2013-05-31 04:58 PM
担当エキスパート:土佐 明(Akira Tosa)
Cisco Japan TAC のカスタマーサポートエンジニアとして、セキュリティ製品のサポートを行なっており、現在は主にVPN/AAAを担当しています。
ディスカッション開催期間:2013年6月3日~2013年6月16日
[質問の回答方法]
サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。
もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。
エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。
あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!
[エキスパートからの回答について]
質問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容に よっ ては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。
ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。
2013-06-07 02:45 PM
CiscoASA5505にてL2LのIPsecVPNを2拠点で接続しております。
※拠点Aが当社
拠点A local network: 192.168.52.0/24
拠点B remote network: 192.168.10.0/24
拠点B側に192.168.9.0/24, 192.168.11.0/24 のサブネットがあり、拠点Aからこの2つのサブネットへ192.168.10.0/24行きの同一トンネルを使ってルートさせる設定をご教授いただきたく。
以上、よろしくお願いいたします。
2013-06-10 10:31 AM
各サブネットのトラフィックの通過を許可するAccess-listがトンネルに関連付けられていると思います。
そのAccess-listに対し、通過を許可したいサブネットを追加することで、一つのトンネルで複数サブネットのトラフィックを扱うことが可能になります。
[[設定例]]
拠点A:
access-list xxxx extended permit ip 192.168.52.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list xxxx extended permit ip 192.168.52.0 255.255.255.0 192.168.9.0 255.255.255.0 <- 追加
access-list xxxx extended permit ip 192.168.52.0 255.255.255.0 192.168.11.0 255.255.255.0 <- 追加
拠点B:
access-list yyyy extended permit ip 192.168.10.0 255.255.255.0 192.168.52.0 255.255.255.0
access-list yyyy extended permit ip 192.168.9.0 255.255.255.0 192.168.52.0 255.255.255.0 <- 追加
access-list yyyy extended permit ip 192.168.11.0 255.255.255.0 192.168.52.0 255.255.255.0 <- 追加
2013-06-07 05:48 PM
現在AnyConnectによる接続環境に対し、Host scanを用いてアンチウィルスの稼働状
況を確認することを検討しています。
監視対象となるアンチウィルスのソフトの種類に制限等ありますでしょうか?
宜しくお願い致します。
2013-06-10 10:57 AM
host scanエンジンがサポートしている、アンチウィルスの対応表は以下のサイトより提供しています。
監視が可能な対象ソフトウェアの種類やバージョンに加え、対応する監視・管理機能の対応も記載されていますので、ご参照いただければと思います。
Cisco AnyConnect Secure Mobility Client - Compatibility Information
http://www.cisco.com/en/US/products/ps10884/products_device_support_tables_list.html
2013-06-11 04:49 PM
VPNのフォーラムでも投稿させていただいた内容ですが、こちらで質問させて頂きます。
現在、以下のような環境でIPHONE等からルーターにIPSEC VPNでアクセスできるように設定を行っています。
Router1 (PPPOE 固定IP)
Router2 (動的IP DDNSで運用)
Dialer1 PPPOEのアカウントなどの設定
Dialer1にCrypto MAPを適用
この環境と併用してRouter1とRouter2で拠点間VPNの構築を行おうとしているのですが、Crypto MAPは一つのインタフェースに複数適用できないようでここでつまづいています。。
参考にしたサイトは以下の所です。
http://www.cisco.com/cisco/web/support/JP/102/1022/1022131_initaggr-j.html
Router2に関しては動的IPなのでアグレッシブモードで設定するところまではわかったのですが、ここに記載しているコンフィグではWan側のインタフェースにCryptoMAPを適用しています。
VPNの設定が1つであれば、この説明通りに行えばうまくいけそうなのですが、既にVPNの設定が複数ある場合にどのように適用したらいいかわからずアドバイス頂けるとたすかります。
crypto map IPSEC 1 ipsec-isakmp
crypto map IPSEC 2 ipsec-isakmp
このように同一の名前で作成しDialerなどに crypto map IPSEC とすれば問題無いのかACLなどを利用しなければいけないのかわかりません。。
Routerはどちらも1812jです。
宜しくお願いします。
2013-06-14 12:00 PM
こちらの設定例が、参考になるかと思います。
http://www.cisco.com/cisco/web/support/JP/102/1020/1020020_ezvpn.html
こちらの設定の場合、拠点間の通信はEzVPNのクライアントとして動作しており、外部とはPATを用いてアドレス変換する形になりますので、EzVPNのサーバー側のネットワークからリモート側のネットワークへのアクセスが制限されます。
これを解決するためには、リモート側の動作モードを"Network Extension Mode (NEM)"とすることで双方から通信を確立することができるようになるかと思います。
こちらも、併せましてご検討いだたければと思います。
2013-06-14 02:28 PM
ご返信ありがとうございます。
こちらの内容で改めて設定してみますが、WAN側が動的IPのルーターに関してACLはどのように書けば良いのでしょうか。
おそらく固定IPの場合は以下のように記載しなければいけないとおもいます。
access-list 100 permit udp any host WAN側固定IP eq isakmp
access-list 100 permit udp any host WAN側固定IP eq non500-isakmp
WAN側固定IPの部分にDDNSなどで取得したドメイン名を記載することも難しいようなので、
ルーターのローカル側のGW192.168.0.254等を代わりに記載しても有効なのでしょうか。
最後に、アグレッシブモードでVPNを接続する場合と、記載頂いたURLにあるクライアントモードで接続する場合の
違いなど参考になるドキュメントがあればお知らせ頂けると助かります。
宜しくお願いします。
2013-06-17 09:33 AM
端末情報:
Model /MacbookPro
OS /MacOS 10.8.4
Cisco AnyConnect Secure Mobility Client ver.3.1.02040
------------------------------------
AnyConnectVPN接続時のタイムアウト値設定を変更(延長)することは可能でしょうか?
状況としましては、上記端末からAnyConnect Secure Mobility Client にて接続を試みると、
MaxOSの管理者パスワードを求められます。(添付画像①)
(ログインユーザーは管理者権限を持っています。)
そこで、PWを入力して[許可]をクリックしますが、PWが長いせいか、接続がタイムアウトしてしまいます。
(添付画像②)
現在、短めのPWに変更したことで、タイムアウトは回避できるようになりましたが、
Cisco AnyConnect Secure Mobility Client上の設定にて、タイムアウト値を伸ばすことができれば、理想です。
そのように設定を変更することは可能でしょうか?
宜しくお願い致します。
2013-06-17 09:43 AM
Kinoshita様、
せっかくご質問をこちらに投稿いただいたのですが、
昨日16日で質問は締め切りとさせていただきました。
申し訳ありませんが、通常のVPNコミュニティでの
回答をお待ちいただけますよう、どうぞよろしくお願いいたします。
サポートコミュニティ事務局
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド