キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
704
閲覧回数
0
いいね!
3
返信

ASA55XX-XのVPN設定について

riverhand33
Level 1
Level 1

riverhand33と申します。ASA5515-XでのリモートアクセスVPNの設定について教えてください。

構成は以下の通りです。

①WAN側インターフェイス(ifname:internet/security-level0)-----グローバルアドレス

②DMZ側インターフェイス(ifname:dmz/security-level50)-----グローバルアドレス

③LAN側インターフェイス(ifname:dmz/security-level100)-----プライベートアドレス

②のDMZ側インターフェイスでcrypto map とISAKMP/IKEv1を有効

(DMZインターフェイスがリモートアクセスユーザの接続ポイント)

検証でうまく動作しません。

この構成(DMZインターフェイスでVPN有効にする事に対して)で問題ないのでしょうか?

切り分けとして①のWAN側インターフェイスに同crypto map とISAKMP/IKEv1を有効した場合

正常に動作しました。

なにかしらDMZインターフェイスでVPN設定を有効にした場合、他に設定がいるのでしょうか?

3件の返信3

hamburger14
Level 1
Level 1

こんにちは、DMZが接続ポイントというのは、実際にVPNクライアントからリクエストを直接受信するインターフェースがDMZということで相違ないでしょうか?その場合はinternetにcrypto map を適用したパターンと、dmz にcrypto map を適用したパターンそれぞれのConfig、接続成功/不可時のSyslogを添付していただくとご質問内容や問題点がもう少し明確なるかなと思います。

hamburger14様

①DMZは直接うけません。

 リモート側からのリクエストはWAN側インターフェイス

 (ifname:internet/security-level0)から入ってきます。のでaccess-listでin側で

 permit ip any anyをいれてテストしています。

 ログを添付しておきます。

 XXXXX.dmz.txtがうまく動作しない方のログとなります。

riverhand33さま、こんにちは。クライアントからのVPNの接続要求は crypto map を有効にした Ingress Interface で着信しないかぎり、ASA は VPN の処理を開始しないと思います。これは Security Level や ACL の設定等の工夫で回避できるといったものではないので、特に差し支えないようでしたら、internet で終端されてはいかがでしょう?