ローカル LAN への AnyConnect クライアントアクセスの設定

Updated: 2023 年 8 月 21 日
Document ID:70847

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco AnyConnect セキュア モビリティ クライアントが、Cisco ASA への接続中にローカル LAN にアクセスできるようにする方法について説明します。

    前提条件

    要件

    このドキュメントでは、機能するリモートアクセスVPN設定がCisco適応型セキュリティアプライアンス(ASA)にすでに存在していることを前提としています。

    必要に応じて、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド9.17』で設定のサポートを参照してください。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco ASA 5500 シリーズ バージョン 9(2)1
    • Cisco Adaptive Security Device Manager(ASDM)バージョン 7.1(6)
    • Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.1.05152

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    ネットワーク図

    クライアントは一般的なスモールオフィス/ホームオフィス(SOHO)ネットワーク上にあり、インターネット経由で本社に接続しています。

    Diagram of Typical Small Office/Home Office (SOHO) network

    背景説明

    この設定により、Cisco AnyConnectセキュアモビリティクライアントは、IPsec、Secure Sockets Layer(SSL)、またはInternet Key Exchange Version 2(IKEv2)を介して企業リソースへの安全なアクセスが可能になるだけでなく、クライアントが配置されている場所での印刷などのアクティビティを実行する機能もクライアントに提供されます。許可されている場合、インターネット宛てのトラフィックは引き続き ASA にトンネリングされます。

    すべてのインターネット トラフィックが暗号化されずに送信される従来のスプリット トンネリング シナリオとは異なり、VPN クライアント用にローカルの LAN アクセスを有効にすると、それらのクライアントは、存在する場所のネットワーク上にあるデバイスだけと暗号化せずに通信することを許可されます。たとえば、自宅からASAに接続しているときにローカルLANアクセスを許可されたクライアントは、自分のプリンタに出力することはできますが、最初にトンネル経由でトラフィックを送信しない限りインターネットにアクセスすることはできません。

    ASA でスプリット トンネリングを設定する場合とほぼ同じように、ローカル LAN アクセスの許可には、アクセス リストが使用されます。ただし、スプリットトンネリングのシナリオとは異なり、このアクセスリストでは、暗号化する必要があるネットワーク定義されません。代わりに、暗号化しないネットワークを定義します。また、スプリット トンネリング シナリオとは異なり、リスト内の実際のネットワークを知る必要はありません。その代わりに、ASA は、クライアントのローカル LAN を意味すると理解されているデフォルト ネットワークの 0.0.0.0/255.255.255.255 を供給します。

    note-icon

    :これは、クライアントがASAに接続しているときにインターネットに暗号化されていないアクセスを行うスプリットトンネリングの設定ではありません。ASAでスプリットトンネリングを設定する方法については、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド9.17』の「スプリットトンネリングポリシーの設定」を参照してください。

    :クライアントがローカルLANアクセス用に接続および設定されている場合、ローカルLAN上で名前による印刷またはブラウズはできません。ただし、IP アドレスによる表示や印刷は可能です。この状況の詳細および回避策については、このドキュメントの「トラブルシュート」セクションを参照してください。

    AnyConnectセキュアモビリティクライアントのローカルLANアクセス設定

    ASAへの接続中にCisco AnyConnectセキュアモビリティクライアントがローカルLANにアクセスできるようにするには、次のタスクを実行します。

    ASDM 経由での ASA の設定

    ASA に接続しながら、VPN Client にローカル LAN アクセスを許可するには、ASDM で次の手順を実施します。

    1. を選択Configuration > Remote Access VPN > Network (Client) Access > Group Policyし、ローカルLANアクセスを有効にするグループポリシーを選択します。をクリックしEditます。

