Re: Ask Me Anything イベント: Secure Remote Workers - 2ページ

CiscoJapanModerator · ‎2020-03-25

このイベントに参加するには、 をクリックして質問してください

AnyConnect、ASA、FTD、Duo、Umbrella などのシスコセキュアリモートワーキングテクノロジーにういて話し合うためのトピックです。このセッションでは、エキスパートが Emergency ライセンス、デザイン、設定、トラブルシューティングについて回答します。エキスパートは 12 のタイムゾーンで回答します。また、みなさまのニーズにお応えするために、このセッションは複数の言語に翻訳されます。

このフォーラムイベントはセキュリティソリューションに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。

3 月 23 日（月）より 4 月 3 日（金）まで、質問を投稿できます。

エキスパート

Divya Nair は、ノースカロライナ州ローレイ在住のセキュリティビジネスグループのテクニカルマーケティングエンジニアです。ファイアウォール、IPS、VPN、AAA などのシスコネットワークセキュリティテクノロジーに 10 年以上携わり、現在は VPN およびファイアウォールマネージメントを主に担当しています。Divya は、コンピュータ科学技術の学士号を取得しています。

Jonny Noble は、Cisco Umbrella とそのまわりの技術のエキスパートで、クラウドセキュリティのテクニカルマーケティングチームをリードしています。Jonny は、20 年以上お客様のグローバル、かつ最新の技術に携わってきました。また、様々なセッションでプレゼンをおこなったり、Cisco Live をはじめとする多くのイベント、トレードショー、展示会などでラボのプロクターを担当してきました。Jonny は電子工学、社会学の学位、およびビジネス MBA と CISSP を取得しています。

Aditya Ganjoo は、インドバンガロール在住のテクニカルマーケティングエンジニアです。7 年ほどシスコでファイアウォール、VPN、AAA などのセキュリティ分野を担当しています。Aditya は ASA、および VPN 技術トレーニングも担当してきました。情報技術の学士号、セキュリティの CCIE（CCIE#58938）を取得しています。シスコサポートコミュニティにもたくさん参加しており、Cisco Live でも多くのセッションを担当しています。

質問が多数となる場合、Divya、Aditya、Jonny の3人とも回答できない場合があります。その場合は、引き続きセキュリティコミュニティをご利用ください。

その他のイベント：https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=japanese-community

** 評価のお願い **
質疑応答の評価にぜひご協力ください

このイベントに参加するには、をクリックして質問してください

CiscoJapanModerator · ‎2020-03-31

ご回答ありがとうございます。

anyconnectにいるときに機能し、"split-dns value test.com"を削除すると、物理アダプタとパブリックIPアドレスを介してパブリックDNS（ISP）に送信されます。
ローカルLANで動いている内部DNSサーバー（パケットキャプチャをすぐに共有できる）にも送信されます。
anyconnect MACアドレスが00：11：22：33：44：55と表示される理由を教えてください。

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-31

MACアドレスは、次のホップになる送信先IP用です。
ACのMACアドレスは"0-05-9A-3C-7A-00"です。

AnyConnectドライバはネイティブDNSリゾルバを妨げません。VPNが接続されている場合、AnyConnectが常に優先アダプターとなっているネットワークアダプター順にDNSレソリューションが実行されます。
さらに、DNSクエリは最初にトンネル経由で送信され、分解されない場合、リゾルバはパブリックインターフェイスを介して分解を試みます。
split-includeアクセスリストには、トンネルDNSサーバーをカバーするサブネットが含まれています。AnyConnect4.2を開始するにあたって、トンネルDNSサーバーのホストルートは、AnyConnectクライアントによってsplit-includeネットワーク（安全なルート）として自動的に追加されるため、split-includeアクセスリストは、トンネルDNSサーバーサブネットを明示する必要がなくなりました。

この現象が起きているのではないかと思われます。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

ご回答ありがとうございます。
ACLからサブネットを削除しましたが同じ問題が起きます。

Wiresharkキャプチャを分析しますと、DNSクエリがエラーになるのですか？
MACアドレスは、次のホップになる送信先IP用とのことですが、ASAファイアウォールインターフェイスになるのですか？

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-31

それについては確認する必要があります。ASAのMACアドレスではないと思われます。MACアドレスを確認しましたがCIMSYS Incベースのデバイスではないかと思われます。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

