こんにちは。またもやご無沙汰となってしまいました。ごめんなさい。

 

さて、昨今の情勢もあり、在宅勤務ソリューションにスポットが当たっています。

当社でも、リモートアクセスVPNを筆頭に、オフィスの WLAN 環境を自宅まで延長するアクセスポイントや IOS ルータの VPN を駆使した Cisco Virtual Office など、様々なソリューションがございます。

 

今回は、いちばん手っ取り早いであろう、リモートアクセス VPN について、

「10分(程度)で作るリモートアクセス VPN 環境設定サンプル」

と題したネタを書いてみたいと思います。

 

「今すぐできる対策がほしい!」というリクエストに対し、用意する機器はASA5500 だけで、設定が10分程度で完了するような設定手順をご紹介いたします。

なお、failover 構成はここでは考慮していません。

 

用意するもの:

ASA5500 シリーズを、必要な同時接続ユーザ数やパフォーマンスに応じて。

AnyConnect Premium License を同時接続ユーザ分、または AnyConnect Essentials License を1つ

・iPhone / iPad からの接続が必要であれば、AnyConnect Mobile License を1つ

・ASA Software(Version 8.4(1) で説明します)

・ASDM Software(Version 6.4(1) で説明します)

・AnyConnect Software(Version 3.0 で説明します)

 

前提:

Interface 設定、ASDM アクセス制御などは完了しているものとします。

 

環境:

シンプルに以下のように設定するものとします。

1.JPG

 

実はここまでできていると、ASDM には「AnyConnect VPN Wizard」という、質問に答えていく形で簡単に設定できる機能があるんです。

 

画面上部から AnyConnect VPN Wizard を起動してください。

 

2.jpg

 

Wizard が始まります。

 

3.jpg

Connection Profile (Tunnel Group) という、AnyConnect VPN 接続前の情報を定義するグループを作成します。

適当な名前を入力し、VPN 接続サービスを提供する Interface を選んでください。

 

4.jpg

 

AnyConnect 3.0 では SSL-VPN 以外に IKEv2 の IPsec にも対応しています。今回は SSL-VPN のみ利用することにします。

 

5.jpg

 

AnyConnect の Software Image をここで upload してください。MacOS や Linux がある場合にも同様に Image を upload してください。

なお、iPhone / iPad 向けには不要です。iPhone や iPad は AppStore から AnyConnect をインストールしておいてください。

(iPhone / iPad だけで利用する場合には、Windows 用の AnyConnect Image を upload しておいてください)

 

6.jpg

 

7.jpg

ユーザ認証のためのアカウントを ASA ローカルに作成します。もちろん、RADIUS や LDAP サーバを参照することもできますが、ここではまずは ASA ローカル認証を設定します。

 

8.jpg

 

AnyConnect で接続してきたクライアントに払いだす IP アドレスプールを設定します。IPv6 にも対応しています

 

9.jpg

 

10.jpg

 

同様に、参照させる DNS サーバやドメイン名を指定しておきます。

 

11.jpg

 

もしも NAT や PAT を実施している ASA ならば、払い出した IP アドレス宛てのパケットが ASA に戻ってきたときに NAT させないようにここで NAT 除外の設定を行います。今回は割愛します。

 

12.jpg

 

ここまで設定すると、クライアントに AnyConnect を deploy する方法を説明する画面が表示されて、

 

13.jpg

 

設定のサマリーが表示されます。Finish をクリックして設定を反映させましょう。

 

14.jpg

 

これで SSL-VPN のフルトンネルでの AnyConnect が利用できます。

iPhone / iPad 向けの特別な設定は要りません(Connect on Demand 利用時は、証明書認証が必須ですのでご注意ください)。

 

ここまで、10分くらいで設定できます!(たぶん

急ぎで立ち上げなくてはいけない場合に、参考にしてみてください。

 

なお、クライアントメッセージを日本語化したい場合には、cisco.com のダウンロードサイトにあるサンプルファイルから、AnyConnect.poというファイルを、以下にインストールしてください。(iPhone / iPad は未対応ですが、coming soon!)

 

15.jpg

 

もちろん、ASDM からダウンロードして、ご自身で適切な日本語化ファイルを作成していただいても構いません。

 

というわけで、機会があれば、是非、触ってみてください。かなり簡単ですよ

 

小林@シスコ