ローカル LAN への AnyConnect クライアントアクセスの設定

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.5 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.3 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 8 月 23 日
Document ID:70847

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco AnyConnect セキュア モビリティ クライアントが、Cisco ASA への接続中にローカル LAN にアクセスできるようにする方法について説明します。

    前提条件

    要件

    このドキュメントでは、機能しているリモートアクセスVPN設定がCisco適応型セキュリティアプライアンス(ASA)にすでに存在していることを前提としています。

    必要に応じて、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド9.17』の設定を参照してください。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco ASA 5500 シリーズ バージョン 9(2)1
    • Cisco Adaptive Security Device Manager(ASDM)バージョン 7.1(6)
    • Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.1.05152

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    ネットワーク図

    クライアントは一般的なスモールオフィス/ホームオフィス(SOHO)ネットワーク上にあり、インターネット経由で本社に接続しています。

    Diagram of Typical Small Office/Home Office (SOHO) network

    背景説明

    この設定により、Cisco AnyConnectセキュアモビリティクライアントは、IPsec、Secure Sockets Layer(SSL)、またはInternet Key Exchange Version 2(IKEv2)を介して企業リソースへの安全なアクセスが可能になり、クライアントが配置された場所への印刷などのアクティビティを実行する機能もクライアントに提供されます。許可されている場合、インターネット宛てのトラフィックは引き続き ASA にトンネリングされます。

    すべてのインターネット トラフィックが暗号化されずに送信される従来のスプリット トンネリング シナリオとは異なり、VPN クライアント用にローカルの LAN アクセスを有効にすると、それらのクライアントは、存在する場所のネットワーク上にあるデバイスだけと暗号化せずに通信することを許可されます。たとえば、自宅からASAに接続しながらローカルLANアクセスを許可されているクライアントは、自分のプリンタに出力することはできますが、インターネットにアクセスするには、まずトンネル経由でトラフィックを送信する必要があります。

    ASA でスプリット トンネリングを設定する場合とほぼ同じように、ローカル LAN アクセスの許可には、アクセス リストが使用されます。ただし、スプリットトンネリングのシナリオとは異なり、このアクセスリストでは、暗号化する必要があるネットワーク定義されません。代わりに、暗号化しないネットワークを定義します。また、スプリット トンネリング シナリオとは異なり、リスト内の実際のネットワークを知る必要はありません。その代わりに、ASA は、クライアントのローカル LAN を意味すると理解されているデフォルト ネットワークの 0.0.0.0/255.255.255.255 を供給します。

    note-icon

    :これは、クライアントがASAに接続されている間にインターネットに暗号化されていないアクセスを行うスプリットトンネリングの設定ではありません。ASAでスプリットトンネリングを設定する方法については、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド9.17』の「スプリットトンネリングポリシーの設定」を参照してください。

    :クライアントがローカルLANアクセス用に接続および設定されている場合、ローカルLAN上で名前による印刷または表示はできません。ただし、IP アドレスによる表示や印刷は可能です。この状況の詳細および回避策については、このドキュメントの「トラブルシュート」セクションを参照してください。

    AnyConnectセキュアモビリティクライアントのローカルLANアクセス設定

    ASAへの接続中にCisco AnyConnectセキュアモビリティクライアントがローカルLANにアクセスできるようにするには、次のタスクを実行します。

    ASDM 経由での ASA の設定

    ASA に接続しながら、VPN Client にローカル LAN アクセスを許可するには、ASDM で次の手順を実施します。

    1. Configuration > Remote Access VPN > Network (Client) Access > Group Policyを選択して、ローカルLANアクセスをイネーブルにするグループポリシーを選択します。次に、Editをクリックします。

