以前はASA5505自体をインターネットとLANの境界のFWとして利用していたためにoutsideインタフェースでIPSecの接続を終端してinside側のコンピュータにアクセスできるように設定していました。
Cisco ASAとiPhone, iPadをVPN接続
https://www.tekitouniyaruwa.com/2011/09/03/cisco-asa%e3%81%a8iphone-ipad%e3%82%92vpn%e6%8e%a5%e7%b6%9a/
引越してauひかりの1GbpsとなったためASA5505を境界に設置するとボトルネックになってしまいます。そのため1Gbps対応のホームゲートウェイをそのまま利用して、LAN内にASAを設置する構成にしました。
ホームゲートウェイはNECのAterm BL900HWです。
http://www.au.kddi.com/support/internet/guide/modem/gateway-05/
下の図が今回のネットワークです。
インターネット上のVPN ClientsからIPSec, SSL-VPNでアクセスできるようにしました。
以下がコンフィグです。
-->
: Saved
:
ASA Version 8.0(5)
!
hostname ciscoasa
domain-name *****
names
name 192.168.9.10 mac
!
!他のインタフェースは必要ないため削除
interface Vlan1
nameif inside
security-level 100
ip address 192.168.9.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa805-k8.bin
ftp mode passive
clock timezone JST 9
dns domain-lookup inside
!VPNで接続してきたクライアントがinsideにアクセスするためにはインタフェース間のsame-security-trafficをpermitする必要がある
same-security-traffic permit intra-interface
object-group service sslvpn tcp-udp
port-object eq 443
access-list SPLIT_TUNNEL standard permit 192.168.9.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
logging buffer-size 1048576
logging buffered warnings
logging asdm informational
mtu inside 1500
! IPSecクライアントへ割り当てるアドレスのプール
ip local pool VPN_POOL 192.168.10.1-192.168.10.10 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
asdm image disk0:/asdm-623.bin
no asdm history enable
arp timeout 14400
route inside 0.0.0.0 0.0.0.0 192.168.9.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DMAP 1 set transform-set IPSEC
crypto map CMAP 1 ipsec-isakmp dynamic DMAP
crypto map CMAP interface inside
crypto ca trustpoint LOCAL_CA
enrollment self
fqdn *****
subject-name CN=*****
keypair sslvpnkeypair
crl configure
crypto ca certificate chain LOCAL_CA
certificate *****
quit
crypto isakmp identity address
crypto isakmp enable inside
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
telnet 192.168.10.0 255.255.255.0 inside
telnet 192.168.9.0 255.255.255.0 inside
telnet timeout 10
ssh timeout 5
console timeout 10
management-access inside
dhcpd auto_config
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 133.243.238.163
webvpn
enable inside
svc image disk0:/anyconnect-win-2.4.0202-k9.pkg 1
svc image disk0:/anyconnect-macosx-i386-2.4.0202-k9.pkg 2
svc enable
tunnel-group-list enable
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL
default-domain value local
split-dns value local
address-pools value VPN_POOL
webvpn
url-list value MyBookmarks
homepage none
tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
default-group-policy GroupPolicy1
tunnel-group TunnelGroup1 webvpn-attributes
group-alias SSLVPNClient enable
tunnel-group TunnelGroup1 ipsec-attributes
pre-shared-key *
!
class-map tcp-class
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect tftp
inspect sip
inspect xdmcp
inspect dns preset_dns_map
inspect icmp
!
service-policy global_policy global
prompt hostname context
: end
今回苦労したのはsame-security-traffic permit intra-interfaceを入れなければならないという点でした。outsideインタフェースで終端してinsideインタフェースからトラフィックが出る場合は必要なかったのですがinsideインタフェースで終端して同じインタフェースからトラフィックが流れてLAN内にアクセスする場合は必要となります。
売り上げランキング: 76815