リモートアクセス VPN

リモートアクセス仮想プライベートネットワーク（VPN）では、各ユーザがインターネットに接続されたコンピュータまたはその他のサポート対象の iOS または Android デバイスを使用して、離れた場所からネットワークに接続できます。これにより、モバイルワーカーが各自のホームネットワークや公共の Wi-Fi ネットワークなどから接続できるようになります。

ここでは、ネットワークのリモートアクセス VPN を設定する方法について説明します。

リモートアクセス VPN の概要

Firepower Device Manager では、AnyConnect クライアントソフトウェアを使用して SSL 経由でリモートアクセス VPN を設定できます。

AnyConnect クライアントが Firepower Threat Defense デバイスと SSL VPN 接続をネゴシエートする際、Transport Layer Security（TLS）または Datagram Transport Layer Security（DTLS）を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイムアプリケーションのパフォーマンスが向上します。クライアントおよび Firepower Threat Defense デバイスは、使用する TLS/DTLS バージョンをネゴシエートします。DTLS はクライアントがサポートする場合に使用されます。

デバイスモデル別の同時 VPN セッションの最大数

デバイスモデルに基づいて、1 台のデバイスで許可される同時リモートアクセス VPN セッション数に上限が設けられます。この制限は、システムパフォーマンスが許容できないレベルに低下しないように設計されています。これらの制限は、キャパシティプランニングに使用します。


デバイスモデル	最大同時リモートアクセス VPN セッション数
ASA 5506-X、5506H-X、5506W-X	50
ASA 5508-X	100
ASA 5512-X、ASA 5515-X	250
ASA 5516-X	300
ASA 5525-X	750
ASA 5545-X	2500
ASA 5555-X	5000
Firepower 2110	1500
Firepower 2120	3500
Firepower 2130	7500
Firepower 2140	10,000
Firepower Threat Defense Virtual	250
ISA 3000	25

AnyConnect クライアントソフトウェアのダウンロード

リモートアクセス VPN を設定するには、AnyConnect ソフトウェアをワークステーションにダウンロードする必要があります。VPN を定義するときに、これらのパッケージをアップロードする必要があります。

最新の機能、バグ修正、セキュリティパッチを確保するには、最新の AnyConnect バージョンをダウンロードする必要があります。Firepower Threat Defense デバイスのパッケージは定期的に更新してください。

（注）

Windows、Mac、Linux の各オペレーティングシステムごとに 1 つの AnyConnect をアップロードできます。1 つの OS タイプに対して複数のバージョンをアップロードすることはできません。

AnyConnect ソフトウェアパッケージは、software.cisco.com の AnyConnect セキュアモビリティクライアントカテゴリから取得します。クライアントの「フルインストールパッケージ」バージョンをダウンロードしてください。

AnyConnect ソフトウェアのインストール方法

VPN 接続を完了するには、ユーザは AnyConnect クライアントソフトウェアをインストールする必要があります。既存のソフトウェア配布方式を使用して、ソフトウェアを直接インストールできます。または、ユーザに Firepower Threat Defense デバイスから AnyConnect クライアントを直接インストールしてもらうこともできます。

ソフトウェアをインストールするには、ユーザにワークステーションでの管理者権限が必要です。

AnyConnect クライアントがすでにインストールされている場合、新しい AnyConnect バージョンがアップロードされると、ユーザが次に VPN 接続を行った際、新しいバージョンが AnyConnect によって検出され、更新されたクライアントソフトウェアのダウンロードとインストールを指示するメッセージが自動的に表示されます。この自動化により、ソフトウェアの配布が容易になります。

ソフトウェアの最初のインストールを Firepower Threat Defense デバイスからユーザに行ってもらう場合、以下の手順を実行するようにユーザに指示します。

（注）

Android および iOS のユーザは、適切な App Store から AnyConnect をダウンロードする必要があります。

手順

ステップ 1

Web ブラウザを使用して、https://ravpn-address を開きます。ravpn-address は、VPN 接続を許可する外部インターフェイスの IP アドレスまたはホスト名です。

このインターフェイスは、リモートアクセス VPN を設定する際に指定します。ログインを指示するメッセージがユーザに示されます。

ステップ 2

サイトにログインします。

ユーザは、リモートアクセス VPN 用に設定されたディレクトリサーバを使用して認証されます。続行するには、ログインが正常に行われる必要があります。

ログインが成功すると、システムは、必要となる AnyConnect クライアントのバージョンがインストールされているかを確認します。AnyConnect クライアントがユーザのコンピュータにないか、下位のバージョンである場合、システムは自動的に AnyConnect ソフトウェアのインストールを開始します。

インストールが終了すると、AnyConnect がリモートアクセス VPN 接続を完了します。

リモートアクセス VPN のライセンス要件

リモートアクセス VPN を設定する前に、基本デバイスライセンスがエクスポート要件を満たす必要があります。デバイスを登録するとき、エクスポート制御機能が有効になっている Smart Software Managerのアカウントを使用して登録する必要があります。また、評価ライセンスを使用して機能を設定することはできません。

さらに、次のいずれかのリモートアクセス VPN ライセンスを購入し、有効にする必要があります：AnyConnect Plus、AnyConnect Apex、AnyConnect VPN Only。これらのライセンスは、ASA ソフトウェアベースのヘッドエンドで使用されるときにさまざまな機能セットを有効にするように設計されていますが、Firepower Threat Defense デバイスでは同じように扱われます。

ライセンスを有効にするには、[デバイス（Device）] > [スマートライセンス（Smart License）] > [設定の表示（View Configuration）] を選択し、[RA VPNライセンス（RA VPN License）] グループで適切なライセンスを選択します。Smart Software Manager Account で使用可能なライセンスが必要です。ライセンスの有効化の詳細については、オプションライセンスの有効化と無効化を参照してください。

詳細については、『Cisco AnyConnect Ordering Guide』（http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf）を参照してください。http://www.cisco.com/c/en/us/products/security/anyconnect-secure-mobility-client/datasheet-listing.html には、使用できるその他のデータシートもあります。

リモートアクセス VPN に関する注意事項と制限事項

RA VPN を設定する際は、次の注意事項と制限事項に注意してください。

同じ TCP ポートの同じインターフェイスで Firepower Device Manager アクセス（管理アクセスリストの HTTPS アクセス）と AnyConnect リモートアクセス SSL VPN の両方を設定することはできません。たとえば、外部インターフェイスにリモートアクセス SSL VPN を設定する場合、ポート 443 で HTTPS 接続用の外部インターフェイスも開くことはできません。Firepower Device Manager ではこれらの機能に使用されるポートを設定できないため、同じインターフェイスで両方の機能は設定できません。
NAT ルールの送信元アドレスとリモートアクセス VPN アドレスプールの重複アドレスは使用できません。

リモートアクセス VPN の設定

クライアントのリモートアクセス VPN を有効化するには、いくつかの項目を設定する必要があります。次の手順を実行します。

手順

ステップ 1	ライセンスを設定します。次の 2 つのライセンスを有効にする必要があります。デバイスを登録する際に、エクスポート制御機能に対して有効化された Smart Software Manager アカウントによってエクスポートを制御する必要があります。リモートアクセス VPN を設定するには、その前に基本ライセンスが輸出規制要件を満たす必要があります。また、評価ライセンスを使用して機能を設定することはできません。デバイスを登録する手順については、デバイスの登録を参照してください。リモートアクセス VPN ライセンス。詳細は、リモートアクセス VPN のライセンス要件を参照してください。ライセンスを有効にするには、オプションライセンスの有効化と無効化を参照してください。
ステップ 2	証明書を設定します。証明書は、クライアントとデバイスの間の SSL 接続を認証するために必要です。事前定義された VPN 用の DefaultInternalCertificate を使用することも、独自に作成することもできます。認証に使われるディレクトリレルムに暗号化接続を使用する場合は、信頼される CA 証明書をアップロードする必要があります。証明書とそれらのアップロード方法の詳細については、証明書の設定を参照してください。
ステップ 3	（任意）クライアントプロファイルの設定およびアップロード。
ステップ 4	リモートユーザを認証する目的で使用されるアイデンティティレルムを設定します。AD アイデンティティレルムの設定を参照してください。アイデンティティレルムは、ネットワークのユーザアカウントを格納するディレクトリサーバを定義します。
ステップ 5	リモートアクセス VPN 接続の設定。
ステップ 6	（オプション）リモートアクセス VPN グループによるリソースへのアクセスを制御する。すべてのリモートアクセスユーザにすべての内部リソースへの同じアクセスをさせない場合は、アクセス制御ルールを適用し、ユーザグループのメンバーシップに基づいてアクセスを許可または禁止できます。
ステップ 7	リモートアクセス VPN 設定の確認。接続の完了に関する問題が発生した場合は、リモートアクセス VPN のトラブルシューティングを参照してください。

クライアントプロファイルの設定およびアップロード

AnyConnect クライアントプロファイルは AnyConnect クライアントソフトウェアとともにクライアントにダウンロードされます。これらのプロファイルは、起動時の自動接続と自動再接続、エンドユーザが AnyConnect クライアント環境設定および詳細設定でオプションを変更することが許可されるかどうかといった、多数のクライアント関連オプションを定義します。