      Select the Group Policy in Which You want to Enable Local LAN access



    2. 次に.Advanced > Split Tunneling

      Under Advanced, Select Split Tunneling



    3. PolicyのInheritボックスのチェックマークを外し、Exclude Network List Belowを選択します。

      Uncheck the Inherit Box for Policy and Choose Exclude Network List Below



    4. Network ListのInheritボックスのチェックマークを外し、Manageをクリックして、アクセスコントロールリスト(ACL)マネージャを起動します。

      Uncheck the Inherit Box for Network List and Click Manage



    5. ACL Managerで、Add > Add ACL...を選択して、新しいアクセスリストを作成します。

      Choose Add and then Add ACL in Order to create a New Access List



    6. ACLの名前を指定して、OKをクリックします。

      Enter a Name for the ACL and Click OK



    7. ACLが作成されたら、Add > Add ACE...を選択して、アクセスコントロールエントリ(ACE)を追加します。

      Choose Add and then Add ACE in order to Add an Access Control Entry (ACE)



    8. クライアントのローカル LAN に対応する ACE を定義します。

      1. 選択.Permit
      2. IP アドレス 0.0.0.0 を選択します。
      3. /32 のネットマスクを選択します。
      4. (任意)説明を入力します。
      5. をクリックします。OK

        Define the ACE Parameters



    9. ACL Managerを終了するには、OKをクリックします。

      Click OK in Order to Exit the ACL Manager



    10. Split Tunnel Network List で、作成した ACL が選択されていることを確認します。

      Confirm that the ACL is Selected for the Split Tunnel Network List



    11. グループポリシーの設定に戻るには、OKをクリックします。

      Click OK in Order to Return to the Group Policy Configuration



    12. Apply(必要な場合)、Sendの順にクリックして、コマンドをASAに送信します。

      Click Apply and then Send in Order to Send the Commands to the ASA

    CLI による ASA の設定

    ASA に接続しているときに VPN Client にローカル LAN へのアクセスを許可するには、ASDM を使用する代わりに ASA CLI で次の手順を実行することもできます。

    1. コンフィギュレーション モードに切り替えます。

      ciscoasa>enable
      Password:
      ciscoasa#configure terminal
      ciscoasa(config)#
    2. ローカル LAN アクセスを許可するアクセス リストを作成します。

      ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
      ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    3. 修正するポリシーのグループ ポリシー コンフィギュレーション モードに入ります。

      ciscoasa(config)#group-policy hillvalleyvpn attributes
      ciscoasa(config-group-policy)#
    4. スプリット トンネル ポリシーを指定します。この場合、ポリシーはexcludespecifiedです。

      ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    5. スプリット トンネル アクセス リストを指定します。この場合、リストはLocal_LAN_Accessです。

      ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    6. 次のコマンドを実行します。

      ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    7. グループポリシーをトンネルグループに関連付けます。

      ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    8. 2 つのコンフィギュレーション モードを終了します。

      ciscoasa(config-group-policy)#exit
      ciscoasa(config)#exit
      ciscoasa#
    9. この設定を不揮発性RAM(NVRAM)に保存して、ソースファイル名を指定するようにプロンプトが表示されたら、Enterを押します。

      ciscoasa#copy running-config startup-config

      Source filename [running-config]?
      Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

      3847 bytes copied in 3.470 secs (1282 bytes/sec)
      ciscoasa#

    Cisco AnyConnect セキュア モビリティ クライアントの設定

    Cisco AnyConnectセキュアモビリティクライアントを設定するには、『CLIブック3:Cisco ASAシリーズVPN CLIコンフィギュレーションガイド、9.17』の「AnyConnect接続の設定」セクションを参照してください。

    スプリット除外トンネリングでは、AnyConnectクライアントでAllowLocalLanAccessをイネーブルにする必要があります。すべてのスプリット除外トンネリングは、ローカル LAN アクセスと見なされます。スプリットトンネリングの除外機能を使用するには、AnyConnect VPN Client preferencesでAllowLocalLanAccessプリファレンスをイネーブルにする必要があります。デフォルトでは、ローカル LAN アクセスはディセーブルになっています。

    ローカル LAN アクセスを許可し、そのためにスプリット除外トンネリングを許可するには、ネットワーク管理者がそれをプロファイル内で有効にするか、ユーザがプリファレンス設定で有効にすることができます(次のセクションの画像を参照してください)。スプリットトンネリングがセキュアゲートウェイでイネーブルになっていて、Allow Local LAN accessポリシーが設定されている場合、ローカルLANアクセスを許可するためにユーザがsplit-tunnel-policy exclude specifiedチェックボックスをオンにします。また、 true を使用してローカルLANアクセスが許可されている場合は、VPN Clientプロファイルを設定できます。

    ユーザ設定

    ローカルLANアクセスを許可するためにCisco AnyConnectセキュアモビリティクライアントのPreferencesタブで行う必要がある選択を次に示します。

    Required Selections on the AnyConnect Secure Mobility Client Preferences Tab

    Linux上 

    AnyConnect Preferences for Linux

    XML プロファイルの例

    次に、XML で VPN クライアント プロファイルを設定する例を示します。

    <?xml version="1.0" encoding="UTF-8"?>
    <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
        <ClientInitialization>
            <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
            <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
            <ShowPreConnectMessage>false</ShowPreConnectMessage>
            <CertificateStore>All</CertificateStore>
            <CertificateStoreOverride>false</CertificateStoreOverride>
            <ProxySettings>Native</ProxySettings>
            <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
            <AuthenticationTimeout>12</AuthenticationTimeout>
            <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
            <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
            <LocalLanAccess UserControllable="true">true</LocalLanAccess>
            <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
            <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
            <AutoReconnect UserControllable="false">true
                <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
                </AutoReconnectBehavior>
            </AutoReconnect>
            <AutoUpdate UserControllable="false">true</AutoUpdate>
            <RSASecurIDIntegration UserControllable="false">Automatic
            </RSASecurIDIntegration>
            <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
            <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
            <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
            <PPPExclusion UserControllable="false">Disable
                <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
            </PPPExclusion>
            <EnableScripting UserControllable="false">false</EnableScripting>
            <EnableAutomaticServerSelection UserControllable="false">false
                <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
                <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
            </EnableAutomaticServerSelection>
            <RetainVpnOnLogoff>false
            </RetainVpnOnLogoff>
        </ClientInitialization>
    </AnyConnectProfile>

    確認

    設定を確認するには、次のセクションの手順を実行します。

    Cisco AnyConnect セキュア モビリティ クライアントを ASA に接続して設定を検証します。

    1. サーバリストから接続エントリを選択し、Connectをクリックします。

      Choose Connection Entry from the Server List



    2. Advanced Window for All Components > Statistics...を選択して、トンネルモードを表示します。

      Choose the Statistics Tab in Order to Display the Tunnel Mode




      Linux上


      Statistics Tab on Linux





    3. Route Details」タブをクリックして、Cisco AnyConnectセキュアモビリティクライアントがローカルアクセスできるルートを表示します。

      この例では、クライアントは 10.150.52.0/22 および 169.254.0.0/16 へのローカル LAN アクセスを許可されています。その他のすべてのトラフィックは暗号化され、トンネル経由で送信されます。

      Example of Route Details Tab

    Linux上 

    Example of Route Details Tab on Linux

    Cisco AnyConnect セキュア モビリティ クライアント

    Diagnostics and Reporting Tool(DART)から AnyConnect ログを調べると、ローカル LAN アクセスを許可するパラメータが設定されているかどうかを判断できます。

    ******************************************

    Date        : 11/25/2011
    Time        : 13:01:48
    Type        : Information
    Source      : acvpndownloader

    Description : Current Preference Settings:
    ServiceDisable: false
    CertificateStoreOverride: false
    CertificateStore: All
    ShowPreConnectMessage: false
    AutoConnectOnStart: false
    MinimizeOnConnect: true
    LocalLanAccess: true
    AutoReconnect: true
    AutoReconnectBehavior: DisconnectOnSuspend
    UseStartBeforeLogon: false
    AutoUpdate: true
    RSASecurIDIntegration: Automatic
    WindowsLogonEnforcement: SingleLocalLogon
    WindowsVPNEstablishment: LocalUsersOnly
    ProxySettings: Native
    AllowLocalProxyConnections: true
    PPPExclusion: Disable
    PPPExclusionServerIP: 
    AutomaticVPNPolicy: false
    TrustedNetworkPolicy: Disconnect
    UntrustedNetworkPolicy: Connect
    TrustedDNSDomains: 
    TrustedDNSServers: 
    AlwaysOn: false
    ConnectFailurePolicy: Closed
    AllowCaptivePortalRemediation: false
    CaptivePortalRemediationTimeout: 5
    ApplyLastVPNLocalResourceRules: false
    AllowVPNDisconnect: true
    EnableScripting: false
    TerminateScriptOnNextEvent: false
    EnablePostSBLOnConnectScript: true
    AutomaticCertSelection: true
    RetainVpnOnLogoff: false
    UserEnforcement: SameUserOnly
    EnableAutomaticServerSelection: false
    AutoServerSelectionImprovement: 20
    AutoServerSelectionSuspendTime: 4
    AuthenticationTimeout: 12
    SafeWordSofTokenIntegration: false
    AllowIPsecOverSSL: false
    ClearSmartcardPin: true



    ******************************************

    Ping でローカル LAN アクセスをテストする

    VPN ClientがVPNヘッドエンドとトンネル接続しながらローカルLANアクセスが維持できているかどうかは、Microsoft Windowsコマンドラインでpingコマンドを発行する方法でもテストできます。クライアントのローカル LAN が 192.168.0.0/24 で、もう一方のホストも同じネットワーク上に存在し、IP アドレス 192.168.0.3 が付与されている例を次に示します。

    C:\>ping 192.168.0.3
    Pinging 192.168.0.3 with 32 bytes of data&colon;

    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

    Ping statistics for 192.168.0.3:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    Linux上 

    Ping Results on Linux

    トラブルシュート

    ここでは、設定のトラブルシューティングに使用できる情報を示します。

    名前による印刷またはブラウズができない

    VPN Client がローカル LAN アクセス用に接続され設定されていると、ローカル LAN では名前によって印刷やブラウズを行うことはできません。この状況を回避するために次の 2 つのオプションを利用できます。

    • IP アドレスでブラウズまたは印刷する。

      • ブラウズするには、構文\\sharenameではなく、\\x.x.x.x(x.x.x.xはホストコンピュータのIPアドレス)を使用します。

      • 印刷する場合は、ネットワーク プリンタのプロパティを変更して、名前の代わりに IP アドレスを使用するように設定します。たとえば、構文「\\sharename\printername」の代わりに「\\x.x.x.x\printername」を使用します。x.x.x.xにはIPアドレスを指定します。

    • VPN クライアントの LMHOSTS ファイルを作成または修正します。Microsoft Windows PC 上の LMHOSTS ファイルによって、ホスト名と IP アドレスの間のスタティック マッピングを作成できます。たとえば、LMHOSTSファイルは次のようになります。

      192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3

      Microsoft Windows XP Professional Editionでは、LMHOSTSファイルは%SystemRoot%\System32\Drivers\Etcにあります。詳細については、Microsoftのマニュアルを参照してください。

    関連情報

    更新履歴

    改定 発行日 コメント
    4.0
    23-Aug-2024
    CCWアラートの誤検出が明らかになり、不要な太字の書式が修正されました。
    3.0
    21-Aug-2023
    「概要」、「PII」、「スタイル要件」、「代替テキスト」、および「フォーマット」を更新。
    2.0
    13-Jul-2022
    タイトルをアップデート.リンクを更新し、破損したリンクを削除。分かりやすいように若干の編集を行いました。
    1.0
    28-Jul-2006
    初版
    TAC Authored

    シスコ エンジニア提供

    • アツリバス
      Cisco TACエンジニア
    • グスタヴォメディナ
      Cisco TACエンジニア
    • エベレット・デューク
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています