このドキュメントでは、ASA セキュリティ アプライアンス 7.2 以降を設定する方法と IPsec on a Stick を実行する方法について説明しています。この設定は、ASA でスプリット トンネリングが許可されない特定のケースに対して適用されます。ユーザはインターネットへの接続許可が得される前に直接 ASA に接続されます。
注:PIX/ASAバージョン7.2以降では、 インターフェイス内 キーワードを使用すると、IPSecトラフィックだけでなくすべてのトラフィックが同じインターフェイスから発着信できるようになります。
中央サイトのルータで同様の設定を行うには、『公衆インターネット on a Stick 用のルータおよび VPN Client の設定例』を参照してください。
ハブ PIX が VPN Client からスポーク PIX へトラフィックをリダイレクトするシナリオの詳細は、『TACACS+ 認証を使用した PIX/ASA 7.x 拡張 Spoke-to-Client VPN の設定例』を参照してください。
注:ネットワーク内でIPアドレスが重複しないようにするには、VPN Clientにまったく異なるIPアドレスプールを割り当てます(たとえば、10.x.x.x、172.16.x.x、および192.168.x.x)。この IP アドレッシング方式は、ネットワークのトラブルシューティングに役立ちます。
この設定を行う前に、次の要件が満たされていることを確認します。
ハブ PIX/ASA セキュリティ アプライアンスでバージョン 7.2 以降が稼働
Cisco VPN Client バージョン 5.x
このドキュメントの情報は、PIX または ASA セキュリティ アプライアンス バージョン 8.0.2、および Cisco VPN Client バージョン 5.0 に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この設定は、Cisco PIX セキュリティ アプライアンス バージョン 7.2 以降にも適用できます。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
この機能は、あるインターフェイスに着信した後に同じインターフェイスからルーティングされる VPN トラフィックに対して便利な機能です。たとえば、ハブ アンド スポークの VPN ネットワークを構築していて、セキュリティ アプライアンスがハブであり、リモート VPN ネットワークがスポークであるとします。あるスポークが他のスポークと通信するためには、トラフィックがセキュリティ アプライアンスに着信した後、他のスポーク宛てに再び発信される必要があります。
トラフィックが同じインターフェイスから発着信できるようにするには、same-security-traffic コマンドを使用します。
securityappliance(config)# same-security-traffic permit intra-interface
注:ヘアピニングまたはUターンは、VPN ClientからVPN Clientへの通信にも適用されます。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
このドキュメントでは、次のネットワーク セットアップを使用します。
PIX/ASA での実行コンフィギュレーション |
---|
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end |
ASDM を使用して Cisco ASA をリモート VPN サーバとして設定するには、次の手順を実行します。
Home ウィンドウで、Wizards > IPsec VPN Wizard の順に選択します。
Remote Access VPN Tunnel Type を選択して、VPN Tunnel Interface が意図どおりに設定されていることを確認します。
利用可能な唯一の VPN Client Type がすでに選択されています。[Next] をクリックします。
[Tunnel Group Name] の名前を入力します。使用する認証方式を入力します。
この例では Pre-shared Key が選択されています。
注:ASDMで事前共有キーを非表示にしたり、暗号化したりする方法はありません。この理由は、ASDM を使用するのは ASA を設定する担当者か、この設定でカスタマーをサポートする担当者に限定されるためです。
リモート ユーザの認証用にローカル ユーザのデータベースか外部 AAA サーバ グループを選択します。
注:手順6でローカルユーザデータベースにユーザを追加します。
注:ASDMで外部AAAサーバグループを設定する方法の詳細については、『PIX/ASA 7.x:ASDMでのVPNユーザの認証と認可サーバグループの設定例』を参照してください。
必要な場合は、ローカル データベースにユーザを追加します。
注:このウィンドウから現在のユーザを削除しないでください。データベースの既存のエントリを編集するか、データベースから既存のエントリを削除するには、Configuration > Device Administration > Administration > User Accounts in the main ASDM window の順に選択します。
接続時にリモート VPN クライアントにダイナミックに割り当てられるローカル アドレスのプールを定義します。
オプション:リモートVPNクライアントにプッシュするDNSおよびWINSサーバ情報とデフォルトドメイン名を指定します。
IKE のパラメータを指定します。これは IKE フェーズ 1 とも呼ばれます。
トンネルの両側の設定は厳密に一致している必要があります。ただし、Cisco VPN Client では自身の適切な設定が自動的に選択されます。クライアント PC での IKE 設定は必要ありません。
