拡張認証を備えたリモート VPN サーバとしての PIX/ASA の CLI と ASDM を使用した設定例

ダウンロードオプション

PDF (858.0 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (656.5 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.1 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2008 年 2 月 25 日

Document ID:68795

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

はじめに

このドキュメントでは、Adaptive Security Device Manager（ASDM）または CLI を使用して、リモート VPN サーバとして機能する Cisco 5500 シリーズ適応型セキュリティアプライアンス（ASA）を設定する方法について説明します。ASDM では、直感的で使用が容易な Web ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理とモニタリング機能が提供されています。Cisco ASA の設定が完了したら、Cisco VPN Client を使用して設定を検証できます。

Cisco VPN Client（4.x for Windows）と PIX 500 シリーズセキュリティアプライアンス 7.x との間にリモートアクセス VPN 接続を設定する方法については、「PIX/ASA 7.x および Cisco VPN Client 4.x で Active Directory に対する Windows 2003 IAS RADIUS 認証を使用するための設定例」を参照してください。リモートの VPN Client ユーザは Microsoft Windows 2003 Internet Authentication Service（IAS）RADIUS サーバを使用して Active Directory に対する認証を行います。

Cisco Secure Access Control Server（ACS バージョン 3.2）を使用して拡張認証（Xauth）用に、Cisco VPN Client（4.x for Windows）と PIX 500 シリーズセキュリティアプライアンス 7.x との間にリモートアクセス VPN 接続を設定する方法については、「PIX/ASA 7.x と Cisco VPN Client 4.x の Cisco Secure ACS 認証用の設定例」を参照してください。

前提条件

要件

このドキュメントでは、ASA が完全に動作していて、Cisco ASDM または CLI で設定を変更できるように設定されていることを想定しています。

注：ASDMまたはSecure Shell(SSH)でデバイスをリモートから設定できるようにする方法については、『ASDM用のHTTPSアクセスの許可』または『InsideおよびOutsideインターフェイスでのPIX/ASA 7.x:SSHの設定例』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

Cisco 適応型セキュリティアプライアンスソフトウェアバージョン 7.x 以降
Adaptive Security Device Manager バージョン 5.x 以降
Cisco VPN Client バージョン 4.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

背景説明

リモートアクセス設定により、モバイルユーザなどの Cisco VPN Client にセキュアなリモートアクセスが提供されます。リモートアクセス VPN により、リモートユーザが中央のネットワークリソースに安全にアクセスできるようになります。Cisco VPN Client は IPSec プロトコルに準拠しており、特にセキュリティアプライアンスと連動する設計になっています。一方、セキュリティアプライアンスは、多様なプロトコルに準拠するクライアントと IPSec 接続を確立できます。IPSec についての詳細は、『ASA 設定ガイド』を参照してください。

グループとユーザは、VPN のセキュリティの管理とセキュリティアプライアンスの設定では中心となる概念です。これらにより、ユーザによる VPN へのアクセスと使用を決定する属性が指定されます。グループはユーザの集合で、単一のエンティティとして扱われます。ユーザは自身の属性をグループのポリシーから取得します。トンネルグループでは、具体的な接続のグループポリシーが識別されます。特定のグループポリシーをユーザに割り当てない場合は、その接続のデフォルトグループポリシーが適用されます。

トンネルグループは、トンネル接続のポリシーを決定するレコードのセットで構成されています。これらのレコードにより、トンネルのユーザが認証されるサーバが判別され、さらに、接続情報が送信されるアカウンティングサーバが存在する場合は、これも判別されます。接続のデフォルトのグループポリシーも識別されます。レコードには、プロトコル固有の接続パラメータも含まれています。トンネルグループには、トンネル自体の作成に適切な属性が少数含まれています。トンネルグループには、ユーザ指向の属性を定義するグループポリシーに対するポインタが含まれています。

注：このドキュメントの設定例では、認証にローカルユーザアカウントが使用されています。LDAP と RADIUS のような他のサービスを使用する場合は、『認可と認証用の外部 RADIUS サーバの設定』を参照してください。

Internet Security Association and Key Management Protocol（ISAKMP）、別名 IKE はホストどうしが IPSec セキュリティアソシエーションの構築方法について同意を行うネゴシエーションプロトコルです。各 ISAKMP ネゴシエーションは、Phase1 と Phase2 の 2 つのセクションに分けられます。Phase1 では、以降の ISAKMP ネゴシエーションメッセージを保護するための最初のトンネルが作成されます。Phase2 では、セキュアな接続で送信されるデータを保護するトンネルが作成されます。ISAKMP についての詳細は、『CLI コマンドのための ISAKMP ポリシーのキーワード』を参照してください。

コンフィギュレーション

リモート VPN サーバとしての PIX/ASA の ASDM を使用した設定

ASDM を使用して Cisco ASA をリモート VPN サーバとして設定するには、次の手順を実行します。

Home ウィンドウで、Wizards > VPN Wizard の順に選択します。
Remote Access VPN Tunnel Type を選択して、VPN Tunnel Interface が意図どおりに設定されていることを確認します。
利用可能な唯一の VPN Client Type がすでに選択されています。[Next] をクリックします。
[Tunnel Group Name] の名前を入力します。使用する認証方式を入力します。

