解決済み: ASAのクライアントレスVPN (WebVPN)において、デフォルト(443)以外のポートでHTTPSアクセスさせることが出来るか。

cja56910tf · ‎2022-10-27

Cisco ASA でクライアントレスVPN(WebVPN)機能を使っています。ユーザーがWebブラウザでアクセス＆接続した画面には、各社内システムに接続するためのブックマークを配置しており、そちらをクリックさせて社内の各Webシステムにアクセスさせています。

それらのWebページはhttpまたはhttpsによるアクセスなので、80/tcpまたは443/tcpを使っているのですが、一部のWebサーバでデフォルトの443/tcpではなく8443/tcpで待ち受けているものがあり、そちらもクライアントレスVPNのWeb画面経由でアクセスしたいという要望が出ました。

Cisco ASAでは上記要望を実現する事が可能でしょうか。もし可能な場合は、設定例も併せてご回答いただけますと助かります。

Akira Muranaka · ‎2022-11-10

こんばんは！

シンプルに、http://x.x.x.x:8443 といった具合で、アクセスしたいポート番号を最後に着けて頂くと如何でしょう？

私の環境でテストしたところ、内部のHTTPSサーバー(TCP8887で受け付け)にはClientless SSLVPN経由でアクセスできました。なぜかHTTPSサーバーの表示が文字化けして表示されてしまいましたが。。

元の投稿で解決策を見る

Akira Muranaka · ‎2022-11-10

こんばんは！

シンプルに、http://x.x.x.x:8443 といった具合で、アクセスしたいポート番号を最後に着けて頂くと如何でしょう？

私の環境でテストしたところ、内部のHTTPSサーバー(TCP8887で受け付け)にはClientless SSLVPN経由でアクセスできました。なぜかHTTPSサーバーの表示が文字化けして表示されてしまいましたが。。

cja56910tf · ‎2022-11-11

ご回答ありがとうございます。

やはり末尾にポート番号を付ける方法しかないようですね。

実は当方の環境でも同様に実施したのですが、文字化けしたりサイトが正常に表示されなかったりしたので、この方法では不適切？と思って投稿した次第です。

やはりASAのWebVPN機能にはあまり期待せず、専用のリバースプロキシを建てるなどの代替方法を検討したいと思います。

ご回答いただきましてありがとうございました。

Akira Muranaka · ‎2022-11-11

ご返信ありがとうございます！

ASAのクライアントレス SSL VPNは、ASA バージョン 8.xの頃からあるとても古い機能で、Webサイトが単純だった昔はよかったのですが、最近のWebサイトは最新技術てんこもりで複雑で、相性問題が発生しやすく、中継が段々難しくなってると聞いたことがあります。Web技術の変化の影響もあり、残念ながら、ASA 9.17以降でクライアントレス SSL VPNは廃止されています。。
https://www.cisco.com/c/ja_jp/td/docs/security/asa/compatibility/asa-vpn-compatibility.html#Cisco_Reference.dita_997914d9-683e-4da9-a2fb-a0ec9c92bcb4

安定したリモートアクセスには、ASAで複雑な中継が不要なAnyConnectや、ご検討頂いている「リバースプロキシの利用」や「そもそもクラウドでWebサイトを公開する」などの工夫が必要と思われます。

合わせてご参考になれば！

cja56910tf · ‎2022-11-11

追加の情報提供、誠にありがとうございます。

クライアントレスVPNは9.17系で終了になるとは知りませんでした。

現在は 9.16 Interimを使っているのでまだ大丈夫ですが、いずれはアップグレードしなければなりませんので、利用停止の方向で進めたいと思います。