      Select the Group Policy in Which You want to Enable Local LAN access



    2. 次に.Advanced > Split Tunneling

      Under Advanced, Select Split Tunneling



    3. PolicyのボッInheritクスをオフにし、を選択しExclude Network List Belowます。

      Uncheck the Inherit Box for Policy and Choose Exclude Network List Below



    4. Network ListのInheritボックスのチェックマークを外し、ManageをクリックしてAccess Control List(ACL;アクセスコントロールリスト)Managerを起動します。

      Uncheck the Inherit Box for Network List and Click Manage



    5. ACL Managerで、を選択して新しいアクセスリストAdd > Add ACL...を作成します。

      Choose Add and then Add ACL in Order to create a New Access List



    6. ACLの名前を入力し、をクリックしOKます。

      Enter a Name for the ACL and Click OK



    7. ACLを作成したら、アクセスコントロールエントリ(ACE)を追加するAdd > Add ACE...のを選択します。

      Choose Add and then Add ACE in order to Add an Access Control Entry (ACE)



    8. クライアントのローカル LAN に対応する ACE を定義します。

      1. 選択.Permit
      2. IP アドレス 0.0.0.0 を選択します。
      3. /32 のネットマスクを選択します。
      4. (任意)説明を入力します。
      5. をクリックします。OK

        Define the ACE Parameters



    9. をクリックOKして、ACL Managerを終了します。

      Click OK in Order to Exit the ACL Manager



    10. Split Tunnel Network List で、作成した ACL が選択されていることを確認します。

      Confirm that the ACL is Selected for the Split Tunnel Network List



    11. クリックOKすると、グループポリシーの設定に戻ります。

      Click OK in Order to Return to the Group Policy Configuration



    12. ASAにコマンドApplyを送信するには、をクリックし、Send必要に応じて次のボタンをクリックします。

      Click Apply and then Send in Order to Send the Commands to the ASA

    CLI による ASA の設定

    ASA に接続しているときに VPN Client にローカル LAN へのアクセスを許可するには、ASDM を使用する代わりに ASA CLI で次の手順を実行することもできます。

    1. コンフィギュレーション モードに切り替えます。

      ciscoasa>enable
      Password:
      ciscoasa#configure terminal
      ciscoasa(config)#
    2. ローカル LAN アクセスを許可するアクセス リストを作成します。

      ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
      ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    3. 修正するポリシーのグループ ポリシー コンフィギュレーション モードに入ります。

      ciscoasa(config)#group-policy hillvalleyvpn attributes
      ciscoasa(config-group-policy)#
    4. スプリット トンネル ポリシーを指定します。この場合、ポリシーはでexcludespecifiedす。

      ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    5. スプリット トンネル アクセス リストを指定します。この場合、リストはでLocal_LAN_Accessす。

      ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    6. 次のコマンドを実行します。

      ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    7. グループポリシーをトンネルグループに関連付けます。

      ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    8. 2 つのコンフィギュレーション モードを終了します。

      ciscoasa(config-group-policy)#exit
      ciscoasa(config)#exit
      ciscoasa#
    9. 設定を不揮発性RAM(NVRAM)に保存し、ソースファイル名の指定を求められたら、を押Enterします。

      ciscoasa#copy running-config startup-config

      Source filename [running-config]?
      Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

      3847 bytes copied in 3.470 secs (1282 bytes/sec)
      ciscoasa#

    Cisco AnyConnect セキュア モビリティ クライアントの設定

    Cisco AnyConnectセキュアモビリティクライアントを設定するには、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド、9.17』の「AnyConnect接続の設定」セクションを参照してください。

    スプリット除外トンネリングを使用するには、AnyConnectクライアントAllowLocalLanAccessでイネーブルにする必要があります。すべてのスプリット除外トンネリングは、ローカル LAN アクセスと見なされます。スプリットトンネリングのexclude機能を使用するには、AnyConnect VPN Client preferencesでこのAllowLocalLanAccessプリファレンスをイネーブルにする必要があります。デフォルトでは、ローカル LAN アクセスはディセーブルになっています。

    ローカル LAN アクセスを許可し、そのためにスプリット除外トンネリングを許可するには、ネットワーク管理者がそれをプロファイル内で有効にするか、ユーザがプリファレンス設定で有効にすることができます(次のセクションの画像を参照してください)。スプリットトンネリングがセキュアゲートウェイで有効になっており、ポリシーで設定されている場合、ローカルLANアクセスを許可するためにユーザはAllow Local LAN accessこのチsplit-tunnel-policy exclude specifiedェックボックスをオンにします。また、でローカルLANアクセスが許可されている場合は、VPN Clientプロファイルを設定でき true ます。

    ユーザ設定

    ローカルLANアクセスを許可するためにCisco AnyConnectセキュアモビリティクライアントのPreferencesタブで行う必要がある選択を次に示します。

    Required Selections on the AnyConnect Secure Mobility Client Preferences Tab

    Linux上 

    AnyConnect Preferences for Linux

    XML プロファイルの例

    次に、XML で VPN クライアント プロファイルを設定する例を示します。

    <?xml version="1.0" encoding="UTF-8"?>
    <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
        <ClientInitialization>
            <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
            <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
            <ShowPreConnectMessage>false</ShowPreConnectMessage>
            <CertificateStore>All</CertificateStore>
            <CertificateStoreOverride>false</CertificateStoreOverride>
            <ProxySettings>Native</ProxySettings>
            <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
            <AuthenticationTimeout>12</AuthenticationTimeout>
            <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
            <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
            <LocalLanAccess UserControllable="true">true</LocalLanAccess>
            <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
            <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
            <AutoReconnect UserControllable="false">true
                <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
                </AutoReconnectBehavior>
            </AutoReconnect>
            <AutoUpdate UserControllable="false">true</AutoUpdate>
            <RSASecurIDIntegration UserControllable="false">Automatic
            </RSASecurIDIntegration>
            <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
            <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
            <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
            <PPPExclusion UserControllable="false">Disable
                <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
            </PPPExclusion>
            <EnableScripting UserControllable="false">false</EnableScripting>
            <EnableAutomaticServerSelection UserControllable="false">false
                <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
                <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
            </EnableAutomaticServerSelection>
            <RetainVpnOnLogoff>false
            </RetainVpnOnLogoff>
        </ClientInitialization>
    </AnyConnectProfile>

    確認

    設定を確認するには、次のセクションの手順を実行します。

    Cisco AnyConnect セキュア モビリティ クライアントを ASA に接続して設定を検証します。

    1. サーバリストから接続エントリを選択し、をクリックConnectします。

      Choose Connection Entry from the Server List



    2. を選択Advanced Window for All Components > Statistics...して、トンネルモードを表示します。

      Choose the Statistics Tab in Order to Display the Tunnel Mode




      Linux上


      Statistics Tab on Linux





    3. Cisco AnyConnectセキュRoute Detailsアモビリティクライアントがローカルアクセスできるルートを表示するには、このタブをクリックします。

      この例では、クライアントは 10.150.52.0/22 および 169.254.0.0/16 へのローカル LAN アクセスを許可されています。その他のすべてのトラフィックは暗号化され、トンネル経由で送信されます。

      Example of Route Details Tab

    Linux上 

    Example of Route Details Tab on Linux

    Cisco AnyConnect セキュア モビリティ クライアント

    Diagnostics and Reporting Tool(DART)から AnyConnect ログを調べると、ローカル LAN アクセスを許可するパラメータが設定されているかどうかを判断できます。

    ******************************************

    Date        : 11/25/2011
    Time        : 13:01:48
    Type        : Information
    Source      : acvpndownloader

    Description : Current Preference Settings:
    ServiceDisable: false
    CertificateStoreOverride: false
    CertificateStore: All
    ShowPreConnectMessage: false
    AutoConnectOnStart: false
    MinimizeOnConnect: true
    LocalLanAccess: true
    AutoReconnect: true
    AutoReconnectBehavior: DisconnectOnSuspend
    UseStartBeforeLogon: false
    AutoUpdate: true
    RSASecurIDIntegration: Automatic
    WindowsLogonEnforcement: SingleLocalLogon
    WindowsVPNEstablishment: LocalUsersOnly
    ProxySettings: Native
    AllowLocalProxyConnections: true
    PPPExclusion: Disable
    PPPExclusionServerIP: 
    AutomaticVPNPolicy: false
    TrustedNetworkPolicy: Disconnect
    UntrustedNetworkPolicy: Connect
    TrustedDNSDomains: 
    TrustedDNSServers: 
    AlwaysOn: false
    ConnectFailurePolicy: Closed
    AllowCaptivePortalRemediation: false
    CaptivePortalRemediationTimeout: 5
    ApplyLastVPNLocalResourceRules: false
    AllowVPNDisconnect: true
    EnableScripting: false
    TerminateScriptOnNextEvent: false
    EnablePostSBLOnConnectScript: true
    AutomaticCertSelection: true
    RetainVpnOnLogoff: false
    UserEnforcement: SameUserOnly
    EnableAutomaticServerSelection: false
    AutoServerSelectionImprovement: 20
    AutoServerSelectionSuspendTime: 4
    AuthenticationTimeout: 12
    SafeWordSofTokenIntegration: false
    AllowIPsecOverSSL: false
    ClearSmartcardPin: true



    ******************************************

    Ping でローカル LAN アクセスをテストする

    VPN ClientがVPNヘッドエンドとトンネル接続しながらローカルLANアクセスが維持できているかどうかは、Microsoft Windowsコマンドラインでpingコマンドを使用する方法でもテストできます。クライアントのローカル LAN が 192.168.0.0/24 で、もう一方のホストも同じネットワーク上に存在し、IP アドレス 192.168.0.3 が付与されている例を次に示します。

    C:\>ping 192.168.0.3
    Pinging 192.168.0.3 with 32 bytes of data&colon;

    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

    Ping statistics for 192.168.0.3:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    Linux上 

    Ping Results on Linux

    トラブルシュート

    ここでは、設定のトラブルシューティングに使用できる情報を示します。

    名前による印刷またはブラウズができない

    VPN Client がローカル LAN アクセス用に接続され設定されていると、ローカル LAN では名前によって印刷やブラウズを行うことはできません。この状況を回避するために次の 2 つのオプションを利用できます。

    • IP アドレスでブラウズまたは印刷する。

      • ブラウズするには、構文の代わりに、構文\\x.x.x.xを使用します。ここで、x.x.x.xはホストコンピュータのIPアドレス\\sharenameです。

      • 印刷する場合は、ネットワーク プリンタのプロパティを変更して、名前の代わりに IP アドレスを使用するように設定します。たとえば、構文の代わりに\\sharename\printernameを使用します。\\x.x.x.x\printernameここで、x.x.x.xはIPアドレスです。

    • VPN クライアントの LMHOSTS ファイルを作成または修正します。Microsoft Windows PC 上の LMHOSTS ファイルによって、ホスト名と IP アドレスの間のスタティック マッピングを作成できます。たとえば、LMHOSTSファイルは次のようになります。

      192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3

      Microsoft Windows XP Professional Editionでは、LMHOSTSファイルはにあります(%SystemRoot%\System32\Drivers\Etc)。詳細については、Microsoftのドキュメントを参照してください。

    関連情報

    更新履歴

    改定 発行日 コメント
    3.0
    21-Aug-2023
    「概要」、「PII」、「スタイル要件」、「代替テキスト」、および「フォーマット」が更新されました。
    2.0
    13-Jul-2022
    タイトルをアップデート.リンクを更新し、破損したリンクを削除。分かりやすいように若干の編集を行いました。
    1.0
    28-Jul-2006
    初版
    TAC Authored

    シスコ エンジニア提供

    • アトリバス
      Cisco TACエンジニア
    • グスタヴォメディナ
      Cisco TACエンジニア
    • エベレット・デューク
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています