Cisco ASA で AnyConnect 用のコンフィグをメモしておきます。ASA は 9.6(2) を使いました。
検証環境
- WAN 回線は PPPoE 接続
- DNS は Google DNS を利用
- NTP は Google NTP を利用
- AnyConnect はローカル認証(RADIUS や LDAP、クライアント証明書は利用しない)
- AnyConnect 接続時の SSL/TLS サーバ証明書は、ASA の自己証明書を利用
- AnyConnect 接続時はトンネルグループを選択させない
基本的な設定
パラメータ
項目 | 値 |
---|---|
ホスト名 | asa |
ドメイン名 | example.local |
PPPoE 接続ユーザ | PPPoE-USER@DOMAIN |
PPPoE 接続パスワード | PPPoE-PASS |
outside インターフェイス | GigabitEthernet1/1 |
outside アドレス | (PPPoE 接続時、動的に決定) |
inside インターフェイス | GigabitEthernet1/2 |
inside アドレス | 172.31.98.253/24 |
DNS サーバ 1 | 8.8.8.8 |
DNS サーバ 2 | 8.8.4.4 |
NTP サーバ 1 | 216.239.35.0 |
NTP サーバ 2 | 216.239.35.4 |
NTP サーバ 3 | 216.239.35.8 |
NTP サーバ 4 | 216.239.35.12 (優先) |
コンフィグ
hostname asa
domain-name example.local
!
username ADMIN password ADMIN-PASS privilege 15
!
vpdn group VPDN-GROUP request dialout pppoe
vpdn group VPDN-GROUP localname PPPoE-USER@DOMAIN
vpdn group VPDN-GROUP ppp authentication chap
vpdn username PPPoE-USER@DOMAIN password PPPoE-PASS
!
interface GigabitEthernet1/1
nameif outside
security-level 0
pppoe client vpdn group VPDN-GROUP
ip address pppoe setroute
no shutdown
!
interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 172.31.98.253 255.255.255.0
no shutdown
!
clock timezone JST 9
!
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8 outside
name-server 8.8.4.4 outside
domain-name example.local
!
no pager
logging enable
!
mtu outside 1454
!
route inside 172.16.0.0 255.240.0.0 172.31.98.254 1
!
object network OBJ_LAN
subnet 172.16.0.0 255.240.0.0
nat (inside,outside) dynamic interface
!
aaa authentication ssh console LOCAL
!
ssh 172.16.0.0 255.240.0.0 inside
ssh timeout 60
ssh version 2
console timeout 60
!
ntp server 216.239.35.0
ntp server 216.239.35.4
ntp server 216.239.35.8
ntp server 216.239.35.12 prefer
!
policy-map global_policy
class inspection_default
inspect icmp
!
no service call-home
clear config call-home
!
end
SSH 接続用 RSA 鍵の生成
SSH 接続を受け入れる為に RSA 鍵を生成しておきます。
asa(config)# crypto key generate rsa modulus 2048
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: yes
Keypair generation process begin. Please wait...
AnyConnect の設定
パラメータ
項目 | 値 |
---|---|
AnyConnect クライアント用アドレス範囲 | 192.168.250.100 〜 199/24 |
ASA の LAN 側を集約したアドレス | 172.16.0.0/12 |
AnyConnect 接続ユーザ | USER1 |
AnyConnect 接続パスワード | USER1-PASS |
コンフィグ
ip local pool POOL_ANYCONNECT 192.168.250.100-192.168.250.199 mask 255.255.255.0
!
object network OBJ_POOL_ANYCONNECT
subnet 192.168.250.0 255.255.255.0
!
nat (inside,outside) source static OBJ_LAN OBJ_LAN destination static OBJ_POOL_ANYCONNECT OBJ_POOL_ANYCONNECT
!
access-list ACL_OUTSIDE-TO-INSIDE extended permit icmp any4 any4 time-exceeded
access-list ACL_OUTSIDE-TO-INSIDE extended permit icmp any4 any4 unreachable
access-list ACL_OUTSIDE-TO-INSIDE extended permit ip object OBJ_POOL_ANYCONNECT object OBJ_LAN
!
access-group ACL_OUTSIDE-TO-INSIDE in interface outside
!
access-list ACL_SPLIT_TUNNEL extended permit ip object OBJ_LAN any
!
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.2.04039-k9.pkg 1
anyconnect image disk0:/anyconnect-macosx-i386-4.2.04039-k9.pkg 2
anyconnect enable
!
group-policy POLICY_ANYCONNECT internal
group-policy POLICY_ANYCONNECT attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_SPLIT_TUNNEL
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool POOL_ANYCONNECT
default-group-policy POLICY_ANYCONNECT
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-alias SSL-VPN enable
!
username USER1 password USER1-PASS
username USER1 attributes
service-type remote-access
!
end
コメント