ASA での AnyConnect 管理 VPN トンネルの設定

概要

このドキュメントでは、VPNゲートウェイが管理VPNトンネルを介してCisco AnyConnectセキュアモビリティクライアントからの接続を受け入れるようにASAを設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Adaptive Security Device Manager(ASDM)によるVPN設定
• 基本的な適応型セキュリティアプライアンス(ASA)CLI設定
• X509証明書

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco ASAソフトウェアバージョン9.12(3)9
• Cisco ASDMソフトウェアバージョン7.12.2
• Cisco AnyConnectセキュアモビリティクライアントバージョン4.8.03036がインストールされたWindows 10

注：AnyConnect VPN Web展開パッケージ(anyconnect-win*.pkg or anyconnect-macos*.pkg)からダウンロードできます(登録ユーザ専用)。AnyConnect VPNクライアントをリモートユーザコンピュータにダウンロードされるASAのフラッシュメモリにコピーし、ASAとのSSL VPN接続を確立します。詳細については、ASAコンフィギュレーションガイドの「AnyConnectクライアントのインストール」セクションを参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

管理VPNトンネルは、エンドユーザによってVPN接続が確立される場合だけでなく、クライアントシステムの電源が入ると常に企業ネットワークへの接続を確保します。オフィス外のエンドポイント、特にユーザがVPN経由でオフィスのネットワークに頻繁に接続しないデバイスに対して、パッチ管理を実行できます。企業ネットワーク接続を必要とするエンドポイントOSログインスクリプトも、この機能の恩恵を受けます。

AnyConnect管理トンネルを使用すると、管理者はユーザがログインする前に、ユーザの介入なしでAnyConnectを接続できます。AnyConnect管理トンネルはTrusted Network Detection（TND；信頼ネットワーク検出）と組み合わせて動作できるため、エンドポイントがオフプレミスで、ユーザが開始したVPNから切断された場合にのみトリガーされます。AnyConnect管理トンネルはエンドユーザに対して透過的で、ユーザがVPNを開始すると自動的に切断されます。

OS/アプリケーション	最小バージョン要件
ASA	9.0.1
ASDM	7.10.1
Windows AnyConnectバージョン	4.7.00136
macOS AnyConnectバージョン	4.7.01076
Linux	サポートされていない

管理トンネルの動作

AnyConnect VPNエージェントサービスは、システムの起動時に自動的に開始されます。管理トンネル機能が（管理VPNプロファイルを介して）有効になっていることが検出されるため、管理クライアントアプリケーションを起動して管理トンネル接続を開始します。管理クライアントアプリケーションは、管理VPNプロファイルのホストエントリを使用して接続を開始します。次に、VPNトンネルは通常どおり確立されますが、例外が1つあります。管理トンネルはユーザに対して透過的に動作するように設計されているため、管理トンネルの接続中にソフトウェアの更新は行われません。

ユーザはAnyConnect UIを使用してVPNトンネルを開始し、これにより管理トンネルの終了がトリガーされます。管理トンネルが終端すると、ユーザトンネルの確立は通常どおり継続されます。

ユーザがVPNトンネルを切断すると、管理トンネルの自動再確立がトリガーされます。

制限

• ユーザー操作はサポートされていません
• マシン証明書ストア(Windows)による証明書ベースの認証のみがサポートされます
• 厳密なサーバ証明書チェックが適用される
• プライベートプロキシはサポートされていません
• パブリックプロキシはサポートされていません（ネイティブプロキシ設定がブラウザから取得されないプラットフォームでは、ProxyNative値がサポートされています）
• AnyConnectカスタマイズスクリプトはサポートされていません

注：詳細については、「管理VPNトンネルについて」を参照してください。

設定

このセクションでは、管理VPNトンネル経由でAnyConnectクライアントからの接続を受け入れるようにCisco ASAをVPNゲートウェイとして設定する方法について説明します。

ASDM/CLIを使用したASAでの設定

ステップ 1：AnyConnectグループポリシーを作成します。移動先  Configuration > Remote Access VPN > Network (Client) Access > Group Policies.クリック  Add.

