|
ASAのSSL-VPNのコンフィグステップ(Step 1〜 3)を事前にCisco ASA SSL-VPN Part1でご参考下さい。
◇ Step 4 : グループポリシーの設定
グループポリシーは、SSL接続用のユーザ関連の属性と値のペアがセットになったものです。この情報は
内部的(ローカル)に保存されるか、外部のRADIUSサーバに保存されます。VPNクライアントサーバ間の
SSL-VPNの確立後、ユーザ接続の条件を設定するグループポリシーが使用される。これによりユーザの
グループに属性セット全体を適用できるので、ユーザごとに各属性を個別に指定する必要がなくなります。
ユーザにグループ ポリシーを割り当てたり特定のユーザのグループ ポリシーを変更するためには、以下の
group-policy コマンドを入力します。ASAのデフォルトグループを変更できますが、デフォルトとは異なる
グループポリシーを作成したい場合、デフォルトグループを変更せず、新しくグループを作成するのが推奨。
※ デフォルトのグループポリシーは、show running-config all group-policy DfltGrpPolicy で確認できる。
※ デフォルトのグループポリシーは常に内部(internal)に適用される。これを外部(external)に変更できない。
◆ 内部グループポリシーの設定
(config)# group-policy name type
◆ 設定例 : “SSLG1” という内部グループポリシーの設定
| (config)# group-policy SSLG1 internal |
◆ グループポリシー属性の設定
(config)# group-policy name attribute
◆ 設定例 : “SSLG1” という内部グループポリシー属性の設定
| (config)# group-policy SSLG1 attribute |
◆ WINSサーバ/DNSサーバの設定
(config-group-policy)# wins-server value ip-address ip-address
(config-group-policy)# dns-server value ip-address ip-address
◆ 設定例 : WINSサーバに 10.1.1.10 10.1.1.20 の2つを指定しDNSサーバに 10.2.2.10 10.2.2.20 の2つを指定する設定
(config)# group-policy SSLG1 attribute
(config-group-policy)# wins-server value 10.1.1.10 10.1.1.20
(config-group-policy)# dns-server value 10.2.2.10 10.2.2.20
|
◆ グループポリシーのVPNトンネルタイプの設定
(config-group-policy)# vpn-tunnel-protocol [ ikev1 | ikev2 | l2tp-ipsec | ssl-client | ssl-clientless ]
◆ 設定例 : "SSLG1"のグループポリシーでは、AnyConnect によるSSL-VPN接続するための設定
(config)# group-policy SSLG1 attribute
(config-group-policy)# vpn-tunnel-protocol ssl-client
|
◆ スプリットトンネリングの設定
(config-group-policy)# split-tunnel-policy [ tunnelall | tunnelspecified | excludespecified ]
⇒ tunnelall = ASA以外の宛先に送信されなくなる。実質的なスプリットトンネリングのディセーブル。
⇒ tunnelspecified = 指定したネットワークとの間のトラフィックのみがトンネリング。スプリットトンネリングのイネーブル。
◆ 設定例 : "NEWG1"のグループポリシーでスプリットトンネリングをイネーブルにする設定
(config)# group-policy SSLG1 attribute
(config-group-policy)# split-tunnel-policy tunnelspecified
|
◆ スプリットトンネリング用のネットワークリストの設定
(config-group-policy)# split-tunnel-network-list value acl-name
◆ 設定例 : 192.168.1.0/24 宛てのトラフィックをトンネルを通過するトラフィックと指定する設定
(config)# access-list SPLIT standard permit 192.168.1.0 255.255.255.0
(config)# group-policy SSLG1 attribute
(config-group-policy)# split-tunnel-policy tunnelspecified
(config-group-policy)# split-tunnel-network-list value SPLIT
|
◆ 永続的なクライアントインストールの設定
(config)# group-policy name attributes
(config-group-policy)# webvpn
(config-group-webvpn)# anyconnect keep-installer none
⇒ デフォルトでは、イネーブル(anyconnect keep-installer installed)なので、ソフトウェアはアンインストールされない。
◆ 設定例 : 永続的なクライアントインストールのディセーブル化の設定
(config)# group-policy SSLG1 attributes
(config-group-policy)# webvpn
(config-group-webvpn)# anyconnect keep-installer installed none
|
◇ Step 5 : トンネルグループの設定
◆ IPsecリモートアクセストンネルグループ(接続プロファイル)の作成
(config)# tunnel-group name type type
◆ 設定例 : remote-accessのタイプで、TESTというグループを作成する設定
| (config)# tunnel-group TEST type remote-access |
◆ トンネルグループの“General属性モード”に入り、そのトンネルグループで使用するアドレスプールを指定
(config)# tunnel-group name general-attributes
(config-general)# address-pool name
◆ 設定例 : “TEST”というトンネルグループで “SSLPOOL” というアドレスプールを使用する設定
(config)# tunnel-group TEST general-attributes
(config-general)# address-pool SSLPOOL
|
◆ トンネルグループの“General属性モード”に入り、デフォルトのグループポリシーとは異なるポリシーを選択する設定
(config)# tunnel-group name general-attributes
(config-general)# default-group-policy name
◆ 設定例 : “TEST”というトンネルグループで“SSLG1”というグループポリシーを割り当てる設定
(config)# tunnel-group TEST general-attributes
(config-general)# default-group-policy SSLG1
|
◆ グループリストに表示されるグループエイリアスの作成とイネーブル
(config)# tunnel-group name webvpn-attributes
(config-tunnel-webvpn)# group-alias name enable
◆ 設定例 : “TEST”というトンネルグループで“TEST”というエイリアス名を作成し、イネーブルにする設定
(config)# tunnel-group TEST webvpn-attributes
(config-tunnel-webvpn)# group-alias TEST enable
|
◇ Step 6 : NAT免除(例外)ルールの設定
◆ 設定例 : 全ての送信元アドレスから、宛先ネットワーク“192.168.2.0/24”への通信はNAT免除する設定
object network VPNPOOL
subnet 192.168.2.0 255.255.255.0
nat (inside,outside) source static any any destination static VPNPOOL
VPNPOOL
|
|