購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2505
閲覧回数
0
いいね!
3
返信

接続元のIPアドレスをつかった接続制限

M T
Level 1
Level 1

‎2021-10-19 03:23 PM

クライアントPCが、Anyconnectを使って、ASAに接続する時に、クライアントが使用するグローバル IPアドレスで、VPN接続を制限したいのですが、可能でしょうか?
接続後にDAPで制限ではなく、そもそも接続させない と言う事をしたいのですが可能でしょうか?

 

 

よろしくお願いします。

0 いいね!
3件の返信3

Akira Muranaka
Level 8
Level 8

‎2021-10-19 04:20 PM ‎2021-10-19 04:24 PM 更新

こんにちは!

 

私の知る限りは ASA自身ではできなかったとおもうので、ASAの手前のルーターなどで制御するのが良いのではと思います。できない理由ですが、RAVPNは 「to-the-box traffic」という特殊な通信の扱いになるため、通常のFirewall通信制御ができる「through-the-box traffic」と異なるためです。

 

構成例①:

{INTERNET}------[Router]-------[Remote Access VPN Server (ASA)]

 

 

もしくは、ASAや FTDの予備機がある or 新規購入する余力ある場合は、ASAの前に L2モード(インライン or トランスペアレント)で ASAもしくは FTDを導入し、L2 ACL制御するのも手かもしれません。 なお、FTDを利用した場合、地理情報に基づく通信制御も可能なので、例えば、日本以外の国からのアクセスはブロック、みたいな高度な制御も可能ではと思います。

 

構成例②:

{INTERNET}------[Router]-----[L2 Firewall]-----[Remote Access VPN Server (ASA)]

 

 

もしくは、多要素認証 (Cisco Duo) を利用時は、Duo側の GeoLocation Rules機能で 制御も可能のようですので、認証にDUOを利用するというのも手かもしれません。詳しくは以下ビデオの 6:31頃から紹介されてますー。

https://www.youtube.com/watch?v=iuU1nunc0m0

0 いいね!

M T
Level 1
Level 1
Akira Muranakaに対する応答

‎2021-10-19 04:47 PM

回答 ありがとうございます。

 

 やはりできないのですね。

 だいぶ前に、同じ事を調べては見ていたのですが、最近は、トンネルインターフェイス等の拡張が

 されていたので、調べて見たのですが分からなかったので、質問させて頂きました。

 現在も変わらないと言う事が分かり、助かりました。

 

0 いいね!

cja56910tf
VIP
VIP

‎2021-10-21 10:19 AM

こんにちは。

ご要望の件ですが、既に  Akira Muranaka様が回答されているように、ASA単体では難しいと思います。

認証サーバにCisco ISEを使っている場合は、接続してきたクライアントのグローバルIPが見えるので、認可条件の中でCalling Station IdやCiscoAVPairを指定すればあるいは可能になるかもしれませんが、試した事や実績はないので・・・

0 いいね!
Customers Also Viewed These Support Documents