ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

anyconnectでCISCO ASAにvpnする設定方法

Cisco AnyConnect で VPN 接続を行うには、「クライアント側(PC)」と「サーバー側(VPN機器:Cisco ASAやFirepowerなど)」の両方で設定が必要です。

全体構成

[PC]──Internet──[Cisco ASA]──[社内LAN]
  • PC:Cisco AnyConnect Secure Mobility Client
  • ASA:VPNサーバーとして動作
  • 認証:ローカルユーザー or RADIUSサーバー

Cisco ASA 側の設定手順

① AnyConnect パッケージの登録

ASAにAnyConnectクライアントのインストーラをアップロードします。

ASA(config)# webvpn
ASA(config-webvpn)# anyconnect image disk0:/anyconnect-win-4.x.x-k9.pkg 1
ASA(config-webvpn)# anyconnect enable

② ユーザー作成(ローカル認証の場合)

ASA(config)# username testuser password cisco123 privilege 0

③ IPプール作成

VPNクライアントに割り当てるアドレス範囲を設定します。

ASA(config)# ip local pool VPN_POOL 192.168.50.10-192.168.50.50 mask 255.255.255.0

④ トンネルグループ作成

ASA(config)# tunnel-group ANYCONNECT type remote-access
ASA(config)# tunnel-group ANYCONNECT general-attributes
ASA(config-tunnel-general)# address-pool VPN_POOL
ASA(config-tunnel-general)# default-group-policy ANYCONNECT_POLICY

⑤ グループポリシー設定

ASA(config)# group-policy ANYCONNECT_POLICY internal
ASA(config)# group-policy ANYCONNECT_POLICY attributes
ASA(config-group-policy)# vpn-tunnel-protocol ssl-client
ASA(config-group-policy)# split-tunnel-policy tunnelall
ASA(config-group-policy)# dns-server value 8.8.8.8

⑥ WebVPN 有効化

ASA(config)# webvpn
ASA(config-webvpn)# enable outside
ASA(config-webvpn)# anyconnect enable

⑦ HTTPSアクセスを有効化(クライアントが接続するためのURL)

ASA(config)# interface outside
ASA(config-if)# ip address 203.0.113.1 255.255.255.0
ASA(config)# http server enable

→ クライアントは次のURLにアクセス:

https://203.0.113.1/

クライアント側(AnyConnect)設定手順

  1. Cisco AnyConnect Secure Mobility Client を起動
  2. 接続先に ASA のアドレスを入力 https://203.0.113.1/
  3. ユーザー名とパスワードを入力
  4. 接続完了後、トレイアイコンが「鍵マーク」になればVPN確立

動作確認コマンド

ASA側

show vpn-sessiondb anyconnect
show webvpn session

トラブル時の確認ポイント

現象確認事項
接続できないoutsideインターフェースで443/tcpが開いているか確認
認証失敗ユーザー名・パスワード設定 or AAAサーバ設定
IPが割り当たらないIPプール設定、アドレス競合の確認
WebVPNページが開かないhttp server enablewebvpn enable outside を確認

補足:RADIUS認証を使う場合

外部のRADIUSサーバーを使いたい場合は以下を追加します:

ASA(config)# aaa-server RADIUS-SRV protocol radius
ASA(config-aaa-server-group)# aaa-server RADIUS-SRV (inside) host 10.1.1.10
ASA(config-aaa-server-host)# key radiuskey
ASA(config)# tunnel-group ANYCONNECT general-attributes
ASA(config-tunnel-general)# authentication-server-group RADIUS-SRV