注：AnyConnect管理トンネルだけに使用される新しいAnyConnectグループポリシーを作成することをお勧めします。

ステップ 2：Cisco Unified Computing Systemの  Name グループポリシー用に設定します。割り当て/作成  Address Pool.選択  Tunneling Protocols as  SSL VPN Client または  IPsec IKEv2を参照してください。

ステップ 3： 移動先  Advanced > Split Tunneling.Cisco IOSソフトウェアリリース12.1X  Policy as  Tunnel Network List Below を選択し、  Network Listを参照してください。

注：クライアントアドレスが両方のIPプロトコル（IPv4とIPv6）にプッシュされない場合、  Client Bypass Protocol 設定は enabled 対応するトラフィックが管理トンネルによって中断されないようにします。設定するには、「ステップ4」を参照してください。

ステップ 4： 移動先  Advanced > AnyConnect Client. Set  Client Bypass Protocol から  Enable. クリック  OK 図に示すように、[Save]に移動します。

ステップ 5：次の図に示すように、  Apply 設定をASAにプッシュします。

グループポリシーのCLI設定：

ip local pool VPN_Pool 192.168.10.1-192.168.10.100 mask 255.255.255.0
!
access-list VPN-Split standard permit 172.16.0.0 255.255.0.0 
!
group-policy AnyConnect_MGMT_Tunnel internal
group-policy AnyConnect_MGMT_Tunnel attributes
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-network-list value VPN-Split
 client-bypass-protocol enable
 address-pools value VPN_Pool

手順 6：AnyConnect接続プロファイルを作成します。移動先  Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profile. クリック  Add.

注：AnyConnect Managementトンネル専用の新しいAnyConnect Connection Profileを作成することをお勧めします。

手順 7：Cisco Unified Computing Systemの  Name を設定し、  Authentication Method as  Certificate only.次のいずれかを選択します。  Group Policy ステップ1で作成した名前と同じです。

注：ローカルCAからのルート証明書がASAに存在することを確認します。 移動先  Configuration > Remote Access VPN > Certificate Management > CA Certificates  証明書を追加または表示します。

注：同じローカルCAによって発行されたID証明書が、マシン証明書ストア（Windowsの場合）またはシステムキーチェーン（macOSの場合）に存在することを確認してください。

ステップ 8：移動先  Advanced > Group Alias/Group URL.クリック  Add 通常の  Group URLs を追加し、  URL.保証  Enabled チェックが入っていることを確認します。クリック OK 図に示すように、[Save]に移動します。

IKEv2を使用する場合は、  IPsec (IKEv2) Access AnyConnectに使用されるインターフェイスで有効になります。

ステップ 9：クリック  Apply  設定をASAにプッシュします。

接続プロファイル（トンネルグループ）のCLI設定：

tunnel-group AnyConnect_MGMT_Tunnel type remote-access
tunnel-group AnyConnect_MGMT_Tunnel general-attributes
 default-group-policy AnyConnect_MGMT_Tunnel
tunnel-group AnyConnect_MGMT_Tunnel webvpn-attributes
 authentication certificate
 group-url https://asa.example.com/AnyConnect_MGMT_Tunnel enable

ステップ 10：信頼できる証明書がASAにインストールされ、AnyConnect接続に使用されるインターフェイスにバインドされていることを確認します。移動先  Configuration > Remote Access VPN > Advanced > SSL Settings をクリックして、この設定を追加または表示します。

注：『ASAでのID証明書のインストール』を参照してください。

SSLトラストポイントのCLI設定：

ssl trust-point ROOT-CA outside

AnyConnect管理VPNプロファイルの作成

ステップ 1： AnyConnectクライアントプロファイルを作成します。移動先  Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile.クリック  Addを参照してください。

ステップ 2：Cisco Unified Computing Systemの  Profile Name.次のいずれかを選択します。  Profile Usage as  AnyConnect Management VPN profile.次のいずれかを選択します。  Group Policy ステップ1で作成しました。クリック  OK を参照してください。

ステップ 3：作成したプロファイルを選択し、[Profile]をクリックします。  Editを参照してください。

ステップ 4：移動先  Server List.クリック  Add  図に示すように、新しいサーバリストエントリを追加します。

ステップ 5：Cisco Unified Computing Systemの  Display Name.次を追加します。  FQDN/IP address ASAのIPアドレスを設定します。を指定します。  User Group トンネルグループ名として使用します。  Group URL  は自動的に入力され、  FQDN と  User Group.クリック  OK.

注：FQDN/IPアドレス+ユーザグループは、手順8のAnyConnect接続プロファイルの設定時に指定したグループURLと同じである必要があります。

注：プロトコルとしてIKEv2を使用するAnyConnectは、ASAへの管理VPNの確立にも使用できます。保証  Primary Protocol に設定されている  IPsec ステップ5を参照してください。

手順 6：図に示すように、  OK 保存します。

手順 7：クリック  Apply to図に示すように、設定をASAにプッシュします。

AnyConnect管理VPNプロファイルを追加した後のCLI設定

webvpn
 enable outside
 hsts
  enable
  max-age 31536000
  include-sub-domains
  no preload
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.8.02045-webdeploy-k9.pkg 1
 anyconnect profiles AnyConnect_MGMT_Profile disk0:/anyconnect_mgmt_profile.vpnm
 anyconnect enable
 tunnel-group-list enable
 cache
  disable
 error-recovery disable
!
group-policy AnyConnect_MGMT_Tunnel internal
group-policy AnyConnect_MGMT_Tunnel attributes
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-network-list value VPN-Split
 client-bypass-protocol enable
 address-pools value VPN_Pool
 webvpn
  anyconnect profiles value AnyConnect_MGMT_Profile type vpn-mgmt

