キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1973
閲覧回数
5
いいね!
0
コメント
lianggu
Cisco Employee
Cisco Employee

 

はじめに

本稿では、ASDM の AnyConnect VPN Wizard を利用して、Anyconnect IKEv2 クライアントを設定する方法を紹介します。

 

 

設定手順

  1. ASDM コンソールにログインします。

  2. Wizards > VPN Wizards > AnyConnect VPN Wizard… の順にクリックします。
    001.png
  3. Next ボタンをクリックします。
    002.png
  4. Connection Profile Name の欄に Tunnel Group 名を入力して、VPN Access Interface を Outside を選択します。
    003.png
  5. Next ボタンをクリックします。
  6. IPsec をチェックしてから、デバイス証明書を選択して、Next ボタンをクリックします。
    004.png

    注:IPSec Ikev2 を使用するには、事前に信頼された証明書の導入が必要となります。

    ASA の設定: SSL デジタル証明書のインストールと更新
    https://www.cisco.com/c/ja_jp/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html

  7. ADD ボタン > Browse Flash ボタンの順に AnyConnect Image を選択して、Upload ボタンをクリックします。
    005.png
  8. Next ボタンをクリックします。
    006.png
  9. AAA Server Group を LOCAL に選択します。
  10. Username と Password の欄にローカルユーザー名およびパスワードを指定して、 Add>> ボタンをクリックします。
    007.png
  11. 下記の図のように設定ままで Next ボタンをクリックします。
    008.png
  12. New ボタンをクリックして、VPN 用の IP アドレス範囲を設定します。
    009.png
  13. 設定した Address Pool を選択して、Next ボタンをクリックします。
    010.png
  14. DNS Serverや、Domain Name を指定して Nextボタンをクリックします。
    指定しない場合は、空欄のまま Nextボタンをクリックしてください。
    011.png
  15. NAT Exempt オプションを選択します。
    実際環境により、こちらの選択か、選択しないかご確認ください。

    012.png

    こちらのマニュアルでは、選択した例で対応します。
    013.png

  16. 必要により、Allow Web Launch をチェックして、Next ボタンをクリックします。
    014.png
    注:IPSec Ikev2 を利用するには、クライアントプロファイルを AnyConnect に導入する必要ががございます。
  17. 設定纏め情報を確認した上で、Finish ボタンをクリックします。
    015.png
  18. コマンド情報:

    ! write client profile "disk0:/IKev2_client_profile.xml" to ASA
    webvpn
    anyconnect profiles IKev2_client_profile disk0:/IKev2_client_profile.xml
    exit
    group-policy GroupPolicy_IKev2 internal
    group-policy GroupPolicy_IKev2 attributes
    vpn-tunnel-protocol ikev2
    webvpn
    anyconnect profiles value IKev2_client_profile type user
    exit
    group-policy GroupPolicy_IKev2 attributes
    dns-server value 10.124.58.200
    wins-server none
    default-domain value wowoo.com
    exit
    tunnel-group IKev2 type remote-access
    tunnel-group IKev2 general-attributes
    default-group-policy GroupPolicy_IKev2
    address-pool ac-pool
    tunnel-group IKev2 webvpn-attributes
    group-alias IKev2 enable
    crypto ikev2 policy 1
    group 2 5
    encryption aes-256
    crypto ikev2 policy 10
    group 2 5
    encryption aes-192
    crypto ikev2 policy 20
    group 2 5
    crypto ikev2 policy 30
    group 2 5
    encryption 3des
    crypto ikev2 policy 40
    group 2 5
    encryption des
    crypto ikev2 enable outside client-services port 443
    crypto ikev2 remote-access trustpoint SSL_TrustPoint line 2
    crypto ipsec ikev2 ipsec-proposal AES256
    protocol esp encryption aes-256
    protocol esp integrity md5 sha-1
    crypto ipsec ikev2 ipsec-proposal AES192
    protocol esp encryption aes-192
    protocol esp integrity md5 sha-1
    crypto ipsec ikev2 ipsec-proposal AES
    protocol esp encryption aes
    protocol esp integrity md5 sha-1
    crypto ipsec ikev2 ipsec-proposal 3DES
    protocol esp encryption 3des
    protocol esp integrity md5 sha-1
    crypto ipsec ikev2 ipsec-proposal DES
    protocol esp encryption des
    protocol esp integrity md5 sha-1
    crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
    crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
    crypto map outside_map interface outside

    事例 : AnyConnect 4.9.x へアップグレード後、AnyConnect IKEv2 が接続できなくなる
    https://community.cisco.com/t5/-/-/ta-p/4127114

    上記の事例により、Diffie-Hellman (DH) groups: 2, 5, 14, 24 以外のグループ情報を追加しております。

    ciscoasa# conf t
    ciscoasa(config)# crypto ikev2 policy 1
    ciscoasa(config-ikev2-policy)# group 19

  19. Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile の順に開きます。
    016.png
  20. 作成したClient Profile を選択して、Export ボタンにてエクスポートします。
  21. エクスポートした Client Profile を AnyConnect 対象マシンの下記のパスに置きます。

    C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

  22. 次では、クライアントマシン側で、AnyConnect を接続します。
    017.png
  23. ASDM の下記の順に接続セッションを確認します。

    Monitoring > VPN > VPN Statistics > Sessions
    018.png

    参考情報

    Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.10 
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします