割り当てられた IP アドレスのような値の設定応答)、トランスフォーム 設定 します完了し、トラフィック セレクタは VPN クライアントに押されます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報



Document ID: 119208