AnyConnectクライアントマシンのAnyConnect管理VPNプロファイル：

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>
		
    
    
      true 
    
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		
    
    
      Machine 
    
		
    
    
      System 
    
		
    
    
      true 
    
		<ProxySettings>IgnoreProxy</ProxySettings>
		<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
		<AuthenticationTimeout>30</AuthenticationTimeout>
		
--- Output Omitted ---

		<CaptivePortalRemediationBrowserFailover>false</CaptivePortalRemediationBrowserFailover>
		<AllowManualHostInput>false</AllowManualHostInput>
	</ClientInitialization>
	
    
     
      
      
        AnyConnect_MGMT_Tunnel 
       
      
        asa.example.com 
       
      
        AnyConnect_MGMT_Tunnel 
       
      
    
	
</AnyConnectProfile>

注：User AnyConnect VPNプロファイルでTrusted Network Detection(TND)が使用されている場合は、一貫したユーザエクスペリエンスを得るために、Management VPN Profileで同じ設定を照合することをお勧めします。管理VPNトンネルは、ユーザVPNトンネルプロファイルに適用されたTND設定に基づいてトリガーされます。 また、管理VPNトンネルがエンドユーザに対して透過的になるように、管理VPNプロファイル（管理VPNトンネルがアクティブな場合にのみ適用）のTND Connectアクションは常にユーザVPNトンネルに適用されます。

注：どのエンドユーザPCでも、管理VPNプロファイルでTND設定が有効になっており、ユーザVPNプロファイルがない場合、ユーザVPNプロファイルがない代わりに、TNDのデフォルトのプリファレンス設定（ACクライアントアプリケーションのデフォルトのプリファレンスでは無効）が考慮されます。この不一致により、予期しない/未定義の動作が発生する可能性があります。
デフォルトでは、TND設定はデフォルト設定で無効になっています。
AnyConnect Clientアプリケーションでのデフォルトのプレファレンスのハードコード設定を克服するには、エンドユーザPCに2つのVPNプロファイル（ユーザVPNプロファイルとAC管理VPNプロファイル）が必要で、両方に同じTND設定が必要です。
管理VPNトンネルの接続と切断の背後にあるロジックは、管理VPNトンネルを確立するために、ACエージェントはユーザVPNプロファイルTND設定を使用し、管理VPNトンネルの切断には、管理VPNプロファイルTND設定をチェックするというものです。

AnyConnect管理VPNプロファイルの導入方法

• VPNゲートウェイからAnyConnect管理VPNプロファイルをダウンロードするには、ASA接続プロファイルを使用してユーザVPN接続が正常に完了します。

注：管理VPNトンネルに使用されるプロトコルがIKEv2の場合、最初の接続をSSL経由で確立する必要があります（ASAからAnyConnect管理VPNプロファイルをダウンロードするため）。

• AnyConnect管理VPNプロファイルは、GPOプッシュまたは手動インストールのいずれかを使用して、クライアントマシンに手動でアップロードできます(プロファイルの名前が  VpnMgmtTunProfile.xml）。
  
  プロファイルを追加する必要があるフォルダの場所：
  Windows：  C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\MgmtTun
  MacOS:  /opt/cisco/anyconnect/profile/mgmttun/

（オプション）Tunnel-All設定をサポートするためのカスタム属性の設定

管理VPNトンネルでは、ユーザが開始するネットワーク通信に影響を与えないように、デフォルトでトンネリング設定を含むスプリットが必要です。これは、管理トンネル接続で使用されるグループポリシーでカスタム属性を設定するときに上書きできます。

ステップ 1：移動先Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. クリック  Addを参照してください。

ステップ2.カスタム属性タイプをに設定します  ManagementTunnelAllAllowed  およびCisco IOSソフトウェアの  Description. クリック  OKを参照してください。

ステップ 3： 移動先  Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. クリック  Addを参照してください。

ステップ 4：タイプを次のように選択します。  ManagementTunnelAllAllowed . 名前を次のように設定します  true.クリック  Add図に示すように、カスタム属性値を指定します。

ステップ 5：値の設定  true.クリック  OKを参照してください。

手順 6：移動先  Configuration > Remote Access VPN > Network (Client) Access > Group Policies.[Group Policy]を選択します。 クリック  Edit を参照してください。

手順 7：次の図に示すように、  Advanced > Split Tunneling.ポリシーの設定  Tunnel All Networks.

ステップ 8：移動先  Advanced > Anyconnect Client > Custom Attributes.クリック  Addを参照してください。

ステップ 9： 属性タイプを次のように選択します  ManagementTunnelAllAllowed  [Value]で  true.クリック  OKを参照してください。

ステップ 10：クリック  Apply 図に示すように、設定をASAにプッシュします。

CLIの設定後の  ManagementTunnelAllAllowed カスタム属性が追加されます。

webvpn
 enable outside
 anyconnect-custom-attr ManagementTunnelAllAllowed description ManagementTunnelAllAllowed
 hsts
  enable
  max-age 31536000
  include-sub-domains
  no preload
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.8.02045-webdeploy-k9.pkg 1
 anyconnect profiles AnyConnect_MGMT_Profile disk0:/anyconnect_mgmt_profile.vpnm
 anyconnect enable
 tunnel-group-list enable
 cache
  disable
 error-recovery disable
!
anyconnect-custom-data ManagementTunnelAllAllowed true true
!
group-policy AnyConnect_MGMT_Tunnel internal
group-policy AnyConnect_MGMT_Tunnel attributes
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelall
 client-bypass-protocol enable
 address-pools value VPN_Pool
 anyconnect-custom ManagementTunnelAllAllowed value true
 webvpn
  anyconnect profiles value AnyConnect_MGMT_Profile type vpn-mgmt

確認

次のコマンドを使用して、ASA CLIでの管理VPNトンネル接続を  show vpn-sessiondb detail anyconnect  コマンドが表示されない場合もあります。

ASA# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : vpnuser                Index        : 10
Assigned IP  : 192.168.10.1           Public IP    : 10.65.84.175
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 17238                  Bytes Rx     : 1988
Pkts Tx      : 12                     Pkts Rx      : 13
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : AnyConnect_MGMT_Tunnel Tunnel Group : AnyConnect_MGMT_Tunnel
Login Time   : 01:23:55 UTC Tue Apr 14 2020
Duration     : 0h:11m:36s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a801010000a0005e9510ab
Security Grp : none                   

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

--- Output Omitted ---

DTLS-Tunnel:
  Tunnel ID    : 10.3
  Assigned IP  : 192.168.10.1           Public IP    : 10.65.84.175
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 57053                  
  UDP Dst Port : 443                    Auth Mode    : Certificate            
  Idle Time Out: 30 Minutes             Idle TO Left : 18 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03036
  Bytes Tx     : 17238                      Bytes Rx     : 1988                      
  Pkts Tx      : 12                         Pkts Rx      : 13                      
  Pkts Tx Drop : 0                          Pkts Rx Drop : 0                      

ASDMで管理VPNトンネル接続を確認します。

[モニタリング（Monitoring）] > [VPN] > [VPN 統計情報（VPN Statistics）] > [セッション（Sessions）] の順に移動します。クライアントセッションを表示するには、[Filter By AnyConnect Client]を選択します。

クライアントマシンでの管理VPNトンネル接続の確認：

トラブルシュート

新しいUI統計行（管理接続状態）を使用して、管理トンネル接続の問題をトラブルシューティングできます。一般的に見られるエラー状態を次に示します。

切断（無効）:

• この機能は無効になっています。
• 管理VPNプロファイルが、ユーザトンネル接続を介して（ユーザのトンネルグループポリシーに管理VPNプロファイルを追加する必要がある）、またはプロファイルの手動アップロードによってアウトオブバンドで、クライアントに展開されたことを確認します。
• 管理VPNプロファイルが、トンネルグループを含む単一のホストエントリで設定されていることを確認します。

切断（信頼されたネットワーク）:

• TNDが信頼できるネットワークを検出したため、管理トンネルが確立されません。

切断（ユーザトンネルがアクティブ）:

• ユーザVPNトンネルは現在アクティブです。
  
  

切断（プロセスの起動に失敗）:

• 管理トンネル接続の試行中に、プロセスの起動エラーが発生しました。
  
  

切断（接続に失敗）:

•  管理トンネルの確立時に接続エラーが発生しました。
• 証明書認証がトンネルグループで設定されていること、グループポリシーにバナーが存在しないこと、およびサーバ証明書が信頼されていることを確認します。
  
  

切断（無効なVPN構成）:

• 無効なスプリットトンネリング構成をVPNサーバーから受信しました。
• 管理トンネルグループポリシーのスプリットトンネリング設定を確認します。
  
  

切断（ソフトウェアの更新が保留中）:

• AnyConnectソフトウェアのアップデートは現在保留中です。
  
  

切断されました:

• 管理トンネルが確立されようとしているか、または他の理由で確立できません。

DARTを収集して、トラブルシューティングをさらに進めます。

関連情報

• 管理VPNトンネルの設定
• 管理VPNトンネルのトラブルシューティング
• テクニカル サポートとドキュメント – Cisco Systems