AnyConnectの仮想アダプターのIPv6無効化について

athirano1 · ‎2017-10-22

こんにちは
ASA5540＋ASA OS 9.1(6.11)＋AnyConnect 3.1.13015を使って、エンドユーザーにSSL-VPNサービスを提供しています。
ユーザーは、Windows7またはWindows10パソコンを使用しています。

AnyConnectインストール時の仮想NWアダプターについて質問があります。
どなたかご回答いただけますでしょうか。

■質問内容
AnyConnectクライアントソフト（anyconnect-win-3.1.13015-pre-deploy-k9.msi）によるインストール時に
AnyConnectインストール時のオプション指定として、
仮想NWアダプターのIPv6機能を無効化できるでしょうか。（添付の画面キャプチャ参照）

インストール後に手動で変更することは、もちろんできるのですが、
対象ユーザー数が多く、自動でやりたい場合、
可能であれば、AnyConnectインストール時のオプション指定で対応したいと思います。
（自作のプログラム（VB Script/Power Shell）で対応することも可能かもしれませんが、極力簡単な方法にしたいです）

■問題となった事象（IPv6機能の無効化が必要だった理由）
ユーザーのうち特定拠点にて、AnyConnectが接続できなくなったという事象が発生しました。

・AnyConnectからのエラーメッセージ
「セキュアゲートウェイから送信されたクライアントのMTU設定が小さすぎます。
IPv6トラフィックをトンネリングするには、1280以上の値が必要です。
ネットワーク管理者にお問い合わせください。」

・事象発生のタイミング
社外に出る回線について、ビル内設置の終端機器の置き換え・ビル内の回線置き換え
（回線業者によると、機器はMTU値＝1300で設定してあるとのこと。残りのオフィス内の機器／PCはデフォルトのMTU=1500のままです。）

・対応方法
障害を再現させた環境で試しました。
１．netsh interface ipv4 set interface [アダプター名] mtu=1350より低い値　
アダプター名とは、「ワイヤレスネットワーク接続」とか「ローカルエリア接続」とか、AnyConnectの接続に使うアダプターの名前です。
→効果はあったが、一般ユーザーにガイドすることは難しいので断念

２．仮想NWアダプターのIPv6機能を無効化
PCのイベントビューアの出力をみると、接続確立時のMTU値の調整をする過程で、netsh interface ipv6 setコマンドを出すという無駄なことをしていました。
→AnyConnectの仮想アダプターのIPv6無効化をすることで、問題が解決しました。

なお、元々、ClientProfileでの"IP Protocol Supported"については、IPv4（Only）を指定していますが、今回の件には効果がなかったようでした。（添付の画面キャプチャ参照）

よろしくお願いします。

Akira Muranaka · ‎2019-12-01

こんにちは！

うーん、インストール時のNWアダプターの無効化は難しいような気がしますが (私が知らないだけですが。。)、代わりに、client bypass protocol機能を使ってみると如何でしょうか。 ASAからアサインしてないプロトコル(=IPv6)のトンネルのバイパスができるかもしれません。結果、IPv6はトンネル経由でなくなるため、IPv6経由通信のダウンは避けれるかと思います。リモートVPNの提供サービスがIPv4のみの場合は特に効果的かと思います。

以下は実機でCLI実施時のHELP例です。

ASA5500(config-group-policy)# group-policy TEST attribute
ASA5500(config-group-policy)# client-bypass-protocol ?

group-policy mode commands/options:
  disable  Client should drop traffic for protocols for which it has not received an address.
  enable   Client should bypass the tunnel for protocols for which it has not received an address.
ASA5500(config-group-policy)#

以下は設定ガイドからの抜粋です。

https://www.cisco.com/c/ja_jp/td/docs/security/vpn_client/anyconnect/anyconnect44/administration/guide/b_AnyConnect_Administrator_Guide_4-4/b_AnyConnect_Administrator_Guide_4-4_chapter_011.html#ID-1428-0000038a

VPN をバイパスするための IPv4 または IPv6 トラフィックの設定
たとえば、IPv4 アドレスのみ AnyConnect 接続に割り当てられ、エンドポイントがデュアル スタックされていると想定してください。エンドポイントが IPv6 アドレスへの到達を試みた場合、クライアント バイパス プロトコルが無効になっていると、IPv6 トラフィックはドロップされます。クライアント バイパス プロトコルが有効になっていると、IPv6 トラフィックはクライアントからクリア テキストで送信されます。

あと、そもそものIPv6クライアントのエラー問題は以下の不具合の影響かもなので、既に試して頂いているWorkaroundの実施や、AnyConnectをバージョンアップすれば解消されるかもです。3.1系や4.0系最新では修正されているようです。

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuo93772

VPN Connection Fails with Error "MTU too small"
CSCuo93772

Symptom:
When trying to connect from a machine with a physical interface MTU of 1366 or lower, AnyConnect sometimes fails with the error message "The client's MTU configuration sent from the secure gateway is too small. A value of at least 1280 is required in order to tunnel IPv6 traffic. Please contact your network administrator."

Conditions:
Seen using AnyConnect 3.1.05160 and ASA version 9.1(5), with physical interface MTU between 1357 and 1368.