下記の質問があります。

1. Firepower Threat Defense（FTD）デバイスをヘッドエンドとして使用する場合（FMC管理またはFDM / CDO管理）、webvpnカスタマイズ（例 : webvpnホームページ）とAnyConnectカスタマイズ（メッセージ、言語など）はサポートされていない認識で合っていますか。

2. ASAとDAP/Hostscanで実行できるような基本的なポスチャチェックは、FTDのみのオプションではない（ISEのような外部ソリューションの参照が必要）という認識でいいですか。

3. ASA使用のDAP /ホストスキャンの場合、AnyConnect Premiumが必要ですか。また、ASAvプラットフォームモデルでサポートされますか？

注）この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-31

1.合っています。FTDではサポートされていません。
2. FTDでのクライアントポスチャ評価には、ISEポスチャを使用する必要があります。
3. Apexライセンス（以前はPremiumライセンス）が必要であり、ASAvモデルでサポートされています。

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

回答ありがとうございます。
何名かでASAｖ上でDAP取得しようとしましたが問題が発生しました。こちらのスレッドをご覧ください。

https://community.cisco.com/t5/vpn/asa-virtual-unable-to-activate-hostscan/td-p/4044100

この問題にご回答いただくことは可能ですか？それともTACケースをオープンしなければなりませんか?

注）この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-31

こちらをご覧ください。
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvs84158/?rfs=iqvred

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-31

ご提示いただいたスレッドを更新しました。

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

お二人ともありがとうございます。

ASAvをASAv10（vs. ASAv5）モデルとして実行するためにメモリにバンプすると、DAPの使用に必要なホストスキャンを追加できるようになります。

注）この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

Cisco ASA 5508-Xは、同時に5つ以上のセッションを開くことはできません。

100ユーザーのライセンスを購入しました。実行中の設定を添付します。

正しい設定をご指示いただければ幸いです。

複数のユーザーを許可するために、割り当てられた帯域幅を300 Mbpsから1 GBに増やしましたが、それでも、取得できるのは5つです。

コマンドの結果：show vpn-sessiondb summary

---------------------------------------------------------------------------

VPN Session Summary

---------------------------------------------------------------------------

Active : Cumulative : Peak Concur : Inactive

----------------------------------------------

AnyConnect Client : 2 : 321 : 7 : 1

SSL/TLS/DTLS : 2 : 321 : 7 : 1

Clientless VPN : 0 : 20 : 3

Browser : 0 : 20 : 3

Site-to-Site VPN : 2 : 1093 : 2

IKEv2 IPsec : 2 : 1093 : 2

---------------------------------------------------------------------------

Total Active and Inactive : 5 Total Cumulative : 1434

Device Total VPN Capacity : 100

Device Load : 5%

---------------------------------------------------------------------------

Tunnels Summary

---------------------------------------------------------------------------

Active : Cumulative : Peak Concurrent

----------------------------------------------

IKEv2 : 2 : 1093 : 2

IPsecOverNatT : 2 : 1094 : 2

Clientless : 0 : 20 : 3

AnyConnect-Parent : 3 : 321 : 7

SSL-Tunnel : 2 : 325 : 6

DTLS-Tunnel : 2 : 309 : 6

---------------------------------------------------------------------------

Totals : 11 : 3162

注）この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-31

インストール制限が100の場合、show vpn-session license-summaryの出力を使用して確認できますか？
ASA 5506の出力例は下記になります。

ASA5506-X（config）＃sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

6つ目の接続の際、Syslogが表示されていますか？デバッグするために一時的にログを増やす必要があるかもしれません。こちら側の設定を確認したところ、目立った問題はありませんでした。

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

出力は下記になります。
100がインストールの限度になります。

コマンドの結果：show vpn-session license-summary

---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------

Status : Capacity : Installed : Limit

-----------------------------------------

AnyConnect Premium : ENABLED : 100 : 100 : 100

AnyConnect Essentials : DISABLED : 100 : 0 : 100

Other VPN (Available by Default) : ENABLED : 100 : 100 : 100

Shared License Server : DISABLED

Shared License Participant : DISABLED

AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)

Advanced Endpoint Assessment : ENABLED(Requires Premium)

AnyConnect for Cisco VPN Phone : ENABLED

VPN-3DES-AES : ENABLED

VPN-DES : ENABLED

---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------

All : Peak : Eff. :

In Use : In Use : Limit : Usage

---------------------------------

AnyConnect Premium : : 4 : 8 : 100 : 4%

Anyconnect Client : : 4 : 7 : 100 : 4%

Clientless VPN : : 0 : 3 : 100 : 0%

Other VPN : : 2 : 3 : 100 : 2%

L2TP Clients

Site-to-Site VPN : : 2 : 2 : 100 : 2%

---------------------------------------------------------------------------
Result of the command: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------

Status : Capacity : Installed : Limit

-----------------------------------------

AnyConnect Premium : ENABLED : 100 : 100 : 100

AnyConnect Essentials : DISABLED : 100 : 0 : 100

Other VPN (Available by Default) : ENABLED : 100 : 100 : 100

Shared License Server : DISABLED

Shared License Participant : DISABLED

AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)

Advanced Endpoint Assessment : ENABLED(Requires Premium)

AnyConnect for Cisco VPN Phone : ENABLED

VPN-3DES-AES : ENABLED

VPN-DES : ENABLED

---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------

All : Peak : Eff. :

In Use : In Use : Limit : Usage

---------------------------------

AnyConnect Premium : : 4 : 8 : 100 : 4%

Anyconnect Client : : 4 : 7 : 100 : 4%

Clientless VPN : : 0 : 3 : 100 : 0%

Other VPN : : 2 : 3 : 100 : 2%

L2TP Clients

Site-to-Site VPN : : 2 : 2 : 100 : 2%

---------------------------------------------------------------------------

注）この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-31

show run vpn-sessiondb のアウトプット、およびこの問題が見られたときのログをシェアしていただけますか。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

CiscoJapanModerator · ‎2020-03-31

要求された出力は下記になります。

TBROG-FW-01＃show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01＃

こちらで提供すべきログをアドバイスしてください。外部IP 71.195.58.236からの直近の成功は下記になります。6つ目の接続を試みた後、ログが表示されなくなりました。

6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression

注）この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-31

6番目のクライアントに接続しようとしたときの下記についてお送りいただけますか。

debug webvpn 255
debug webvpn anyconnect 255
6番目の接続失敗後のDART bundle

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

それについては私の能力範囲外かと思います。そのようなログをどのように作成するか、アクセスするかよく分かりません。
このログ結果を得るための手引きはありますか。

注）この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-04-01

デバッグによる場合、6つ目の接続を試みる直前に、ASA CLIにログインし、次のコマンドを有効にする必要があります。

ASA5506-X# debug webvpn anyconnect 255
ASA5506-X# debug webvpn 255

DARTは、クライアント側のログを1つの場所にまとめるために使用する診断モジュールです。
セットアップの手順は以下のURLになります。

https://community.cisco.com/t5/security-documents/how-to-collect-the-dart-bundle-for-anyconnect/ta-p/3156025

TACケースをオープンする方が都合が良ければ、ケースをオープンしてください。
リモートセッションでエンジニアはトラブルシューティングできます。

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-04-01

ログレベルをデバッグに上げて、6つ目の接続をテストできますか？
また、別のユーザー名でテストしましたか？
debug webvpn anyconnect 255のような他のデバッグでのテストを依頼したいところですが、Firewallでのリソースの使用状況がわかりません。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-04-01

AnyConnect 4.3.05017（Windows 7）を使用して会社のネットワークに接続しています。既知の問題から影響を受けており、解決策がありません。

AnyConnectがアクティブになっていると、ルーティングテーブルに他のルートをインストールできません。作業の一環として、仮想ネットワークアダプターから仮想マシンであるVirtualBoxにアクセスする必要があります。仮想マシンを起動すると、AnyConnectはルーティングテーブルへのエントリを削除します。

下記は、イベントデータエントリです。

ーーーーーーーーーーーーーー

ルーティングテーブル変更通知を受信しました。ルーティングテーブルの自動修正を開始します。

Routing table - fixed - deleted route

Destination Netmask Gateway IfAddr IfName IfIndex LL Metric

192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1

ルーティングテーブルの自動修正が成功しました。

ーーーーーーーーーーーーー

ルーティングテーブルの制御はセキュリティ機能であることは承知していますが、当方の場合（ネット上で他の方からの報告もありますが）、自身の必要な作業が実行できなくなります。解決法はありますか？クライアントまたはサーバー側で解決できる設定オプションはありますか？

注）この質問は HansMartinMosner74305による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。