この例では Pre-shared Key が選択されています。

注：ASDMで事前共有キーを非表示にしたり、暗号化したりする方法はありません。この理由は、ASDM を使用するのは ASA を設定する担当者か、この設定でカスタマーをサポートする担当者に限定されるためです。
リモートユーザの認証用にローカルユーザのデータベースか外部 AAA サーバグループを選択します。

注：手順6でローカルユーザデータベースにユーザを追加します。

注：ASDMで外部AAAサーバグループを設定する方法の詳細については、『PIX/ASA 7.x:ASDMでのVPNユーザの認証と認可サーバグループの設定例』を参照してください。
必要な場合は、ローカルデータベースにユーザを追加します。

注：このウィンドウから既存のユーザを削除しないでください。データベースの既存のエントリを編集するか、データベースから既存のエントリを削除するには、Configuration > Device Administration > Administration > User Accounts in the main ASDM window の順に選択します。
接続時にリモート VPN クライアントにダイナミックに割り当てられるローカルアドレスのプールを定義します。
オプション：リモートVPNクライアントにプッシュするDNSおよびWINSサーバ情報とデフォルトドメイン名を指定します。
IKE のパラメータを指定します。これは IKE フェーズ 1 とも呼ばれます。

トンネルの両側の設定は完全に一致している必要があります。ただし、Cisco VPN Client では適切な設定が自動的に選択されます。そのため、クライアント PC で IKE を設定する必要はありません。
IPSec のパラメータを指定します。これは IKE Phase 2 とも呼ばれます。

トンネルの両側の設定は完全に一致している必要があります。ただし、Cisco VPN Client では適切な設定が自動的に選択されます。そのため、クライアント PC で IKE を設定する必要はありません。
リモート VPN ユーザに公開するホストやネットワークが存在する場合は、これを指定します。

このリストを空白にしておくと、リモート VPN ユーザは ASA の Inside ネットワーク全体にアクセスできることになります。

このウィンドウでは、スプリットトンネリングを有効にすることもできます。スプリットトンネリングでは、ここまでで指定したリソースへのトラフィックは暗号化されますが、一般にインターネットに対してはトラフィックのトンネル化は行われず、非暗号化アクセスが行われます。スプリットトンネリングが有効にされていない場合、リモート VPN ユーザからのすべてのトラフィックは ASA に対してトンネリングされます。この場合、設定によっては、帯域幅とプロセッサへの負荷が増大する可能性があります。
このウィンドウにはユーザが行った操作の概要が表示されます。設定に問題がなければ、[Finish] をクリックします。

リモート VPN サーバとしての PIX/ASA の CLI を使用した設定

次の手順を実行して、コマンドラインからリモート VPN Access Server を設定します。使用する各コマンドについての詳細は、リモートアクセス VPN の設定または『Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスコマンドリファレンス』を参照してください。

VPN リモートアクセストンネルに使用する IP アドレスプールを設定するには、グローバル設定モードで ip local pool コマンドを入力します。アドレスプールを削除するには、このコマンドの no 形式を発行します。

セキュリティアプライアンスでは、接続用のトンネルグループに基づいたアドレスプールが使用されます。トンネルグループ用に複数のアドレスプールを設定すると、セキュリティアプライアンスでは、設定されている順序でアドレスプールが使用されます。次のコマンドを発行して、リモートアクセスの VPN クライアントへのダイナミックアドレスの割り当てに使用できるローカルアドレスのプールを作成します。
```
ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask
		  255.255.255.0
		 
```

次のコマンドを実行します。

ASA-AIP-CLI(config)#username marty password 12345678

具体的なトンネルを設定するには、次の一連のコマンドを発行します。
- ASA-AIP-CLI(config)#isakmp policy 1 authentication pre-share
- ASA-AIP-CLI(config)#isakmp policy 1 encryption 3des
- ASA-AIP-CLI(config)#isakmp policy 1 hash sha
- ASA-AIP-CLI(config)#isakmp policy 1 group 2
- ASA-AIP-CLI(config)#isakmp policy 1 lifetime 43200
- ASA-AIP-CLI(config)#isakmp enable outside
- ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
- ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
- ASA-AIP-CLI(config)#crypto dynamic-map Outside_dyn_map 10 set reverse-route
- ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
- ASA-AIP-CLI(config)#crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
- ASA-AIP-CLI(config)#crypto map outside_map interface outside
- ASA-AIP-CLI(config)#crypto isakmp nat-traversal
オプション：インターフェイスに適用されているアクセスリストを接続で迂回させるには、次のコマンドを発行します。
```
ASA-AIP-CLI(config)#sysopt connection permit-ipsec
```
注：このコマンドは、7.2(2)より前の7.xイメージで機能します。7.2(2) のイメージを使用している場合は、ASA-AIP-CLI(config)#sysopt connection permit-vpn コマンドを発行します。

次のコマンドを実行します。

ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal

クライアント接続を設定するには、次のコマンドを発行します。
- ASA-AIP-CLI(config)#group-policy hillvalleyvpn attributes
- ASA-AIP-CLI(config)#(config-group-policy)#dns-server value 172.16.1.11
- ASA-AIP-CLI(config)#(config-group-policy)#vpn-tunnel-protocol IPSec
- ASA-AIP-CLI(config)#(config-group-policy)#default-domain value test.com

次のコマンドを実行します。

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra

次のコマンドを実行します。

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes

次のコマンドを実行します。

ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123

次のコマンドを実行します。

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes

認証用にローカルユーザデータベースを参照するには、次のコマンドを発行します。
```
ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
```
グループポリシーとトンネルグループを関連付けます。
```
ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
```
ステップ 1 で作成された vpnpool を hillvalleyvpn グループに割り当てるには、hillvalleyvpn トンネルグループの general-attributes モードで次のコマンドを発行します。
```
ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
```

ASA デバイスの実行コンフィギュレーション
ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASAwAIP-CLI domain-name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 10.10.10.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com pager lines 24 mtu outside 1500 mtu inside 1500 ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy hillvalleyvpn1 internal group-policy hillvalleyvpn1 attributes dns-server value 172.16.1.11 vpn-tunnel-protocol IPSec default-domain value test.com username marty password 6XmYwQOO9tiYnUDN encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000 crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 tunnel-group hillvalleyvpn type ipsec-ra tunnel-group hillvalleyvpn general-attributes address-pool vpnpool default-group-policy hillvalleyvpn tunnel-group hillvalleyvpn ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192 : end ASA-AIP-CLI(config)#

ASA デバイスの実行コンフィギュレーション

ASA-AIP-CLI(config)#show running-config 
ASA Version 7.2(2) 
!
hostname ASAwAIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
 dns-server value 172.16.1.11
 vpn-tunnel-protocol IPSec 
 default-domain value test.com
username marty password 6XmYwQOO9tiYnUDN encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha     
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group hillvalleyvpn type ipsec-ra
tunnel-group hillvalleyvpn general-attributes
 address-pool vpnpool
 default-group-policy hillvalleyvpn
tunnel-group hillvalleyvpn ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192
: end
ASA-AIP-CLI(config)#

Cisco VPN Client Password Storage の設定

膨大な Cisco VPN Client を導入している場合、すべての VPN Client のユーザ名とパスワードを把握しておくのは非常に困難です。VPN Client マシンにパスワードを保存するには、ASA/PIX と VPN Client をこのセクションで説明されているように設定します。

ASA/PIX

次のように、グローバル設定モードで group-policy attributes コマンドを使用します。

group-policy VPNusers attributes
  password-storage enable

Cisco VPN Client

.pcf file を編集して、次のパラメータを変更します。

SaveUserPassword=1
UserPassword=

拡張認証をディセーブルにする

拡張認証をディセーブルにするには、tunnel group モードで次のコマンドを入力します。PIX/ASA 7.x では、これはデフォルトでイネーブルにされています。

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

拡張認証をディセーブルにすると、VPN Client では認証（Xauth）用のユーザ名/パスワードがポップアップ表示されなくなります。このため、ASA/PIX では、VPN Client を認証するのにユーザ名とパスワードの設定が不要になります。

確認

ASA の設定に成功したことを確認するには、Cisco VPN Client を使用して Cisco ASA に接続してみます。

Connection Entries > New の順に選択します。
新しい接続の詳細情報を入力します。

Host フィールドには、設定済みの Cisco ASA の IP アドレスかホスト名が含まれている必要があります。Group Authentication 情報は、ステップ 4 で使用された情報に対応している必要があります。完了したら、[Save] をクリックします。
新しく作成した接続を選択し、[Connect] をクリックします。
拡張認証用のユーザ名とパスワードを入力します。この情報はステップ 5 と 6 で指定されたものと一致している必要があります。
接続が正常に確立されたら、Status メニューから Statistics を選択し、トンネルの詳細情報を確認します。

次のウィンドウには、トラフィックと暗号の情報が表示されています。

次のウィンドウには、スプリットトンネリング情報が表示されています。

トラブルシュート

ここでは、設定に関するトラブルシューティングについて説明します。

誤った暗号化 ACL

ASDM 5.0(2) では、スプリットトンネリングを使用する VPN Client、および、network-extension モードのハードウェアクライアントに問題を発生させる暗号化 Access Control List（ACL）が作成され、適用されることが判明しています。この問題を回避するには、ASDM バージョン 5.0(4.3) 以降を使用してください。詳細は、Cisco Bug ID CSCsc10806（登録ユーザ専用）を参照してください。

拡張認証を備えたリモート VPN サーバとしての PIX/ASA の CLI と ASDM を使用した設定例

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

関連製品

表記法

背景説明

コンフィギュレーション

リモート VPN サーバとしての PIX/ASA の ASDM を使用した設定

リモート VPN サーバとしての PIX/ASA の CLI を使用した設定

Cisco VPN Client Password Storage の設定

拡張認証をディセーブルにする

確認

トラブルシュート

誤った暗号化 ACL

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

拡張認証を備えたリモート VPN サーバとしての PIX/ASA の CLI と ASDM を使用した設定例

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション