キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
2504
閲覧回数
0
いいね!
3
返信

接続元のIPアドレスをつかった接続制限

M T
Level 1
Level 1

クライアントPCが、Anyconnectを使って、ASAに接続する時に、クライアントが使用するグローバル IPアドレスで、VPN接続を制限したいのですが、可能でしょうか?
接続後にDAPで制限ではなく、そもそも接続させない と言う事をしたいのですが可能でしょうか?

 

 

よろしくお願いします。

3件の返信3

Akira Muranaka
Level 8
Level 8

こんにちは!

 

私の知る限りは ASA自身ではできなかったとおもうので、ASAの手前のルーターなどで制御するのが良いのではと思います。できない理由ですが、RAVPNは 「to-the-box traffic」という特殊な通信の扱いになるため、通常のFirewall通信制御ができる「through-the-box traffic」と異なるためです。

 

構成例①:

{INTERNET}------[Router]-------[Remote Access VPN Server (ASA)]

 

 

もしくは、ASAや FTDの予備機がある or 新規購入する余力ある場合は、ASAの前に L2モード(インライン or トランスペアレント)で ASAもしくは FTDを導入し、L2 ACL制御するのも手かもしれません。 なお、FTDを利用した場合、地理情報に基づく通信制御も可能なので、例えば、日本以外の国からのアクセスはブロック、みたいな高度な制御も可能ではと思います。

 

構成例②:

{INTERNET}------[Router]-----[L2 Firewall]-----[Remote Access VPN Server (ASA)]

 

 

もしくは、多要素認証 (Cisco Duo) を利用時は、Duo側の GeoLocation Rules機能で 制御も可能のようですので、認証にDUOを利用するというのも手かもしれません。詳しくは以下ビデオの 6:31頃から紹介されてますー。

https://www.youtube.com/watch?v=iuU1nunc0m0

回答 ありがとうございます。

 

 やはりできないのですね。

 だいぶ前に、同じ事を調べては見ていたのですが、最近は、トンネルインターフェイス等の拡張が

 されていたので、調べて見たのですが分からなかったので、質問させて頂きました。

 現在も変わらないと言う事が分かり、助かりました。

 

こんにちは。

ご要望の件ですが、既に  Akira Muranaka様が回答されているように、ASA単体では難しいと思います。

認証サーバにCisco ISEを使っている場合は、接続してきたクライアントのグローバルIPが見えるので、認可条件の中でCalling Station IdやCiscoAVPairを指定すればあるいは可能になるかもしれませんが、試した事や実績はないので・・・