リモートアクセス VPN 接続を設定する際に外部インターフェイスの完全修飾ホスト名（FQDN）を設定すると、システムが自動的にクライントプロファイルを作成します。このプロファイルでは、デフォルトの設定が有効にされます。クライントプロファイルを作成してアップロードする必要があるのは、デフォルト以外の動作が必要な場合のみです。クライントプロファイルはオプションであることに注意してください。クライントプロファイルをアップロードしなければ、AnyConnect クライアントはプロファイルで制御されるすべてのオプションにデフォルトの設定を使用します。

（注）

初回の接続時に、ユーザが制御できる設定のすべてを AnyConnect クライアントに表示させるには、VPN プロファイルのサーバリストに、Firepower Threat Defense デバイスの外部インターフェイスを含める必要があります。アドレスまたは FQDN をホストエントリとしてプロファイルに追加していない場合、セッションにフィルタは適用されません。たとえば、証明書照合を作成し、証明書が基準と適切に一致した場合でも、プロファイルにデバイスをホストエントリとして追加しなければ、この証明書照合は無視されます。

次に、[オブジェクト（Objects）] ページで直接オブジェクトを作成および編集する方法について説明します。オブジェクトリストに表示される [新規AnyConnectクライアントプロファイルの作成（Create New AnyConnect Client Profile）] リンクをクリックして、AnyConnect クライアントプロファイルオブジェクトをプロファイルプロパティの編集中に作成することもできます。

始める前に

クライアントプロファイルをアップロードするには、その前に、以下の作業を行う必要があります。

AnyConnect の「Profile Editor - Windows / Standalone installer インストーラ（MSI）」をダウンロードしてインストールします。このインストールファイルは Windows 専用で、ファイル名は anyconnect-profileeditor-win-<version>-k9.msi です。ここで、<version> は AnyConnect のバージョンです。たとえば、anyconnect-profileeditor-win-4.3.04027-k9.msi のような名前になります。プロファイルエディタをインストールする前に、Java JRE（1.6 以降）もインストールする必要があります。software.cisco.com から、[AnyConnectセキュアモビリティクライアント（AnyConnect Secure Mobility Client）] カテゴリに分類されている AnyConnect プロファイルエディタを入手します。
プロファイルエディタを使用して、必要なプロファイルを作成します。プロファイルには、外部インターフェイスのホスト名または IP アドレスを指定する必要があります。詳細については、エディタのオンラインヘルプを参照してください。

手順

ステップ 1	[オブジェクト（Objects）] を選択してから、目次で [AnyConnectクライアントプロファイル（AnyConnect Client Profile）] を選択します。
ステップ 2	次のいずれかを実行します。オブジェクトを作成するには、[+] ボタンをクリックします。オブジェクトを編集するには、オブジェクトの [編集（edit ）] アイコン（）をクリックします。オブジェクトに関連付けられているプロファイルをダウンロードする場合は、対象のオブジェクトの [ダウンロード（download ）] アイコン（）をクリックします。参照されていないオブジェクトを削除するには、オブジェクトの [ごみ箱（trash can）] アイコン（）をクリックします。
ステップ 3	名前を入力し、オプションでオブジェクトの説明を入力します。
ステップ 4	[アップロード（Upload）] をクリックし、プロファイルエディタを使って作成したファイルを選択します。
ステップ 5	[開く（Open）] をクリックしてプロファイルをアップロードします。
ステップ 6	[OK] をクリックしてオブジェクトを追加します。

リモートアクセス VPN 接続の設定

リモートアクセスVPN 接続を作成すると、ユーザがホームネットワークなどの外部ネットワークに接続しているときに、内部ネットワークに接続できるようになります。

始める前に

リモートアクセス（RA）VPN 接続を設定する前に、以下のことを行います。

必要な AnyConnectソフトウェアパッケージを software.cisco.com からワークステーションにダウンロードします。
任意で、AnyConnect プロファイルエディタを使用してクライアントプロファイルを作成します。外部インターフェイスに完全修飾ドメイン名を指定すると、システムはデフォルトのプロファイルを作成します。クライアントプロファイルは任意で、プロファイルによって制御される機能をカスタマイズする場合にのみ作成します。
リモートアクセス VPN 接続を終了する外部インターフェイスは、HTTPS 接続を許可する管理アクセスリストを持つこともできません。RA VPN を設定する前に、外部インターフェイスから HTTPS ルールを削除します。管理アクセスリストの設定を参照してください。

手順

ステップ 1

[デバイス（Device）] をクリックし、リモートアクセス VPN グループの [接続プロファイルの設定（Setup Connection Profile）] をクリックします。

1 つのリモートアクセス VPN を設定できます。すでにこれを設定済みの場合は、[設定の表示（View Configuration）] をクリックすると既存の VPN が開き、[編集（Edit）] ボタンをクリックすると変更できます。

設定を削除するには、[設定の削除（Clear Configuration）] をクリックします。

ステップ 2

AnyConnect クライアント設定を定義します。

[接続プロファイル名（Connection Profile Name）]：スペースを含めずに最大 50 文字で、この接続の名前を指定します。例、MainOffice。IP アドレスは名前として使用できません。

（注）

ここで入力する名前が、AnyConnect クライアントの接続リストに表示されます。ユーザが理解しやすい名前を選択します。

[ユーザ認証用ADレルム/ディレクトリサーバ（AD Realm/Directory Server for User Authentication）]：クライアント認証に使用するディレクトリサーバを定義するディレクトリレルム。VPN 接続を完了するには、このディレクトリサーバにエンドユーザを定義する必要があります。
[フォールバックローカルアイデンティティソース（Fallback Local Identity Source）]：プライマリソースが外部サーバの場合、プライマリサーバが使用できない場合のフォールバックとして LocalIdentitySource を選択できます。フォールバックソースとしてローカルデータベースを使用する場合は、必ず外部サーバで定義したものと同じローカルユーザ名/パスワードを定義します。
[AnyConnectパッケージ（AnyConnect Packages）]：この VPN 接続でサポートする AnyConnect の完全なインストールソフトウェアイメージ。パッケージごとに、ファイル名（拡張子を含む）を 60 文字以下で指定します。Windows、Mac、Linux エンドポイント用に別々のパッケージをアップロードできます。

Software.cisco.com からパッケージをダウンロードします。エンドポイントに適切なパッケージがインストールされていない場合、ユーザは、ユーザ認証後にパッケージをダウンロードしてインストールするよう求められます。

ステップ 3

[次へ（Next）] をクリックします。

ステップ 4

デバイスのアイデンティティとクライアントアドレッシング設定を定義します。

[デバイスアイデンティティ証明書（Certificate of Device Identity）]：デバイスのアイデンティティを確立するために使用する内部証明書を選択します。安全な VPN 接続を完了するには、クライアントがこの証明書を承認する必要があります。まだ証明書がない場合、ドロップダウンリストの [新規内部証明書の作成（Create New Internal Certificate）] をクリックします。証明書を設定する必要があります。
[外部インターフェイス（Outside Interface）]：リモートアクセス VPN 接続を確立するときにユーザが接続するインターフェイス。これは通常外部（インターネットに接続された）インターフェイスですが、デバイスとこの接続プロファイルがサポートしているエンドユーザ間のインターフェイスのいずれかを選択します。

[外部インターフェイス用完全修飾ドメイン名（Fully-qualified Domain Name for the Outside Interface）]：インターフェイス名（例：ravpn.example.com）。名前を指定すると、クライアントプロファイルが作成されます。

（注）

ユーザは、クライアントによって VPN で使用される DNS サーバが、この名前から外部インターフェイスの IP アドレスを解決でききるようにする責任があります。関連する DNS サーバに FQDN を追加します。

[IPv4、IPv6アドレスプール（IPv4, IPv6 Address Pools）]：これらのオプションはリモートエンドポイントのアドレスプールを定義します。クライアントには、VPN 接続のために使用する IP バージョンに基づき、これらのプールからアドレスが割り当てられます。サポートする IP タイプごとにサブネットを定義するネットワークオブジェクトを選択します。その IP バージョンをサポートしない場合、[なし（None）] を選択（または空白のままに）します。たとえば、IPv4 プールを「10.100.10.0/24」と定義できます。アドレスプールは、外部インターフェイスの IP アドレスと同じサブネット上に存在することはできません。
[プライマリ、セカンダリDNSサーバ（Primary, Secondary DNS Servers）]：クライアントが VPN サーバに接続するときにドメイン名の解決に使用する DNS サーバ。[OpenDNS] ボタンをクリックし、これらのフィールドを OpenDNS パブリック DNS サーバにロードします。それ以外の場合、DNS サーバの IP アドレスを入力します。
[ドメイン検索名（Domain Search Name）]：ネットワークのドメイン名（例：example.com）を入力します。このドメインは、完全修飾されていないホスト名、たとえば serverA.example.com ではなく serverA に追加されます。

