本稿では、ASDM の AnyConnect VPN Wizard を利用して、Anyconnect IKEv2 クライアントを設定する方法を紹介します。
設定手順
-
ASDM コンソールにログインします。
- Wizards > VPN Wizards > AnyConnect VPN Wizard… の順にクリックします。
- Next ボタンをクリックします。
- Connection Profile Name の欄に Tunnel Group 名を入力して、VPN Access Interface を Outside を選択します。
- Next ボタンをクリックします。
- IPsec をチェックしてから、デバイス証明書を選択して、Next ボタンをクリックします。
注:IPSec Ikev2 を使用するには、事前に信頼された証明書の導入が必要となります。
ASA の設定: SSL デジタル証明書のインストールと更新
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html
- ADD ボタン > Browse Flash ボタンの順に AnyConnect Image を選択して、Upload ボタンをクリックします。
- Next ボタンをクリックします。
- AAA Server Group を LOCAL に選択します。
- Username と Password の欄にローカルユーザー名およびパスワードを指定して、 Add>> ボタンをクリックします。
- 下記の図のように設定ままで Next ボタンをクリックします。
- New ボタンをクリックして、VPN 用の IP アドレス範囲を設定します。
- 設定した Address Pool を選択して、Next ボタンをクリックします。
- DNS Serverや、Domain Name を指定して Nextボタンをクリックします。
指定しない場合は、空欄のまま Nextボタンをクリックしてください。
-
NAT Exempt オプションを選択します。
実際環境により、こちらの選択か、選択しないかご確認ください。
こちらのマニュアルでは、選択した例で対応します。
- 必要により、Allow Web Launch をチェックして、Next ボタンをクリックします。
注:IPSec Ikev2 を利用するには、クライアントプロファイルを AnyConnect に導入する必要ががございます。
- 設定纏め情報を確認した上で、Finish ボタンをクリックします。
-
コマンド情報:
! write client profile "disk0:/IKev2_client_profile.xml" to ASA
webvpn
anyconnect profiles IKev2_client_profile disk0:/IKev2_client_profile.xml
exit
group-policy GroupPolicy_IKev2 internal
group-policy GroupPolicy_IKev2 attributes
vpn-tunnel-protocol ikev2
webvpn
anyconnect profiles value IKev2_client_profile type user
exit
group-policy GroupPolicy_IKev2 attributes
dns-server value 10.124.58.200
wins-server none
default-domain value wowoo.com
exit
tunnel-group IKev2 type remote-access
tunnel-group IKev2 general-attributes
default-group-policy GroupPolicy_IKev2
address-pool ac-pool
tunnel-group IKev2 webvpn-attributes
group-alias IKev2 enable
crypto ikev2 policy 1
group 2 5
encryption aes-256
crypto ikev2 policy 10
group 2 5
encryption aes-192
crypto ikev2 policy 20
group 2 5
crypto ikev2 policy 30
group 2 5
encryption 3des
crypto ikev2 policy 40
group 2 5
encryption des
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint SSL_TrustPoint line 2
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity md5 sha-1
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity md5 sha-1
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity md5 sha-1
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity md5 sha-1
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity md5 sha-1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
事例 : AnyConnect 4.9.x へアップグレード後、AnyConnect IKEv2 が接続できなくなる
https://community.cisco.com/t5/-/-/ta-p/4127114
上記の事例により、Diffie-Hellman (DH) groups: 2, 5, 14, 24 以外のグループ情報を追加しております。
ciscoasa# conf t
ciscoasa(config)# crypto ikev2 policy 1
ciscoasa(config-ikev2-policy)# group 19
- Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile の順に開きます。
- 作成したClient Profile を選択して、Export ボタンにてエクスポートします。
-
エクスポートした Client Profile を AnyConnect 対象マシンの下記のパスに置きます。
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
- 次では、クライアントマシン側で、AnyConnect を接続します。
-
ASDM の下記の順に接続セッションを確認します。
Monitoring > VPN > VPN Statistics > Sessions
参考情報
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.10