Cisco ASA で VPN 接続時、最初の通信に失敗する？？

macOS をあるバージョンにアップグレードしたタイミングから「VPN 接続中、Web アクセスすると初回は失敗する。リロードすると成功する」という事象に悩まされていました… 具体的には初回 Web アクセスが ERR_SOCKET_NOT_CONNECTED という Web ブラウザの エラーで失敗します。

あれこれ調べていたのですが Cisco AnyConnect and IPv6 という記事で以下の記載を見つけました。

If you are a network engineer in this day and age, then you are probably familiar with and regularly using IPv6 (at least on your home lab network). I personally run my home network dual-stacked and have been recently annoyed by how VPN clients (mostly Cisco AnyConnect) handle dual-stacked clients. I have found that when left unconfigured (using defaults), AnyConnect likes to dump all IPv6 traffic silently on dual-stacked clients. This causes IPv6 enabled public websites and services (just the unpopular ones…like Google, YouTube, Facebook, etc) to hang while trying to connect using the looked up AAAA DNS record.

Here are a few tricks I have found to configure AnyConnect to properly handle dual-stacked clients to keep those eyeballs happy. The IPv6 must flow!

上記のページには Using Local Internet (Split Tunnel を想定) と Tunnel Internet Traffic (Split Tunnel していないことを想定) の、ふたつのケースにおける設定例が記載されています。 私の環境は Split Tunnel している為、Using Local Internet の設定例を参考にさせて頂きました。 そのまま設定例を拝借させて頂きますが、具体的な設定は下記です。

ip local pool VPNPOOL 10.1.160.0-10.1.160.254 mask 255.255.255.0
ipv6 local pool VPNPOOLv6 1::1/64 256
!
access-list SSL_VPN extended permit ip 10.100.0.0 255.255.0.0 any4
access-list SSL_VPN extended permit ip host 1::1 any6
!
group-policy SSLVPN_GP internal
group-policy SSLVPN_GP attributes
 dns-server value 8.8.8.8
 vpn-simultaneous-logins 100
 vpn-tunnel-protocol ssl-client ssl-clientless
 split-tunnel-policy tunnelspecified
 ipv6-split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SSL_VPN
 address-pools value VPNPOOL
 ipv6-address-pools value VPNPOOLv6

私のローカル macOS は Dual Stack なのですが ASA 側で払い出すアドレスプールは IPv4 だけである為、ASA に IPv6 関連の設定はしていませんでした。 ですが、このページの設定例の通り (IPv6 使っていないのですが…) IPv6 を設定してみたところ、少なくても今のところは問題が発生しなくなりました！ このまま通信が安定することを願います…