AnyConnectキャプティブポータルの検出と修復を使用する

はじめに

このドキュメントでは、Cisco AnyConnect モビリティ クライアントのキャプティブ ポータル検出機能について説明し、この機能が正しく動作するための要件を説明します。

前提条件

要件

Cisco AnyConnect セキュア モビリティ クライアントの知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

• AnyConnect バージョン 4.7
• Cisco Adaptive Security Appliance（ASA）バージョン 9.10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

ホテル、レストラン、空港などの公共の場所にある多くのワイヤレスホットスポットでは、インターネットへのユーザアクセスをブロックするためにキャプティブポータルが使用されます。ホットスポットは HTTP 要求を各自の Web サイトへリダイレクトします。この Web サイトでは、ユーザが各自のクレデンシャルを入力するか、またはホットスポット ホストの利用規約に同意する必要があります。 

概要

空港、喫茶店、ホテルなど、Wi-Fi や有線アクセスを提供している施設では、アクセスする前に料金を支払ったり、アクセプタブル ユース ポリシーを順守することに同意したりする必要があります。これらの機能では、キャプティブポータルと呼ばれる技術を使用して、ユーザがブラウザを開いてアクセス条件を受け入れるまでアプリケーションがアクセスできないようにします。

キャプティブ ポータルの修復に関する要件

キャプティブ ポータルの検出と修復をどちらもサポートするためには、次のライセンスのうちいずれか 1 つが必要です。

• AnyConnect Premium（Secure Sockets Layer (SSL) VPN Edition）
• Cisco AnyConnect セキュア モビリティ

Cisco AnyConnect セキュア モビリティ ライセンスを、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのどちらかと組み合わせて使用することにより、キャプティブ ポータルの検出および修復をサポートできます。

注：キャプティブポータルの検出と修復は、使用中のAnyConnectのリリースでサポートされているMicrosoft WindowsおよびMacintosh OS Xオペレーティングシステムでサポートされています。

注：常時接続のVPNは、プロキシ経由の接続をサポートしていません

キャプティブ ポータル ホットスポットの検出

接続できない場合は、原因にかかわらず、AnyConnectのGUIに「Unable to contact VPN server」というエラーメッセージが表示されます。VPN サーバはセキュア ゲートウェイを指定します。常時接続が有効であり、かつキャプティブ ポータルが存在しない場合、クライアントでは VPN への接続が継続的に試行され、それによってステータス メッセージが更新されます。

常時接続 VPN が有効であり、接続障害ポリシーがクローズしており、かつキャプティブ ポータルの修復が無効の場合に、AnyConnect でキャプティブ ポータルの存在が検出されると、AnyConnect の GUI には接続および再接続のたびに次のようなメッセージが表示されます。

The service provider in your current location is restricting access to the internet. 
The AnyConnect protection settings must be lowered for you to log on with the service 
provider. Your current enterprise security policy does not allow this.

AnyConnect によりキャプティブ ポータルの存在が検出され、かつ AnyConnect の設定が前述した内容と異なる場合、AnyConnect の GUI には接続および再接続のたびに次のようなメッセージが表示されます。

The service provider in your current location is restricting access to the internet. 
You need to log on with the service provider before you can establish a VPN session. 
You can try this by visiting any website with your browser.

注意：キャプティブポータルの検出はデフォルトで有効になっており、設定できません。 キャプティブ ポータル検出中は、AnyConnect によりブラウザの設定が変更されることはありません。

キャプティブ ポータル ホットスポットの修復

キャプティブ ポータルの修復は、ネットワーク アクセス権を取得できるように、キャプティブ ポータルのホット スポット要件を満たすためのプロセスです。

AnyConnectはキャプティブポータルを修復しません。修復はエンドユーザに依存します。

キャプティブ ポータルの修復を実行するには、エンドユーザがホットスポット プロバイダの要件を満たしている必要があります。これらの要件には、ネットワークにアクセスするための料金の支払い、アクセプタブルユースポリシーへの署名、その両方、またはプロバイダーによって定義されるその他の要件が含まれます。

AnyConnect の常時接続が有効になっており、接続障害ポリシーが [Closed] に設定されている場合は、AnyConnect VPN Client プロファイルで、キャプティブ ポータル修復を明示的に許可する必要があります。常時接続が有効になっており、接続障害ポリシーが [Open] に設定されている場合は、ユーザはネットワークへのアクセスを制限されることはないため、AnyConnect VPN Client プロファイルでキャプティブ ポータル修復を明示的に許可する必要はありません。

キャプティブ ポータルの検出の失敗

AnyConnectは、次の状況で、誤ってキャプティブポータル内にあると見なすことがあります。

• AnyConnectが、誤ったサーバ名(CN)が含まれている証明書を使用してASAへの接続を試みると、AnyConnectクライアントはそれをキャプティブポータル環境として扱います。
  
  この問題を回避するには、ASA証明書が正しく設定されていることを確認します。証明書の CN 値は、VPN クライアント プロファイルの ASA サーバの名前と一致する必要があります。
  
  
• ASAへのHTTPSアクセスのブロックによってユーザがASAへの接続を試みたときに応答する別のデバイスがASAの前にネットワーク上にある場合、AnyConnectクライアントはこれをキャプティブポータル環境として扱います。これは、ユーザが内部ネットワークに存在し、ファイアウォールを介して ASA に接続している場合に発生する可能性があります。
  
  社内からASAへのアクセスを制限する必要がある場合は、ASAアドレスへのHTTPおよびHTTPSトラフィックがHTTPステータスを返さないようにファイアウォールを設定します。ASAに送信されたHTTP/HTTPS要求が予期しない応答を返さないようにするため、ASAへのHTTP/HTTPSアクセスは許可されるか、完全にブロックされます（ブラックホール化とも呼ばれます）。

AnyConnect の動作

ここでは、AnyConnect の動作について説明します。

1. AnyConnect は、XML プロファイルで定義されている完全修飾ドメイン名（FQDN）に対し HTTPS プローブを試行します。
   
   
2. 証明書エラー（信頼されていない FQDN/誤った FQDN）が発生すると、AnyConnect は XML プロファイルで定義されている FQDN に対して HTTP プローブを試行します。HTTP 302以外の応答がある場合、キャプティブポータルの背後にあるかのように機能します。

IKEv2で誤って検出されたキャプティブポータル

ポート443でAdaptive Security Device Manager(ASDM)ポータルを実行しているSSL認証が無効なASAに、インターネットキーエクスチェンジバージョン2(IKEv2)接続を接続しようとすると、キャプティブポータル検出のために実行されたHTTPSプローブによってASDMポータル(/admin/public/index.html)にリダイレクトされます。これはクライアントによって予期されていないため、キャプティブポータルのリダイレクトとして表示され、キャプティブポータルの修復が必要であると表示されるため、接続の試行が妨げられます。

回避策

この問題が発生する場合は、次の回避策を使用できます。

• ASAがインターフェイスのHTTP接続をリッスンしないように、そのインターフェイスのHTTPコマンドを削除します。
  
  
• インターフェイスで SSL トラストポイントを削除する。
  
  
• IKEV2 クライアント サービスを有効にする。
  
  
• インターフェイスで WebVPN を有効にする。

注意:Cisco IOS®ルータにも同じ問題があります。Cisco IOS で ip http server が有効な場合（PKI サーバとして同じボックスを使用する場合に必要）、AnyConnect がキャプティブ ポータルを誤検出します。回避策は、認証の要求ではなく、ip http access-classを使用してAnyConnect HTTP要求への応答を停止することです。

キャプティブ ポータル機能を無効にする

AnyConnectクライアントバージョン4.2.00096以降では、キャプティブポータル機能を無効にできます。管理者は、オプションをユーザが設定可能か無効にするかを決定できます。このオプションは、プロファイルエディタの環境設定（パート1）セクションで使用できます。管理者は、次のプロファイルエディタの画面キャプチャに示すように、Disable Captive Portal DetectionまたはUser Controllableを選択できます。

User controllableがチェックされている場合、次に示すように、AnyConnectセキュアモビリティクライアントUIのPreferencesタブにチェックボックスが表示されます。