ステップ 5

[次へ（Next）] をクリックします。

ステップ 6

AnyConnect クライアントの動作をカスタマイズするため、接続設定を定義します。

[認証されるクライアントのバナーテキスト（Banner Text for Authenticated Clients）]：（オプション）VPN セッションの始めにユーザに表示するメッセージを入力します。たとえば、適切な使用に関する法的免責事項や警告などです。バナーは最大 500 文字までですが、セミコロン（;）または HTML タグは使用できません。
[最大接続時間（Maximum Connection Time）]：ユーザがログアウト、再接続せずに VPN に接続したままにできる最大時間（分）で、1 ～ 4473924 または空白で指定します。デフォルトは無制限（空白）ですが、その場合でもアイドルタイムアウトは適用されます。
[アイドルタイムアウト（Idle Timeout）]：VPN 接続が自動的に閉じられる前にアイドル状態になる時間（分）で、1 ～ 35791394 で指定します。デフォルトは 30 分です。
[VPNセッション中のブラウザプロキシ（Browser Proxy During VPN Sessions）]：Windows クライアントデバイス上の Internet Explorer Webブラウザで VPN セッション中にプロキシを使用するかどうか。次のオプションから選択します。
- [エンドポイント設定の変更なし（No change in endpoint settings）]：ユーザがブラウザプロキシを設定し（または設定しない）、設定されている場合はそのプロキシを使用できるようにします。
- [ブラウザプロキシの無効化（Disable browser proxy）]：ブラウザに定義されているプロキシ（ある場合）を使用しません。どのブラウザ接続もプロキシを経由しません。
- [自動検出設定（Auto detect settings）]：ブラウザでの自動プロキシサーバ検出の使用を有効にします。
- [カスタム設定の使用（Use custom settings）]：クライアントブラウザのプロキシを設定します。IP アドレスと、任意で HTTP プロキシサーバのポートを入力します（ホストとポートの合計は 100 文字を超えることはできません）。特定の Web サーバへの要求がプロキシを通ることを免除する場合、[プロキシ例外の追加（Add Proxy Exception）] をクリックします（例外リストでのポートの指定は任意です）。すべてのアドレスとポートを合わせたプロキシ例外リスト全体で、255 文字を超えることはできません。
[スプリットトンネリング（Split Tunneling）]：ユーザが安全な VPN トンネルを使用しているときに、ローカルネットワークまたはインターネットに直接アクセスできるようにするには、スプリットトンネリングを有効にします。VPN 接続をより安全にするには、スプリットトンネリングを無効のままにします。スプリットトンネリングを有効にする場合、[内部ネットワーク（Inside Networks）] リストで、リモートユーザがアクセスする内部ネットワークを表すネットワークオブジェクトも選択する必要があります。ネットワークリストには、サポートしているアドレスプールと同じ IP タイプを含める必要があります。指定されたネットワーク以外のネットワークでは、トラフィックを送信するためにユーザの ISP ゲートウェイが使用されます。
[NAT免除（NAT Exempt）]：リモートアクセス VPN エンドポイントとの入出力トラフィックに対する NAT 変換を免除するには、NAT 免除を有効にします。VPN トラフィックを NAT 免除にしない場合は、外部および内部インターフェイスに対する既存の NAT ルールが RA VPN アドレスプールに適用されないことを確認してください。NAT 免除ルールは特定の送信元/宛先インターフェイスとネットワークの組み合わせに対する手動スタティックアイデンティティ NAT ルールですが、NAT ポリシーには反映されず、非表示になります。NAT 免除を有効にした場合、以下も設定する必要があります。
- [内部インターフェイス（Inside Interfaces）]：リモートユーザがアクセスする内部ネットワークのインターフェイスを選択します。これらのインターフェイスに対して NAT ルールが作成されます。
- [内部ネットワーク（Inside Networks）]：リモートユーザがアクセスする内部ネットワークを表すネットワークオブジェクトを選択します。ネットワークリストには、サポートしているアドレスプールと同じ IP タイプを含める必要があります。
[AnyConnectクライアントプロファイル（AnyConnect Client Profiles）]：（オプション）外部インターフェイスの完全修飾ドメイン名を設定すると、デフォルトプロファイルが自動的に作成されます。代わりに、自分用のクライアントプロファイルをアップロードすることもできます。スタンドアロン AnyConnect プロファイルエディタを使用してこれらのプロファイルを作成します。スタンドアロン AnyConnect プロファイルエディタは、software.cisco.com からダウンロード、インストールできます。クライアントプロファイルを選択しない場合、AnyConnect クライアントはすべてのオプションにデフォルト値を使用します。このリストの項目は、プロファイル自体ではなく AnyConnect クライアントプロファイルオブジェクトです。新しいプロファイルを作成（およびアップロード）するには、ドロップダウンリストで [新規 AnyConnectクライアントプロファイルの作成（Create New AnyConnect Client Profile）] をクリックします。

ステップ 7

[次へ（Next）] をクリックします。

ステップ 8

サマリーを確認します。

最初に、サマリーが正しいことを確認します。

次に、[手順（Instructions）] をクリックし、AnyConnect ソフトウェアを最初にインストールし、VPN 接続が完了できることをテストするため、エンドユーザが何をする必要があるかを確認します。[コピー（Copy）] をクリックしてこれらの手順をクリップボードにコピーし、ユーザに配布します。

ステップ 9

[終了（Finish）] をクリックします。

リモートアクセス VPN グループによるリソースへのアクセスを制御する

ASA、または Firepower Management Center を使用する FTD デバイスでのリモートアクセス VPN の構成に精通している場合は、リモートアクセス VPN グループに基づいたネットワークのさまざまなリソースへのアクセス制御に慣れているかもしれません。

Firepower Device Manager を使用すると、単一のグループポリシーで単一の接続プロファイルを構成できます。ただし、アイデンティティポリシーとユーザグループベースのアクセス制御を実装することによってユーザグループに基づくアクセス制御もできます。

次の手順では、この構成について説明します。

始める前に

この手順では、リモートアクセス VPN および必要なアイデンティティレルムがすでに構成されていることを前提としています。ただし、アイデンティティとアクセス制御ポリシーを最初に構成してから、RA VPN を構成します。

この設定では、VPN トラフィックがアクセス制御ポリシーの対象となる必要があります。CLI で show running-config コマンドを使用して、no sysopt connection permit-vpn コマンドが表示されることを確認します。実行中のコンフィギュレーションにない場合、FlexConfig を使用してコマンドを設定します。

手順

ステップ 1	ディレクトリサーバで必要なユーザグループを構成します。ディレクトリサーバはユーザグループを持つ必要があり、それらのグループには、展開するポリシーに基づいて適切なユーザを含める必要があります。たとえば、エンジニアリングとマーケティングのユーザを区別し、異なるリソースへのグループのメンバーのアクセスを許可する場合、それらのユーザのためのグループがディレクトリサーバで定義されている必要があります。 FTD デバイス上で直接ユーザグループを作成することはできません。ユーザグループを作成する方法については、ディレクトリサーバのマニュアルを参照してください。
ステップ 2	[ポリシー（Policies）] > [アイデンティティ（Identity）] を選択し、アイデンティティポリシーを有効にして、RA VPN ユーザに対してアクティブ認証を適用するルールを作成します。アイデンティティポリシーは、RA VPN 接続と同じレルムを使用します。少なくとも、RA VPN 外部インターフェイスが含まれているゾーンの RA VPN アドレスプールの IP アドレスのアクティブ認証を要求するアイデンティティポリシーが必要です。すべてのアドレスとすべてのゾーンのアクティブ認証を要求する包括的なアイデンティティポリシーがあれば、その他のルールは必要ありません。ポリシーの有効化とルールの作成については、アイデンティティポリシーの設定を参照してください。アイデンティティポリシー認証を通じて収集された名前のみユーザベースのアクセス制御ポリシーに利用可能なため、アイデンティティルールを構成する必要があります。RA VPN 接続のみから取得したユーザ名は、アクセス制御ポリシーでは使用できません。
ステップ 3	メニューで [展開（Deploy）] をクリックし、[今すぐ展開（Deploy Now）] をクリックして変更を展開します。システムはディレクトリサーバへの接続を確立し、ユーザおよびユーザグループをダウンロードする必要があります。構成を展開すると、このユーザ/グループのダウンロードを開始します。展開を行わない場合、アクセス制御ルールでユーザとグループを選択できなくなります。
ステップ 4	[ポリシー（Policies）] > [アクセス制御（Access Control）] を選択し、グループベースのアクセス制御ルールを作成します。このとき RA VPN ユーザのディレクトリレルムグループを区別するためのアクセス制御ルールを作成できます。非常に一般的なルール、または具体的なターゲットのあるルールを作成できます。アクセス制御ルールの作成の詳細については、アクセスコントロールルールの設定を参照してください。たとえば、特定の RA VPN ユーザグループを対象とするルールは、[アクセスルールの追加/編集（Add/Edit Access Rule）] ダイアログボックスのタブに基づいて、次の条件を使用する可能性があります。 [送信元/宛先（Source/Destination）]、[ゾーン（Zones）]：[ソース（Source）] ゾーンに RA VPN 外部インターフェイスを含める必要があります。[宛先（Destination）] ゾーンには関連する内部インターフェイスをすべて含めることができます。 [送信元/宛先（Source/Destination）]、[ネットワーク（Networks）] および [ポート（Ports）]：[送信元（Source）] として RA VPN アドレスプールネットワークオブジェクトを選択し、[宛先（Destination）] として被制御リソースを定義するネットワーク（および必要に応じてポート）オブジェクトを選択します。宛先ネットワーク/ポートを選択する代わりに、要件により適切である場合は [アプリケーション（Application）] または [URL] タブを使用して宛先リソースを定義できます。 [ユーザ（Users）]：このタブの特定のディレクトリグループを選択します。これは、グループベースのアクセス制御を提供する条件です。 [アプリケーション（Application）]、[URLs]：[送信元/宛先（Source/Destination）] タブの宛先ネットワーク/ポート条件に加えて、またはそれらの代わりに、これらの条件を使用できます。たとえば、特定のサブネットへのルールを制限するネットワークオブジェクトを選択してから、対象となるネットワーク上のこれらのアプリケーションへのアクセスを制御するアプリケーションを選択できます。 [侵入ポリシー（Intrusion Policy）]、[ファイルポリシー（File Policy）]：要件に適合するオプションを選択します。これらのオプションは脅威を制御し、特定のリソースへのアクセスは制御しません。 [ロギング（Logging）]：要件に適合するオプションを選択します。監視ダッシュボードまたはイベントビューアの接続イベントに結果を表示するにはロギングを有効にする必要があります。

リモートアクセス VPN 設定の確認

リモートアクセス VPN を設定し、設定をデバイスに展開した後で、リモート接続を行えることを確認します。

問題が発生した場合は、トラブルシューティングトピックに目を通し、問題の分離と修正に役立てます。リモートアクセス VPN のトラブルシューティングを参照してください。

手順

ステップ 1	外部ネットワークから、AnyConnect クライアントを使用して VPN 接続を確立します。 Web ブラウザを使用して、https://`ravpn-address` を開きます。`ravpn-address` は、VPN 接続を許可する外部インターフェイスの IP アドレスまたはホスト名です。必要に応じて、クライアントソフトウェアをインストールし、接続を完了します。「AnyConnect ソフトウェアのインストール方法」を参照してください。
ステップ 2	デバイス CLI にログインします（CLI（コマンドラインインターフェイス）へのログインを参照）。または、CLI コンソールを開きます。
ステップ 3	show vpn-sessiondb コマンドを使用して、現在の VPN セッションに関する概要情報を表示します。統計情報では、アクティブな AnyConnect クライアントセッション、および累積セッション数、ピーク同時セッション数、非アクティブセッション数の情報が示されます。次は、コマンドからの出力例です。 > show vpn-sessiondb --------------------------------------------------------------------------- VPN Session Summary --------------------------------------------------------------------------- Active : Cumulative : Peak Concur : Inactive ---------------------------------------------- AnyConnect Client : 1 : 49 : 3 : 0 SSL/TLS/DTLS : 1 : 49 : 3 : 0 Clientless VPN : 0 : 1 : 1 Browser : 0 : 1 : 1 --------------------------------------------------------------------------- Total Active and Inactive : 1 Total Cumulative : 50 Device Total VPN Capacity : 10000 Device Load : 0% --------------------------------------------------------------------------- --------------------------------------------------------------------------- Tunnels Summary --------------------------------------------------------------------------- Active : Cumulative : Peak Concurrent ---------------------------------------------- Clientless : 0 : 1 : 1 AnyConnect-Parent : 1 : 49 : 3 SSL-Tunnel : 1 : 46 : 3 DTLS-Tunnel : 1 : 46 : 3 --------------------------------------------------------------------------- Totals : 3 : 142 --------------------------------------------------------------------------- --------------------------------------------------------------------------- IPv6 Usage Summary --------------------------------------------------------------------------- Active : Cumulative : Peak Concurrent ---------------------------------------------- AnyConnect SSL/TLS/DTLS : : : Tunneled IPv6 : 1 : 20 : 2 ---------------------------------------------------------------------------
ステップ 4	show vpn-sessiondb anyconnect コマンドを使用して、現在の AnyConnect VPN セッションに関する詳細情報を表示します。詳細情報には、使用されている暗号化、送信バイト数と受信バイト数などの統計情報が含まれます。VPN 接続を使用する場合、このコマンドを再発行すると送信バイト数と受信バイト数が変わるのがわかります。 > show vpn-sessiondb anyconnect Session Type: AnyConnect Username : priya Index : 4820 Assigned IP : 172.18.0.1 Public IP : 192.168.2.20 Assigned IPv6: 2009::1 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 27731 Bytes Rx : 14427 Group Policy : MyRaVpn\|Policy Tunnel Group : MyRaVpn Login Time : 21:58:10 UTC Mon Apr 10 2017 Duration : 0h:51m:13s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : c0a800fd012d400058ebfff2 Security Grp : none Tunnel Zone : 0

リモートアクセス VPN のモニタリング

リモートアクセス VPN 接続をモニタし、トラブルシューティングを行うには、CLI コンソールを開くか、またはデバイスの CLI にログインして、次のコマンドを使用します。

show vpn-sessiondb は VPN セッションに関する情報を表示します。これらの統計情報は clear vpn-sessiondb コマンドを使用してリセットできます。
show webvpn keyword はリモートアクセス VPN 設定に関する情報を表示します。統計情報とインストールされている AnyConnect イメージが含まれます。show webvpn ? と入力し、使用可能なキーワードを確認します。
show aaa-server はリモートアクセス VPN とともに使用されるディレクトリサーバに関する統計情報を表示します。

リモートアクセス VPN のトラブルシューティング

リモートアクセス VPN 接続の問題の原因は、クライアントまたは Firepower Threat Defense のデバイス設定の可能性があります。次の各項で、発生する可能性のある主な問題のトラブルシューティングについて説明します。

SSL 接続問題のトラブルシューティング

ユーザが AnyConnect クライアントをダウンロードするため、外部 IP アドレスに対し AnyConnect を使用せずに初めて SSL 接続しようとしたが接続できない場合には、次の手順を実行します。

クライアントワークステーションから、外部インターフェイスの IP アドレスに ping を実行できるかどうかを確認します。実行できない場合は、ユーザのワークステーションからそのアドレスまでのルートが存在しない原因を特定します。
クライアントワークステーションから、外部インターフェイスの完全修飾ドメイン名（FQDN）に ping を実行できるかどうかを確認します。この FQDN は、リモートアクセス（RA）VPN 接続プロファイルで定義されているものです。IP アドレスを ping できても、FQDN を ping できない場合は、クライアントおよび RA VPN 接続プロファイルで使用されている DNS サーバを更新し、FQDN と IP アドレスのマッピングを追加する必要があります。
外部インターフェイスで提示される証明書をユーザが承認していることを確認します。ユーザはこの証明書を永久に受け入れる必要があります。
RA VPN 接続設定を調べ、正しい外部インターフェイスを選択していることを確認します。よくある誤りとして、RA VPN ユーザに面している外部インターフェイスではなく、内部ネットワークに面している内部インターフェイスを選択していることがあります。
SSL 暗号化が適切に設定されている場合は、外部スニファを使用して、TCP スリーウェイハンドシェイクが正常に実行されるかどうかを確認します。

AnyConnect のダウンロードおよびインストールの問題のトラブルシューティング

ユーザが外部インターフェイスに SSL 接続可能で、AnyConnect パッケージをダウンロードおよびインストールできない場合、次の点を考慮してください。

クライアントのオペレーティングシステムに対応する AnyConnect パッケージをアップロードしていることを確認してください。たとえば、ユーザのワークステーションに Linux が搭載されているのに、Linux AnyConnect イメージをアップロードしなかった場合、インストールできるパッケージはありません。
Windows クライアントの場合、ソフトウェアのインストールには管理者権限が必要です。
Windows クライアントの場合は、ワークステーションで ActiveX を有効にするか、または JRE 1.5 以降（JRE 7 を推奨）をインストールする必要があります。
Safari ブラウザの場合、Java が有効であることが必要です。
別のブラウザを試してみてください。あるブラウザでは失敗しても、別のブラウザでは成功することがあります。

AnyConnect 接続問題のトラブルシューティング

外部インターフェイスに接続し、AnyConnect クライアントをダウンロードしてインストールできても、AnyConnect を使用して接続を完了できなかった場合、次のことを確認してください。

認証が失敗した場合、ユーザが正しいユーザ名とパスワードを入力しており、ユーザ名が認証サーバで正しく定義されていることを確認してください。認証サーバもデータインターフェイスのいずれかを使用してアクセス可能である必要があります。

（注）

認証サーバが外部ネットワークにある場合は、外部ネットワークへのサイト間 VPN 接続を設定し、リモートアクセス VPN インターフェイスアドレスを VPN 内に含める必要があります。詳細は、リモートアクセス VPN を使用して外部ネットワークのディレクトリサーバを使用する方法を参照してください。

リモートアクセス（RA）VPN 接続プロファイルで外部インターフェイスの完全修飾ドメイン名（FQDN）を設定した場合、クライアントデバイスから FQDN を ping できることを確認します。IP アドレスを ping できても、FQDN を ping できない場合は、クライアントおよび RA VPN 接続プロファイルで使用されている DNS サーバを更新し、FQDN と IP アドレスのマッピングを追加する必要があります。外部インターフェイスの FQDN を指定した時に生成されたデフォルトの AnyConnect クライアントプロファイルを使用している場合、DNS が更新されるまでは IP アドレスを使用するようにサーバアドレスを編集する必要があります。
外部インターフェイスで提示される証明書をユーザが承認していることを確認します。ユーザはこの証明書を永久に受け入れる必要があります。
ユーザの AnyConnect クライアントに複数の接続プロファイルが含まれている場合、正しいプロファイルを選択していることを確認します。
クライアント側の設定がすべて正しいと考えられる場合は、Firepower Threat Defense デバイスに SSH 接続し、debug webvpn コマンドを入力します。接続試行中に表示されたメッセージを確認します。

RA VPN トラフィックフローの問題のトラブルシューティング

ユーザが安全なリモートアクセス（RA）VPN 接続を確立できても、トラフィックの送受信ができない場合は、次の操作を実行してください。

クライアントを切断して再接続します。これで、問題が解決することがあります。
AnyConnect クライアントで、トラフィック統計を確認して、送信カウンタと受信カウンタの両方が増えているかどうかを確認します。受信パケットカウントがゼロのままの場合、Firepower Threat Defense デバイスはトラフィックを返していません。Firepower Threat Defense の設定に問題がある可能性があります。一般的な問題を次に示します。
- アクセスルールでトラフィックをブロックしている。アクセス制御ポリシーのルールで、ネットワーク内と RA VPN アドレスプール間のトラフィックを妨害しているルールがないかを確認します。デフォルトのアクションでトラフィックがブロックされている場合は、明示的な [許可（Allow）] ルールを作成する必要があります。
- NAT ルールが、RA VPN トラフィックでバイパスされていない。すべての内部インターフェイスの RA VPN 接続で NAT がオフに設定されていることを確認してください。または、NAT ルールが内部ネットワークとインターフェイス、および RA VPN アドレスプールと外部インターフェイス間の通信を妨害していないことを確認してください。
- ルートが誤って設定されている。すべての定義されたルートが有効で正しく機能していることを確認します。たとえば、外部インターフェイス用に定義したスタティック IP アドレスがある場合、ルーティングテーブルにデフォルトルート（0.0.0.0/0 および ::/0）が含まれていることを確認します。
- RA VPN の DNS サーバとドメイン名が正しく設定されており、クライアントシステムで正しく使用されていることを確認します。DNS サーバに到達可能であることを確認します。
- RA VPN でスプリットトンネリングが有効になっている場合、指定した内部ネットワークへのトラフィックがトンネルを通っており、他のすべてのトラフィックがトンネルをバイパスしている（Firepower Threat Defense デバイスが認識しない）ことを確認します。
Firepower Threat Defense デバイスに SSH 接続し、リモートアクセス VPN との間でトラフィックが送受信されていることを確認します。次のコマンドを使用します。
- show webvpn anyconnect
- show vpn-sessiondb

リモートアクセス VPN の例

以下に、リモートアクセス VPN を設定する例を示します。

外部インターフェイスでリモートアクセス VPN ユーザにインターネットアクセスを提供する方法（ヘアピニング）

リモートアクセス VPN では、リモートネットワーク上のユーザに自分のデバイスを介してインターネットにアクセスさせたい場合があります。ただし、インターネットに接続している同一インターフェイス（外部インターフェイス）上のデバイスにリモートユーザがアクセスしているため、インターネットトラフィックが外部インターフェイスの外側からそのまま返される必要があります。この手法はヘアピニングと呼ばれる場合もあります。

次の図は例を示しています。外部インターフェイス、198.51.100.1 に設定されているリモートアクセス VPN があります。リモートユーザの VPN トンネルを分割し、インターネットに向かうトラフィックを外部インターフェイスから戻し、内部ネットワークに向かうトラフィックはデバイスを通過し続けるようにできます。そのため、リモートユーザがインターネット上のサーバ（www.example.com など）にアクセスする場合、接続は最初に VPN を通過し、その後 198.51.100.1 インターフェイスからインターネットにルートバックされます。

次の手順では、このサービスの設定方法について説明します。

始める前に

この例は、デバイスが登録済み、リモートアクセス VPN ライセンスが適用済み、AnyConnect クライアントイメージがアップロード済みであることを前提としています。アイデンティティポリシーでも使用されるアイデンティティレルムも設定済みであると想定しています。

手順

ステップ 1

リモートアクセス VPN 接続プロファイルを設定します。

[デバイス（Device）] をクリックし、[リモートアクセスVPN（Remote Access VPN）] グループで [接続プロファイルの設定（Setup Connection Profile）] をクリックします。（プロファイルを設定済みの場合は、[設定の表示（View Configuration）] をクリックします。）

既存の接続の場合は、[編集（Edit）] をクリックしてプロファイルを変更します。
接続プロファイルの設定を行います。
- [接続プロファイル名（Connection Profile Name）]：名前、Corporate-RAVPN などを入力します。
- [ユーザ認証用ADレルム/ディレクトリサーバ（AD Realm/Directory Server for User Authentication）][ユーザ認証用アイデンティティソース（Identity Source for User Authentication）]：リモートユーザの認証に使用されるアイデンティティレルムを選択します。まだアイデンティティレルムを設定していない場合は、ドロップダウンリストの下部にある [新しいアイデンティティレルムの作成（Create New Identity Realm）] をクリックして作成します。
- [AnyConnectパッケージ（AnyConnect Packages）]：サポートするオペレーティングシステムごとに AnyConnect クライアントをアップロードします。アップロードが完了するまで待機してから、続行してください。
接続プロファイルの設定は次のようになります。
[次へ（Next）] をクリックして、デバイスアイデンティティのプロパティを設定します。
- [デバイスアイデンティティ証明書（Certificate of Device Identity）]：デバイスのアイデンティティを確立するために使用する内部証明書を選択します。クライアントはこの証明書を承認して、セキュアな VPN 接続を完了させる必要があります。独自の証明書がない場合は、DefaultInternalCertificate を使用できます。
- [外部インターフェイス（Outside Interface）]：リモートユーザが接続する外部インターフェイスを選択します。このインターフェイスには通常「外部」という名前が付けられます。
- [外部インターフェイス用完全修飾ドメイン名（Fully-qualified Domain Name for the Outside Interface）]：外部インターフェイスの DNS 名がわかっている場合はここで入力します。例、corporate-vpn.example.com。
ページのデバイスアイデンティティセクションは、次のようになります。
ページの下に進み、[IPv4アドレスプール（IPv4 Address Pool）] を設定し、必要に応じて [IPv6アドレスプール（IPv6 Address Pool）] を設定します。

ネットワークを識別するオブジェクトを選択します。リモートアクセス VPN ユーザには、このプールからアドレスが割り当てられます。たとえば、10.1.10.0/24 を指定するネットワークオブジェクト。オブジェクトが存在しない場合は、リストの下部にある [新しいネットワークの作成（Create New Network）] をクリックします。IPv6 アドレスをサポートする場合は、IPv6 のプールも設定します。
ページの下にスクロールし、リモート接続の DNS 設定を構成します。

使用する DNS サーバの IP アドレス、およびローカルドメイン名を入力します。例、example.com。[OpenDNS] をクリックして、OpenDNS サーバを使用できます。
[次へ（Next）] をクリックして下にスクロールし、[社内リソース（Corporate Resource）] オプションを設定します
（バナー、接続時間とタイムアウト、およびプロキシ設定も設定できますが、ヘアピニングとは直接関係がありません）。

次の設定は、リモートアクセス VPN でヘアピニングを可能にするために重要です。
- [スプリットトンネリング（Split Tunneling）]：この機能を無効にします。すべてのトラフィックを VPN ゲートウェイに向かわせる場合、スプリットトンネリングは、リモートクライアントが VPN の外部にあるローカルサイトやインターネットサイトに直接アクセスできるようにするための方法です。
- [NAT免除（NAT Exempt）]：この機能を有効にします。内部インターフェイスを選択し、内部ネットワークを定義するネットワークオブジェクトを選択します。この例では、オブジェクトは 192.168.1.0/24 を指定します。内部ネットワークに向かう RA VPN トラフィックは、アドレス変換されません。ただし、ヘアピニングされたトラフィックは外部インターフェイスの外に出るため、引き続き NAT が行われます。これは、NAT 免除は内部インターフェイスにのみ適用されるためです。
必要に応じて、[AnyConnectクライアントプロファイル（AnyConnect Client Profile）] を選択し、[次へ（Next）] をクリックします。
RA VPN の設定を確認してから [完了（Finish）] をクリックします。

ステップ 2

外部インターフェイスから送信されたすべての接続を外部 IP アドレス（インターフェイス PAT）のポートに変換するよう NAT ルールを設定します。

デバイスの初期設定を完了すると、InsideOutsideNatRule という名前の NAT ルールが作成されます。このルールは、外部インターフェイス経由でデバイスを抜ける任意のインターフェイスから、インターフェイス PAT を IPv4 トラフィックに充当します。外部インターフェイスは「任意の」送信元インターフェイスに含まれるため、必要なルールは、編集または削除していない限り、すでに存在しています。

次の手順で、必要なルールを作成する方法を説明します。

[ポリシー（Policies）] > [NAT] をクリックします。
次のいずれかを実行します。
- InsideOutsideNatRule を編集するには、[アクション（Action）] 列にマウスオーバーし、[編集（edit）] アイコン（）をクリックします。
- ルールを新規作成するには、[+] ボタンをクリックします。
次のプロパティを使用してルールを設定します。
- [タイトル（Title）]：新しいルールのわかりやすい名前をスペースを含めず入力します。たとえば、OutsideInterfacePAT と入力します。
- [ルールの作成先（Create Rule For）]：[手動NAT（Manual NAT）]。
- [配置（Placement）]：[自動NATルールの前（Before Auto NAT Rules）]（デフォルト）。
- [タイプ（Type）]：[ダイナミック（Dynamic）]。
- [元のパケット（Original Packet）]：[送信元アドレス（Source Address）] で [任意（Any）] または [any-ipv4] を選択します。[送信元インターフェイス（Source Interface）] で、[任意（Any）]（デフォルト）を選択していることを確認します。[元のパケット（Original Packet）] の他のすべてのオプションは、デフォルトの [任意（Any）] のまままにします。
- [変換後のパケット（Translated Packet）]：[宛先インターフェイス（Destination Interface）] で、[外部（outside）] を選択します。[変換後のアドレス（Translated Address）] で、[インターフェイス（Interface）] を選択します。[変換後のパケット（Translated Packet）] の他のすべてのオプションは、デフォルトの [任意（Any）] のまままにします。
次の図は、発信元アドレスに [任意（Any）] を選択したシンプルな例を示しています。
[OK] をクリックします。

ステップ 3

変更を保存します。

Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。
[今すぐ展開（Deploy Now）] ボタンをクリックします。

展開が完了するまで待機します。展開のサマリーに変更が正常に展開されたことが示され、ジョブのタスクステータスが [展開済み（Deployed）] になります。

リモートアクセス VPN を使用して外部ネットワークのディレクトリサーバを使用する方法

モバイルワーカーと在宅勤務者が内部ネットワークに安全に接続できるリモートアクセス VPN を設定できます。接続のセキュリティは、ユーザ接続を認証して、認可されたユーザだけがエントリを取得できるようにするディレクトリサーバによって異なります。

ディレクトリサーバが内部ネットワークではなく外部ネットワーク上にある場合、外部インターフェイスからディレクトリサーバを含むネットワークへのサイト間 VPN 接続を設定する必要があります。サイト間 VPN の設定の 1つのテクニック：サイト間 VPN 接続の「内部」ネットワーク内、および背後にディレクトリサーバが存在するデバイスのリモートネットワークに、リモートアクセス VPN デバイスの外部インターフェイスアドレスを含める必要があります。詳細については、次の手順を参照してください。

（注）

データインターフェイスを仮想管理インターフェイスのゲートウェイとして使用する場合、この設定により、アイデンティティポリシー用のディレクトリの使用も可能になります。データインターフェイスを管理ゲートウェイとして使用しない場合は、管理ネットワークから、サイト間 VPN 接続に参加する内部ネットワークへのルートがあることを確認します。

この使用例では、次のネットワークシナリオを実装します。


図のコールアウト	説明
1	192.168.4.6 に VPN 接続を行うリモートアクセスホスト。クライアントは 172.18.1.0/24 アドレスプールにあるアドレスを取得します。
2	リモートアクセス VPN をホストするサイト A。
3	サイト A とサイト B の FTD デバイスの外部インターフェイス間のサイト間 VPN トンネル。
4	ディレクトリサーバをホストするサイト B。
5	サイト B の内部ネットワークにあるディレクトリサーバ。

始める前に

この使用例は、デバイスのセットアップウィザードを使用して、通常のベースラインの構成を構築していることを前提としています。具体的には次のとおりです。

inside_zone から outside_zone に移動するトラフィックを許可（または信頼）する Inside_Outside_Rule アクセスコントロールルールがある。
inside_zone と outside_zone のセキュリティゾーン（それぞれ）に、内部インターフェイスと外部インターフェイスが含まれている。
内部インターフェイスから外部インターフェイスに移動するすべてのトラフィックに対してインターフェイス PAT を実行する InsideOutsideNATRule がある。デフォルトで内部ブリッジグループを使用するデバイスに、インターフェイス PAT 用のルールが複数存在する場合がある。
外部インターフェイスを指す、0.0.0.0/0 のスタティック IPv4 ルートがある。この例は、外部インターフェイスにスタティック IP アドレスを使用しているが、DHCP を使用してスタティックルートの動的取得も可能であることを前提としています。この例の場合、次のスタティックルートを想定しています。
- サイト A：外部インターフェイス、ゲートウェイは 192.168.4.254 です。
- サイト B：外部インターフェイス、ゲートウェイは 192.168.2.254 です。

手順

ステップ 1

ディレクトリサーバをホストする [サイトB（Site B）] にサイト間 VPN 接続を設定します。

[デバイス（Device）] をクリックし、[サイト間VPN（Site-to-Site VPN）] グループで [設定の表示（View Configuration）] をクリックします。
[+] ボタンをクリックします。
[エンドポイントの設定（Endpoint Settings）] に次のオプションを設定します。
- [接続プロファイル名（Connection Profile Name）]：名前を入力します（たとえば、サイト A への接続を示す、SiteA）。
- [ローカルサイト（Local Site）]：これらのオプションでローカルエンドポイントを定義します。
  - [ローカルVPNアクセスインターフェイス（Local VPN Access Interface）]：[外部（outside）] インターフェイス（図の 192.168.2.1 アドレスが付いているインターフェイス）を選択します。
  - [ローカルネットワーク（Local Network）]：[+] をクリックして、VPN 接続に参加する必要があるローカルネットワークを特定するネットワークオブジェクトを選択します。ディレクトリサーバはこのネットワーク上にあるため、サイト間 VPN に参加できます。オブジェクトがまだ存在していない場合、[新規ネットワークの作成（Create New Network）] をクリックして、192.168.1.0/24 ネットワークのオブジェクトを設定します。オブジェクトを保存したら、ドロップダウンリストでそのオブジェクトを選択し、[OK] をクリックします。
- [リモートサイト（Remote Site）]：これらのオプションでリモートエンドポイントを定義します。
  - [リモートIPアドレス（Remote IP Address）]：VPN 接続をホストするリモート VPN ピアのインターフェイスの IP アドレスである 192.168.4.6 を入力します。
  - [リモートネットワーク（Remote Network）]：[+] をクリックして、VPN 接続に参加する必要があるリモートネットワークを特定するネットワークオブジェクトを選択します。[新規ネットワークの作成（Create New Network）] をクリックして、次のオブジェクトを設定し、リストでそれらのオブジェクトを選択します。
    1. SiteAInside、ネットワーク、192.168.3.0/24。
    2. SiteAInterface、ホスト、192.168.4.6。重要ポイント：リモートアクセス VPN 接続ポイントのアドレスをサイト間 VPN 接続用のリモートネットワークの一部として含めて、当該インターフェイスでホストされている RA VPN でディレクトリサーバを使用可能にする必要があります。
終了すると、エンドポイントの設定は次のようになります。
[Next] をクリックします。
VPN のプライバシー設定を定義します。
この使用例は、強力な暗号化の使用を許可する輸出管理機能を承認していることを前提としています。これらの例の設定は、お客様のニーズとライセンスコンプライアンスに合わせて調整してください。
- [IKEバージョン2（IKE Version 2）]、[IKEバージョン1（IKE Version 1）]：デフォルト（[IKEバージョン2（IKE Version 2）] は有効で、[IKEバージョン1（IKE Version 1）] は無効）のままにします。
- [IKEポリシー（IKE Policy）]：[編集（Edit）] をクリックして、[AES-GCM-NULL-SHA] および [AES-SHA-SHA] を有効にし、[DES-SHA-SHA] を無効にします。
- [IPsecプロポーザル（IPsec Proposal）]：[編集（Edit）] をクリックします。[IPSecプロポーザルの選択（Select IPSec Proposals）] ダイアログボックスで [+] をクリックし、[デフォルトに設定（Set Default）] をクリックしてデフォルトの AES-GCM プロポーザルを選択します。
- [ローカルの事前共有キー（Local Preshared Key）]、[リモートピアの事前共有キー（Remote Peer Preshared Key）]：このデバイスおよび VPN 接続用のリモートデバイスに定義されているキーを入力します。これらのキーは IKEv2 では異なることがあります。キーは 1 ～ 127 文字の英数字で指定できます。サイト A のデバイスでサイト間 VPN 接続を作成するときに同じ文字列を設定する必要があるため、これらのキーは覚えておいてください。
IKE ポリシーは次のようになります。
[追加オプション（Additional Options）] を設定します。
- [NAT免除（NAT Exempt）]：内部ネットワークをホストするインターフェイスを選択します。この例では [内部（inside）]インターフェイス。通常、サイト間 VPN トンネル内のトラフィックの IP アドレスは変換しません。このオプションは、ローカルネットワークが（ブリッジグループのメンバーではなく）単一のルーテッドインターフェイスの背後に存在している場合にのみ機能します。ローカルネットワークが複数のルーテッドインターフェイスまたは 1 つ以上のブリッジグループのメンバーの背後にある場合、NAT 免除ルールを手動で作成する必要があります。必要なルールを手動で作成する方法の詳細については、NAT からのサイト間 VPN トラフィックの除外を参照してください。
- [Perfect Forward Secrecy用のDiffie-Helmanグループ（Diffie-Helman Group for Perfect Forward Secrecy）]：[グループ19（Group 19）] を選択します。このオプションは、暗号化された交換ごとに固有のセッションキーを生成および使用するために、Perfect Forward Secrecy（PFS）を使用するかどうかを決定します。固有のセッションキーを使用することで、後続の復号から交換が保護されます。また、交換全体が記録されていて、攻撃者がエンドポイントデバイスで使用されている事前共有キーや秘密キーを入手している場合であっても保護されます。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。
このオプションは次のようになります。
[次へ（Next）] をクリックします。
サマリーを確認し、[終了（Finish）] をクリックします。

