2015-12-14 10:53 PM
riverhand33と申します。ASA5515-XでのリモートアクセスVPNの設定について教えてください。
構成は以下の通りです。
①WAN側インターフェイス(ifname:internet/security-level0)-----グローバルアドレス
②DMZ側インターフェイス(ifname:dmz/security-level50)-----グローバルアドレス
③LAN側インターフェイス(ifname:dmz/security-level100)-----プライベートアドレス
②のDMZ側インターフェイスでcrypto map とISAKMP/IKEv1を有効
(DMZインターフェイスがリモートアクセスユーザの接続ポイント)
検証でうまく動作しません。
この構成(DMZインターフェイスでVPN有効にする事に対して)で問題ないのでしょうか?
切り分けとして①のWAN側インターフェイスに同crypto map とISAKMP/IKEv1を有効した場合
正常に動作しました。
なにかしらDMZインターフェイスでVPN設定を有効にした場合、他に設定がいるのでしょうか?
2015-12-16 11:41 AM
こんにちは、DMZが接続ポイントというのは、実際にVPNクライアントからリクエストを直接受信するインターフェースがDMZということで相違ないでしょうか?その場合はinternetにcrypto map を適用したパターンと、dmz にcrypto map を適用したパターンそれぞれのConfig、接続成功/不可時のSyslogを添付していただくとご質問内容や問題点がもう少し明確なるかなと思います。
2015-12-17 09:16 PM
①DMZは直接うけません。
リモート側からのリクエストはWAN側インターフェイス
(ifname:internet/security-level0)から入ってきます。のでaccess-listでin側で
permit ip any anyをいれてテストしています。
ログを添付しておきます。
XXXXX.dmz.txtがうまく動作しない方のログとなります。
2015-12-22 01:38 PM
riverhand33さま、こんにちは。クライアントからのVPNの接続要求は crypto map を有効にした Ingress Interface で着信しないかぎり、ASA は VPN の処理を開始しないと思います。これは Security Level や ACL の設定等の工夫で回避できるといったものではないので、特に差し支えないようでしたら、internet で終端されてはいかがでしょう?
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド