VPN への接続と接続解除
AnyConnect VPN 接続オプション
AnyConnect には、自動的に VPN セッションを接続、再接続、または切断するための多数のオプションが用意されています。これらのオプションは、ユーザが VPN に接続するために便利な方法を提供し、同時にネットワーク セキュリティの要件をサポートします。
AnyConnect 接続の開始とリスタート
VPN 接続サーバの設定を行い、ユーザが手動で接続するセキュア ゲートウェイの名前とアドレスを提供します。
便利な自動 VPN 接続を提供するための AnyConnect 機能を次から選択します。
また、強力なネットワーク セキュリティを適用したり、ネットワーク アクセスを VPN のみに制限したりするために、次の自動 VPN ポリシー オプションの使用を検討してください。
AnyConnect 接続の再ネゴシエートと維持
アクティビティが発生していない場合でも、Cisco Secure Firewall ASA がユーザーに対して AnyConnect VPN 接続を維持する長さを制限できます。VPN セッションがアイドルになった場合、接続を終了するか、または接続を再ネゴシエートできます。
-
キープアライブ:Cisco Secure Firewall ASA はキープアライブメッセージを定期的に送信します。これらのメッセージは、Cisco Secure Firewall ASA によって無視されますが、クライアントと Cisco Secure Firewall ASA の間の、デバイスを使用した接続の維持に役立ちます。
ASDM または CLI でキープアライブを設定する手順については、『Cisco ASA Series VPN Configuration Guide』[英語] の「Enable Keepalive」の項を参照してください。
-
デッド ピア検出:Cisco Secure Firewall ASA および AnyConnect クライアントは、「R-U-There」メッセージを送信します。これらのメッセージは、IPsec のキープアライブ メッセージよりも少ない頻度で送信されます。Cisco Secure Firewall ASA(ゲートウェイ)および AnyConnect の両方で、DPD メッセージの送信を有効にして、タイムアウト間隔を設定できます。
-
クライアントが Cisco Secure Firewall ASA の DPD メッセージに応答しない場合、ASA はもう 1 回試行してから、セッションを「再開待機」モードに移行します。このモードでは、ユーザはネットワークをローミングしたり、スリープ モードに移行してから後で接続を回復したりできます。アイドルタイムアウトが発生する前にユーザーが再接続しなかった場合、Cisco Secure Firewall ASA はトンネルを終了します。推奨されるゲートウェイ DPD 間隔は 300 秒です。
-
Cisco Secure Firewall ASA がクライアントの DPD メッセージに応答しない場合、クライアントはもう 1 回試行してから、トンネルを終了します。推奨されるクライアント DPD 間隔は 30 秒です。
ASDM 内で DPD を設定する手順については、適切なリリースの『Cisco ASA Series VPN ASDM Configuration Guide』[英語] の「Configure Dead Peer Detection」の項を参照してください。
-
-
ベスト プラクティス:
-
クライアント DPD を 30 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。
-
サーバ DPD を 300 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。
-
SSL および IPsec の両方のキー再生成を 1 時間に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [キー再作成(Key Regeneration)])。
-
AnyConnect VPN 接続の終了
AnyConnect VPN 接続を終了するには、ユーザーはセキュアゲートウェイに対してエンドポイントを再認証し、新しい VPN 接続を作成する必要があります。
次の接続パラメータは、タイムアウトに基づいて、VPN セッションを終了します。
-
最大接続時間:ユーザの最大接続時間を分単位で設定します。ここで指定した時間が経過すると、システムは接続を終了します。また、無制限の接続時間(デフォルト)を許可することもできます。
-
VPN アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。VPN アイドル タイムアウトを設定しない場合は、デフォルトのアイドル タイムアウトが使用されます。
-
デフォルト アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。デフォルト値は 30 分(1800 秒)です。
これらのパラメータを設定するには、適切なリリースの『Cisco ASA Series VPN ASDM Configuration Guide』の「Specify a VPN Session Idle Timeout for a Group Policy」の項を参照してください。
VPN 接続サーバーの設定
AnyConnect VPN サーバーリストは、VPN ユーザーが接続するセキュアゲートウェイを識別するホスト名とホストアドレスのペアで構成されます。ホスト名は、エイリアス、FQDN、または IP アドレスで指定できます。
サーバーリストに追加されたホストは、AnyConnect GUI の [接続先(Connect to)] ドロップダウンリストに表示されます。その後、ユーザはドロップダウン リストから選択して VPN 接続を開始できます。リストの最上位にあるホストはデフォルト サーバで、GUI のドロップダウン リストの先頭に表示されます。ユーザがリストから代替サーバを選択した場合、その選択されたサーバが新しいデフォルト サーバになります。
サーバ リストにサーバを追加すると、その詳細を表示し、サーバ エントリを編集または削除るようになります。サーバ リストにサーバを追加するには、次の手順を実行します。
手順
ステップ 1 |
VPN プロファイル エディタを開き、ナビゲーション ペインから [サーバ リスト(Server List)] を選択します。 |
||
ステップ 2 |
[追加(Add)] をクリックします。 |
||
ステップ 3 |
サーバのホスト名およびアドレスを設定します。 |
||
ステップ 4 |
[バックアップ サーバ リスト(Backup Server List)] に、バックアップ サーバとしてフォールバックするサーバを入力します。名前に「&」または「<」文字を使用しないでください。
|
||
ステップ 5 |
(任意)[ロード バランシング サーバ リスト(Load Balancing Server List)] . に、ロード バランシング サーバ を追加します。名前に「&」または「<」文字を使用しないでください。 このサーバ リスト エントリのホストにセキュリティ アプライアンスのロード バランシング クラスタを指定し、かつ Always-On 機能が有効になっている場合は、このリストにクラスタのロード バランシング デバイスを追加します。指定しなかった場合、ロード バランシング クラスタ内にあるバックアップ デバイスへのアクセスは Always-On 機能によりブロックされます。 |
||
ステップ 6 |
クライアントがこの Cisco Secure Firewall ASA に使用する [プライマリプロトコル(Primary Protocol)] を指定します。 |
||
ステップ 7 |
(任意)このサーバ用の SCEP を設定します。
|
||
ステップ 8 |
[OK] をクリックします。 |
ログイン前の Windows VPN 接続の自動開始
Start Before Login について
Start Before Login(SBL)と呼ばれるこの機能により、ユーザーは Windows へのログイン前に、企業インフラへの VPN 接続を確立できます。
(注) |
Start Before Login(SBL)および HostScan を使用する場合、SBL は事前ログインであるため、完全な HostScan 機能を実現するには、VPN ポスチャ 事前展開モジュールをエンドポイントにインストールする必要があります。 |
SBL がインストールされ、有効になると、[ネットワーク接続(Network Connect)] ボタンは AnyConnect コア VPN および Network Access Manager UI を起動します。
SBL には、Network Access Manager タイルも含まれており、ユーザが設定したホーム ネットワーク プロファイルを使用した接続を可能にします。SBL モードで許可されるネットワーク プロファイルには、非 802.1X 認証モードを採用するすべてのメディア タイプ(オープン WEP、WPA/WPA2 パーソナル、および静的キー(WEP)ネットワークなど)が含まれます。
-
Windows では、Pre-Login Access Provider(PLAP)が AnyConnect SBL を実装するために使用されます。
PLAP では、Ctrl キー、Alt キー、および Del キーを同時に押すとウィンドウが表示され、そこでシステムにログインするか、ウィンドウの右下隅にある [ネットワーク接続(Network Connect)] ボタンでネットワーク接続(PLAP コンポーネント)を起動するかを選択できます。
PLAP は Windows の 32 ビット版と 64 ビット版をサポートします。
-
ユーザのコンピュータに Active Directory インフラストラクチャを導入済みである。
-
ネットワークでマッピングされるドライブを使用し、Microsoft Active Directory インフラストラクチャの認証を必要とする。
-
コンピュータのキャッシュにクレデンシャルを入れることができない(グループ ポリシーでキャッシュのクレデンシャル使用が許可されない場合)。このシナリオでは、コンピュータへのアクセスが許可される前にユーザのクレデンシャルが確認されるようにするため、ユーザは社内ネットワーク上のドメイン コントローラと通信できることが必要です。
-
ネットワーク リソースから、またはネットワーク リソースへのアクセスを必要とする場所からログイン スクリプトを実行する必要がある。SBL を有効にすると、ユーザは、ローカル インフラストラクチャおよび通常はオフィスにいるときに実行されるログイン スクリプトにアクセスできます。これには、ドメイン ログイン スクリプト、グループ ポリシー オブジェクト、およびユーザがシステムにログインするときに通常実行されるその他の Active Directory 機能が含まれます。
-
インフラストラクチャとの接続が必要な場合があるネットワーキング コンポーネント(MS NAP/CS NAC など)が存在する。
Start Before Login に関する制限事項
-
AnyConnect は、高速ユーザー切り替えとの互換性がありません。
-
AnyConnect は、サードパーティの Start Before Login アプリケーションでは起動できません。
-
SBL は事前ログインされており、ユーザストアにアクセスできないため、複数の証明書認証(MCA)を実行できません。MCA には、マシン証明書とユーザ証明書、または 2 つのユーザ証明書が必要です。
Start Before Login の設定
手順
ステップ 1 |
|
ステップ 2 |
AnyConnect Start Before Login モジュールのインストール
AnyConnect インストーラは、基盤となるオペレーティングシステムを検出し、システムディレクトリに AnyConnect SBL モジュールから適切な AnyConnect DLL を配置します。Windows デバイスでは、インストーラは、32 ビット版と 64 ビット版のどちらのオペレーティング システムが使用されているかを判別して、該当する PLAP コンポーネント(vpnplap.dll または vpnplap64.dll)をインストールします。
(注) |
SBL モジュールがインストールされたまま AnyConnect をアンインストールすると、SBL モジュールは無効となり、リモートユーザーの画面に表示されなくなります。 |
SBL モジュールを事前展開するか、SBL モジュールをダウンロードするように ASA を設定することができます。AnyConnect を事前展開する場合は、Start Before Login モジュールよりも先にコア クライアント ソフトウェアをインストールする必要があります。MSI ファイルを使用して AnyConnect VPN および Start Before Login コンポーネントを事前展開する場合は、正しい順序で実行する必要があります。
手順
ステップ 1 |
ASDM で、 に移動します。 |
ステップ 2 |
グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)] または [追加(Add)] をクリックします。 |
ステップ 3 |
左側のナビゲーションペインで を選択します。 |
ステップ 4 |
[ダウンロードするオプションのクライアント モジュール(Optional Client Module for Download)] 設定の [継承(Inherit)] をオフにします。 |
ステップ 5 |
ドロップダウン リストから AnyConnect SBL モジュールを選択します。 |
AnyConnect VPN プロファイルでの SBL の有効化
始める前に
-
SBL は、呼び出されたときにネットワークに接続されている必要があります。場合によっては、ワイヤレス接続がワイヤレス インフラストラクチャに接続するユーザのクレデンシャルに依存するために、接続できないことがあります。このシナリオでは、ログインのクレデンシャル フェーズよりも SBL モードが優先されるため、接続できません。このような場合に SBL を機能させるには、ログインを通してクレデンシャルをキャッシュするようにワイヤレス接続を設定するか、その他のワイヤレス認証を設定する必要があります。
-
Network Access Managerがインストールされている場合、デバイス接続を展開して、適切な接続を確実に使用できるようにする必要があります。
手順
ステップ 1 |
VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 1)(Preferences (Part 1))] を選択します。 |
||
ステップ 2 |
[Start Before Loginの使用(Use Start Before Login)] を選択します。 |
||
ステップ 3 |
(任意)リモート ユーザが SBL を制御できるようにする場合は、[ユーザ制御可(User Controllable)] をオンにします。
|
Start Before Login のトラブルシューティング
手順
ステップ 1 |
AnyConnect VPN プロファイルが Cisco Secure Firewall ASA にロードされており、展開できるようになっていることを確認します。 |
ステップ 2 |
以前のプロファイルを削除します。プロファイルの場所は、この表に示されています。 |
ステップ 3 |
Windows の [プログラムの追加と削除(Add/Remove Programs)] を使用して SBL コンポーネントを再インストールします。コンピュータをリブートして、再テストします。 |
ステップ 4 |
イベントビューアでユーザーの AnyConnect ログをクリアし、再テストします。 |
ステップ 5 |
セキュリティアプライアンスを再度参照して、AnyConnect を再インストールします。 |
ステップ 6 |
いったんリブートします。次回リブート時には、Start Before Login プロンプトが表示されます。 |
ステップ 7 |
DART バンドルを収集し、AnyConnect 管理者に送付します。 |
ステップ 8 |
次のエラーが表示された場合は、ユーザーの AnyConnect VPN プロファイルを削除します。
|
ステップ 9 |
.tmpl ファイルに戻って、コピーを .xml ファイルとして保存し、その XML ファイルをデフォルト プロファイルとして使用します。 |
AnyConnect 起動時の VPN 接続の自動開始
[起動時に自動接続(Auto Connect on Start)] とも呼ばれるこの機能は、AnyConnect が開始されると、VPN クライアントプロファイルで指定されたセキュアゲートウェイへの VPN 接続を自動的に確立します。
[起動時に自動接続(Auto Connect on Start)] はデフォルトでは無効であり、ユーザはセキュア ゲートウェイを指定または選択する必要があります。
手順
ステップ 1 |
VPN プロファイル エディタを開き、ナビゲーション ペインから [プリファレンス(Part 2)(Preferences (Part 2))] を選択します。 |
ステップ 2 |
[起動時に自動接続(Auto Connect on Start)] を選択します。 |
ステップ 3 |
(任意)[起動時に自動接続(Auto Connect on Start)] をユーザが制御できるようにするには、[ユーザ制御可(User Controllable)] を選択します。 |