サマリー情報がクリップボードにコピーされます。この情報はドキュメントに貼り付けて、リモートピアの設定、またはピアの設定責任者に送信するために使用できます。
Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。
[今すぐ展開（Deploy Now）] ボタンをクリックして、導入が正常に完了するまで待ちます。

これで、サイト B のデバイスがサイト間 VPN 接続の一端をホストできるようになりました。

ステップ 2

[サイトB（Site B）] デバイスからログアウトして、[サイトA（Site A）] デバイスにログインします。

ステップ 3

リモートアクセス VPN をホストする [サイトA（Site A）] にサイト間 VPN 接続を設定します。

[デバイス（Device）] をクリックし、[サイト間VPN（Site-to-Site VPN）] グループで [設定の表示（View Configuration）] をクリックします。
[+] ボタンをクリックします。
[エンドポイントの設定（Endpoint Settings）] に次のオプションを設定します。
- [接続プロファイル名（Connection Profile Name）]：名前を入力します（たとえば、サイト B への接続を示す、SiteB）。
- [ローカルサイト（Local Site）]：これらのオプションでローカルエンドポイントを定義します。
  - [ローカルVPNアクセスインターフェイス（Local VPN Access Interface）]：[外部（outside）] インターフェイス（図内 192.168.4.6 アドレスが付いているインターフェイス）を選択します。
  - [ローカルネットワーク（Local Network）]：[+] をクリックして、VPN 接続に参加する必要があるローカルネットワークを特定するネットワークオブジェクトを選択します。[新規ネットワークの作成（Create New Network）] をクリックして、次のオブジェクトを設定し、リストでそれらのオブジェクトを選択します。サイト B のデバイスに同じオブジェクトを作成しましたが、サイト A のデバイスでも再度同じオブジェクトを作成する必要があります。
    1. SiteAInside、ネットワーク、192.168.3.0/24。
    2. SiteAInterface、ホスト、192.168.4.6。重要ポイント：リモートアクセス VPN 接続ポイントのアドレスをサイト間 VPN 接続用の内部ネットワークの一部として含めて、当該インターフェイスでホストされている RA VPN でリモートネットワーク上のディレクトリサーバを使用可能にする必要があります。
- [リモートサイト（Remote Site）]：これらのオプションでリモートエンドポイントを定義します。
  - [リモートIPアドレス（Remote IP Address）]：VPN 接続をホストするリモート VPN ピアのインターフェイスの IP アドレスである 192.168.2.1 を入力します。
  - [リモートネットワーク（Remote Network）]：[+] をクリックして、VPN 接続に参加する必要があるリモートネットワークを特定する（ディレクトリサーバを含んでいる）ネットワークオブジェクトを選択します。[新規ネットワークの作成（Create New Network）] をクリックし、192.168.1.0/24 ネットワークのオブジェクトを設定します。オブジェクトを保存したら、ドロップダウンリストでそのオブジェクトを選択し、[OK] をクリックします。サイト B のデバイスに同じオブジェクトを作成しましたが、サイト A のデバイスでも再度同じオブジェクトを作成する必要があります。
終了すると、エンドポイントの設定は次のようになります。ローカルおよびリモートネットワークは、サイト B の設定と比べると反転している点に注意してください。これは、ポイントツーポイント接続の両端の通常の外観を示しています。
[次へ（Next）] をクリックします。
VPN のプライバシー設定を定義します。

サイト B 接続の場合と同じ IKE バージョン、ポリシー、および IPsec プロポーザルと、同じ事前共有キーを設定します。ただし、必ず、ローカル事前共有キーとリモート事前共有キーを逆にしてください。

IKE ポリシーは次のようになります。
[追加オプション（Additional Options）] を設定します。
- [NAT免除（NAT Exempt）]：内部ネットワークをホストするインターフェイスを選択します。この例では [内部（inside）]インターフェイス。通常、サイト間 VPN トンネル内のトラフィックの IP アドレスは変換しません。このオプションは、ローカルネットワークが（ブリッジグループのメンバーではなく）単一のルーテッドインターフェイスの背後に存在している場合にのみ機能します。ローカルネットワークが複数のルーテッドインターフェイスまたは 1 つ以上のブリッジグループのメンバーの背後にある場合、NAT 免除ルールを手動で作成する必要があります。必要なルールを手動で作成する方法の詳細については、NAT からのサイト間 VPN トラフィックの除外を参照してください。
- [Perfect Forward Secrecy用のDiffie-Helmanグループ（Diffie-Helman Group for Perfect Forward Secrecy）]：[グループ19（Group 19）] を選択します。
このオプションは次のようになります。
[次へ（Next）] をクリックします。
サマリーを確認し、[終了（Finish）] をクリックします。
Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。
[今すぐ展開（Deploy Now）] ボタンをクリックして、導入が正常に完了するまで待ちます。

これで、サイト A のデバイスがサイト間 VPN 接続のもう一端をホストできるようになりました。サイト B は互換性のある設定ですでに設定されているため、2 台のデバイスは VPN 接続をネゴシエートする必要があります。

デバイスの CLI にログインし、ディレクトリサーバに ping することで、接続を確認できます。show ipsec sa コマンドを使用して、このセッション情報を表示することもできます。

ステップ 4

[サイトA（Site A）] のディレクトリサーバを設定します。[テスト（Test）] をクリックして、接続があることを確認します。

[オブジェクト（Objects）] を選択し、目次から [アイデンティティレルム（Identity Realm）] [アイデンティティソース（Identity Sources）] を選択します。
[+] ボタンをクリックします。

基本レルムのプロパティを設定します。

[名前（Name）]：ディレクトリレルムの名前。例、AD。
[タイプ（Type）]：ディレクトリサーバのタイプ。サポートされるタイプは Active Directory のみで、このフィールドを変更することはできません。

[ディレクトリユーザ名（Directory Username）]、[ディレクトリパスワード（Directory Password）]：取得するユーザ情報に対して適切な権限を持つユーザの識別用ユーザ名とパスワード。Active Directory では、昇格されたユーザ特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザ名は Administrator@example.com（Administrator だけでなく）などの完全修飾名である必要があります。

（注）

この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=adminisntrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザは、共通名の「users」フォルダの下で設定する必要があります。

[ベースDN（Base DN）]：ユーザおよびグループ情報、つまり、ユーザとグループの共通の親を検索またはクエリするためのディレクトリツリー。例、cn=users,dc=example,dc=com。ベース DN の検索の詳細については、ディレクトリベースの DN の決定を参照してください。
[ADプライマリドメイン（AD Primary Domain）]：デバイスが参加する必要がある完全修飾 Active Directory ドメイン名。例、example.com。

ディレクトリサーバのプロパティを設定します。
- [ホスト名またはIPアドレス（Hostname/IP Address）]：ディレクトリサーバのホスト名または IP アドレス。サーバに対して暗号化された接続を使用する場合、IP アドレスではなく、完全修飾ドメイン名を入力する必要があります。この例では、「192.168.1.175」と入力します。
- [ポート（Port）]：サーバとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。この例では、389 のままにします。
- [暗号化（Encryption）]：ユーザおよびグループ情報のダウンロードに暗号化された接続を使用します。デフォルトは [なし（None）] で、ユーザおよびグループ情報はクリアテキストでダウンロードされます。RA VPN の場合は、LDAP over SSL である [LDAPS] を使用できます。このオプションを選択する場合は、ポート 636 を使用します。RA VPN は STARTTLS をサポートしていません。この例では、[なし（None）] を選択します。
- [信頼できるCA証明書（Trusted CA Certificate）]：暗号化方式を選択する場合、認証局（CA）の証明書をアップロードして、システムとディレクトリサーバ間の信頼できる接続を有効にします。認証に証明書を使用する場合、証明書内のサーバの名前は、サーバの [ホスト名または IP アドレス（Hostname/IP Address）] と一致している必要があります。たとえば、IP アドレスとして 192.168.1.175 を使用し、証明書では ad.example.com を使用している場合、接続は失敗します。
[テスト（Test）] ボタンをクリックして、システムがサーバに接続できることを確認します。