IPSec のパラメータを指定します。これは IKE Phase 2 とも呼ばれます。
トンネルの両側の設定は厳密に一致している必要があります。ただし、Cisco VPN Client では自身の適切な設定が自動的に選択されます。クライアント PC での IKE 設定は必要ありません。
リモート VPN ユーザに公開可能な内部ホストやネットワークが存在する場合は、これを指定します。
このリストを空白にしておくと、リモート VPN ユーザは ASA の Inside ネットワーク全体にアクセスできることになります。
このウィンドウでは、スプリット トンネリングを有効にすることもできます。スプリット トンネリングでは、ここまでで指定したリソースへのトラフィックは暗号化されますが、一般にインターネットに対してはトラフィックのトンネル化は行われず、非暗号化アクセスが行われます。スプリット トンネリングが有効にされていない場合、リモート VPN ユーザからのすべてのトラフィックは ASA に対してトンネリングされます。この場合、設定によっては、帯域幅とプロセッサへの負荷が増大する可能性があります。
このウィンドウにはユーザが行った操作の概要が表示されます。設定に問題がなければ、[Finish] をクリックします。
次に示すように、チェックボックスをクリックすると同じインターフェイスに接続している 2 つ以上のホスト間でのトラフィックが可能になるように、same-security-traffic コマンドを設定します。
ASDM を使用してダイナミック トランスレーションを作成するには、Configuration > Firewall >NAT Rules の順に選択して Add Dynamic NAT Rule をクリックします。
発信元インターフェイスとして Inside を選択し、NAT を適用するアドレスを入力します。Translate Address on Interfaceでは、outsideを選択して、OKをクリックします。
発信元インターフェイスとしてoutsideを選択し、NATを適用するアドレスを入力します。Translate Address on Interfaceでは、outsideを選択して、OKをクリックします。
Configuration > Firewall >NAT Rules で、Translation Rules に変換が表示されます。
注1:sysopt connection permit-vpnコマンドを設定する必要があります。show running-config sysopt コマンドにより、設定されているかどうかが確認されます。
注2:この出力をオプションのUDPトランスポート用に追加します。
group-policy clientgroup attributes vpn-idle-timeout 20 ipsec-udp enable ipsec-udp-port 10000 split-tunnel-policy tunnelspecified split-tunnel-network-list value splittunnel
注3:VPN ClientがIPSec over TCP経由で接続できるように、PIXアプライアンスのグローバルコンフィギュレーションで次のコマンドを設定します。
isakmp ipsec-over-tcp port 10000
注:ヘアピニングを使用できるさまざまなシナリオの詳細については、『Cisco ASAでのヘアピニング』ビデオを参照してください。
次の手順を実行して、VPN Client を設定します。
New を選択します。
認証用のパスワードとともに、PIX の Outside インターフェイスの IP アドレスとトンネル グループ名を入力します。
(オプション)TransportタブにあるEnable Transparent Tunnelingをクリックします。(これはオプションであり、注 2 で説明した追加の PIX/ASA 設定が必要です)。
プロファイルを保存します。
このセクションでは、設定が正常に動作していることを確認します。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。
show crypto isakmp sa:ピア上の現在の IKE セキュリティ アソシエーション(SA)をすべて表示します。
show crypto ipsec sa:現在の SA をすべて表示します。VPN Client トラフィックを定義する SA 上の暗号化パケットと復号化パケットを検索します。
クライアントからの ping、またはパブリック IP アドレスのブラウズを試みます(たとえば www.cisco.com)。
注:トンネルを形成するために、PIXのInsideインターフェイスに対してpingを実行することはできません。ただし、グローバル確認モードにmanagement-access コマンドを設定する必要があります。
PIX1(config)#management-access inside PIX1(config)# show management-access management-access inside
VPN Client を確認するには、次のステップを実行します。
接続が成功した後、システム トレイにある VPN Client のロック アイコンを右クリックし、statistics のオプションを選択して暗号化と複合化を表示します。
Route Details タブをクリックして、スプリット トンネル リストがアプライアンスから渡されていないことを確認します。
注:VPNの問題をトラブルシューティングする方法についての詳細は、『VPNのトラブルシューティング方法』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
25-Oct-2005 |
初版 |