サーバアクセスには異なるプロセスが使用されるため、アイデンティティポリシーには使用できるが、リモートアクセス VPN には使用できないなど、あるタイプの使用においては接続が機能するが別のタイプでは機能しないことを示すエラーが表示されることがあります。サーバに到達できない場合は、正しい IP アドレスとホスト名を指定していること、DNS サーバに当該ホスト名のエントリなどが設定されていることを確認します。また、サイト間 VPN 接続が機能していること、サイト A の外部インターフェイスアドレスを VPN に含めていること、および NAT がディレクトリサーバのトラフィックを変換していないことを確認します。サーバのスタティックルートを設定する必要がある場合もあります。
[OK] をクリックします。

ステップ 5

[デバイス（Device）] > [スマートライセンス（Smart License）] > [設定の表示（View Configuration）] をクリックし、RA VPN ライセンスを有効にします。

RA VPN ライセンスを有効にする場合は、購入したライセンスのタイプ（Plus、Apex（または両方）、VPN Only）を選択します。詳細については、リモートアクセス VPN のライセンス要件を参照してください。

ステップ 6

サイト A のリモートアクセス VPN を設定します。

[デバイス（Device）] をクリックし、[リモートアクセスVPN（Remote Access VPN）] グループで [接続プロファイルの設定（Setup Connection Profile）] をクリックします。

AnyConnect クライアントの設定を定義します。

（注）

ここで入力する名前が、AnyConnect クライアントの接続リストに表示されます。ユーザにとって意味のある名前を選択します。

[ユーザ認証用ADレルム/ディレクトリサーバ（AD Realm/Directory Server for User Authentication）][ユーザ認証用アイデンティティソース（Identity Source for User Authentication）]：ディレクトリレルムを選択します。
[AnyConnectパッケージ（AnyConnect Packages）]：この VPN 接続でサポートする AnyConnect の完全なインストールソフトウェアイメージ。パッケージごとに、ファイル名（拡張子を含む）を 60 文字以下で指定します。Windows、Mac、Linux のエンドポイントに対して別々のパッケージをアップロードできます。

パッケージは software.cisco.com からダウンロードします（ページの最後に適切な場所へのリンクがあります）。エンドポイントにまだ適切なパッケージがインストールされていない場合、ユーザ認証後に、パッケージをダウンロードしてインストールするように求められます。

[次へ（Next）] をクリックします。

デバイス ID とクライアントアドレッシングの設定を定義します。

[デバイスIDの証明書（Certificate of Device Identity）]：DefaultInternalCertificate を選択します。これは、デバイスの ID の確立に使用される内部証明書です。クライアントはこの証明書を承認して、セキュアな VPN 接続を完了させる必要があります。他に使用したい証明書がある場合は、ドロップダウンリストで [新しい内部証明書の作成（Create New Internal Certificate）] をクリックして、その証明書をアップロードします。
[外部インターフェイス（Outside Interface）]：[外部（outside）]（192.168.4.6 の IP アドレスが設定されているインターフェイス）を選択します。これは、リモートアクセス VPN 接続を行うときにユーザが接続するインターフェイスです。

[外部インターフェイスの完全修飾ドメイン名（Fully-qualified Domain Name for the Outside Interface）]：インターフェイスの名前。例、ravpn.example.com。名前を指定すると、クライアントプロファイルが作成されます。この例では、空白のままにします。

（注）

VPN およびクライアントで使用される DNS サーバが、外部インターフェイスの IP アドレスに対してこの名前を解決できることを保証する必要があります。関連する DNS サーバに FQDN を追加します。

[IPv4、IPv6アドレスプール（IPv4, IPv6 Address Pools）]：これらのオプションでリモートエンドポイントのアドレスプールを定義します。この例では、IPv4 アドレスプールで [新規ネットワークの作成（Create New Network）] を選択し、172.18.1.0/24 ネットワークのオブジェクトを作成して、そのオブジェクトを選択します。クライアントには、このプールからアドレスが割り当てられます。IPv6 プールは空白のままにします。アドレスプールを外部インターフェイスの IP アドレスと同じサブネット上に設定することはできません。

オブジェクトは次のようになります。

プールの仕様は次のようになります。
[プライマリ、セカンダリDNSサーバ（Primary, Secondary DNS Servers）]：この例では、[OpenDNS] ボタンをクリックして、OpenDNS パブリック DNS サーバとともにこれらのフィールドをロードします。RA VPN クライアントは、VPN に接続するときに、これらの DNS サーバのクライアントを使用してドメイン名を解決します。必要に応じて、DNS サーバの IP アドレスを入力します。
[ドメイン検索名（Domain Search Name）]：ネットワークのドメイン名（example.com など）を入力します。このドメインは、完全修飾されていないホスト名（たとえば、serverA.example.com ではなく serverA）に追加されます。

[次へ（Next）] をクリックします。
AnyConnect クライアントの動作をカスタマイズするための接続の設定を定義します。
デフォルトの設定はほとんどのネットワークに適しているため、すべてのオプションをデフォルトのままにします。

[NAT免除（NAT Exempt）] を選択しているため、次のオプションを設定する必要があります。
- [内部インターフェイス（Inside Interfaces）]：[内部（inside）] インターフェイスを選択します。これらは、内部ネットワークのリモートユーザがアクセスするインターフェイスです。これらのインターフェイスには NAT ルールが作成されます。
- [内部ネットワーク（Inside Networks）]：SiteAInside ネットワークオブジェクトを選択します。これらは、内部ネットワークのリモートユーザがアクセスするオブジェクトを表すネットワークオブジェクトです。
[次へ（Next）] をクリックします。
サマリーを確認します。

最初に、サマリーが正しいことを確認します。

次に、[手順（Instructions）] をクリックして、AnyConnect ソフトウェアをインストールし、VPN 接続を完了できることをテストするためにエンドユーザが最初に行う必要がある内容を確認します。[コピー（Copy）] をクリックして、それらの手順をクリップボードにコピーし、テキストファイルまたは電子メールに貼り付けます。
[終了（Finish）] をクリックします。

ステップ 7

Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。

ステップ 8

[今すぐ展開（Deploy Now）] ボタンをクリックして、導入が正常に完了するまで待ちます。

これで、サイト A のデバイスが RA VPN の接続を承認できるようになりました。外部ユーザに AnyConnect クライアントをインストールさせて、VPN 接続を完了させます。

接続を確認するには、デバイス CLI にログインし、show vpn-sessiondb anyconnect コマンドを使用してセッション情報を表示します。

Cisco Firepower Threat Defense コンフィギュレーション ガイド（Firepower Device Manager バージョン 6.2.3 用）

偏向のない言語

翻訳について

検索結果

章のタイトル： リモート アクセス VPN

リモート アクセス VPN

リモート アクセス VPN の概要

デバイス モデル別の同時 VPN セッションの最大数

AnyConnect クライアント ソフトウェアのダウンロード

AnyConnect ソフトウェアのインストール方法

手順

リモート アクセス VPN のライセンス要件

リモート アクセス VPN に関する注意事項と制限事項

リモート アクセス VPN の設定

手順

クライアント プロファイルの設定およびアップロード

始める前に

手順

リモート アクセス VPN 接続の設定

始める前に

手順

リモート アクセス VPN グループによるリソースへのアクセスを制御する

始める前に

手順

リモート アクセス VPN 設定の確認

手順

リモート アクセス VPN のモニタリング

リモート アクセス VPN のトラブルシューティング

SSL 接続問題のトラブルシューティング

AnyConnect のダウンロードおよびインストールの問題のトラブルシューティング

AnyConnect 接続問題のトラブルシューティング

RA VPN トラフィック フローの問題のトラブルシューティング

リモート アクセス VPN の例

外部インターフェイスでリモート アクセス VPN ユーザにインターネット アクセスを提供する方法（ヘア ピニング）

始める前に

手順

リモート アクセス VPN を使用して外部ネットワークのディレクトリ サーバを使用する方法

始める前に

手順

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager バージョン 6.2.3 用）

章のタイトル：リモートアクセス VPN

リモートアクセス VPN

リモートアクセス VPN の概要

デバイスモデル別の同時 VPN セッションの最大数

AnyConnect クライアントソフトウェアのダウンロード

リモートアクセス VPN のライセンス要件

リモートアクセス VPN に関する注意事項と制限事項

リモートアクセス VPN の設定

クライアントプロファイルの設定およびアップロード

リモートアクセス VPN 接続の設定

リモートアクセス VPN グループによるリソースへのアクセスを制御する

リモートアクセス VPN 設定の確認

リモートアクセス VPN のモニタリング

リモートアクセス VPN のトラブルシューティング

RA VPN トラフィックフローの問題のトラブルシューティング

リモートアクセス VPN の例

外部インターフェイスでリモートアクセス VPN ユーザにインターネットアクセスを提供する方法（ヘアピニング）

リモートアクセス VPN を使用して外部ネットワークのディレクトリサーバを使用する方法