2020-03-25 01:00 AM 2020-03-28 05:42 PM 更新
このイベントに参加するには、 をクリックして質問してください
AnyConnect、ASA、FTD、Duo、Umbrella などのシスコ セキュア リモート ワーキング テクノロジーにういて話し合うためのトピックです。このセッションでは、エキスパートが Emergency ライセンス、デザイン、設定、トラブルシューティングについて回答します。エキスパートは 12 のタイムゾーンで回答します。また、みなさまのニーズにお応えするために、このセッションは複数の言語に翻訳されます。
このフォーラム イベントはセキュリティ ソリューションに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。
3 月 23 日(月)より 4 月 3 日(金)まで、質問を投稿できます。
エキスパート
質問が多数となる場合、Divya、Aditya、Jonny の3人とも回答できない場合があります。その場合は、引き続き セキュリティ コミュニティをご利用ください。
** 評価のお願い **
質疑応答の評価にぜひご協力ください
2020-03-31 02:45 PM
ご回答ありがとうございます。
anyconnectにいるときに機能し、"split-dns value test.com"を削除すると、物理アダプタとパブリックIPアドレスを介してパブリックDNS(ISP)に送信されます。
ローカルLANで動いている内部DNSサーバー(パケットキャプチャをすぐに共有できる)にも送信されます。
anyconnect MACアドレスが00:11:22:33:44:55と表示される理由を教えてください。
注)この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 02:47 PM
MACアドレスは、次のホップになる送信先IP用です。
ACのMACアドレスは"0-05-9A-3C-7A-00"です。
AnyConnectドライバはネイティブDNSリゾルバを妨げません。VPNが接続されている場合、AnyConnectが常に優先アダプターとなっているネットワークアダプター順にDNSレソリューションが実行されます。
さらに、DNSクエリは最初にトンネル経由で送信され、分解されない場合、リゾルバはパブリックインターフェイスを介して分解を試みます。
split-includeアクセスリストには、トンネルDNSサーバーをカバーするサブネットが含まれています。AnyConnect4.2を開始するにあたって、トンネルDNSサーバーのホストルートは、AnyConnectクライアントによってsplit-includeネットワーク(安全なルート)として自動的に追加されるため、split-includeアクセスリストは、トンネルDNSサーバーサブネットを明示する必要がなくなりました。
この現象が起きているのではないかと思われます。
注)この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 02:53 PM
ご回答ありがとうございます。
ACLからサブネットを削除しましたが同じ問題が起きます。
Wiresharkキャプチャを分析しますと、DNSクエリがエラーになるのですか?
MACアドレスは、次のホップになる送信先IP用とのことですが、ASAファイアウォールインターフェイスになるのですか?
注)この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 02:55 PM
それについては確認する必要があります。ASAのMACアドレスではないと思われます。MACアドレスを確認しましたがCIMSYS Incベースのデバイスではないかと思われます。
注)この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 02:59 PM
下記の質問があります。
1. Firepower Threat Defense(FTD)デバイスをヘッドエンドとして使用する場合 (FMC管理またはFDM / CDO管理)、webvpnカスタマイズ(例 : webvpnホームページ)とAnyConnectカスタマイズ(メッセージ、言語など)はサポートされていない認識で合っていますか。
2. ASAとDAP/Hostscanで実行できるような基本的なポスチャチェックは、FTDのみのオプションではない(ISEのような外部ソリューションの参照が必要)という認識でいいですか。
3. ASA使用のDAP /ホストスキャンの場合、AnyConnect Premiumが必要ですか。また、ASAvプラットフォームモデルでサポートされますか?
注)この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:02 PM
1.合っています。FTDではサポートされていません。
2. FTDでのクライアントポスチャ評価には、ISEポスチャを使用する必要があります。
3. Apexライセンス(以前はPremiumライセンス)が必要であり、ASAvモデルでサポートされています。
注)この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:06 PM
回答ありがとうございます。
何名かでASAv上でDAP取得しようとしましたが問題が発生しました。こちらのスレッドをご覧ください。
https://community.cisco.com/t5/vpn/asa-virtual-unable-to-activate-hostscan/td-p/4044100
この問題にご回答いただくことは可能ですか?それともTACケースをオープンしなければなりませんか?
注)この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:13 PM
こちらをご覧ください。
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvs84158/?rfs=iqvred
注)この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:27 PM
ご提示いただいたスレッドを更新しました。
注)この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:31 PM
お二人ともありがとうございます。
ASAvをASAv10(vs. ASAv5)モデルとして実行するためにメモリにバンプすると、DAPの使用に必要なホストスキャンを追加できるようになります。
注)この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:48 PM
Cisco ASA 5508-Xは、同時に5つ以上のセッションを開くことはできません。
100ユーザーのライセンスを購入しました。実行中の設定を添付します。
正しい設定をご指示いただければ幸いです。
複数のユーザーを許可するために、割り当てられた帯域幅を300 Mbpsから1 GBに増やしましたが、それでも、取得できるのは5つです。
コマンドの結果:show vpn-sessiondb summary
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 321 : 7 : 1
SSL/TLS/DTLS : 2 : 321 : 7 : 1
Clientless VPN : 0 : 20 : 3
Browser : 0 : 20 : 3
Site-to-Site VPN : 2 : 1093 : 2
IKEv2 IPsec : 2 : 1093 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 5 Total Cumulative : 1434
Device Total VPN Capacity : 100
Device Load : 5%
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concurrent
----------------------------------------------
IKEv2 : 2 : 1093 : 2
IPsecOverNatT : 2 : 1094 : 2
Clientless : 0 : 20 : 3
AnyConnect-Parent : 3 : 321 : 7
SSL-Tunnel : 2 : 325 : 6
DTLS-Tunnel : 2 : 309 : 6
---------------------------------------------------------------------------
Totals : 11 : 3162
注)この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:53 PM
インストール制限が100の場合、show vpn-session license-summaryの出力を使用して確認できますか?
ASA 5506の出力例は下記になります。
ASA5506-X(config)#sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 50 : 50 : NONE
AnyConnect Essentials : DISABLED : 50 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 10 : 10 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
6つ目の接続の際、Syslogが表示されていますか?デバッグするために一時的にログを増やす必要があるかもしれません。こちら側の設定を確認したところ、目立った問題はありませんでした。
注)この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:56 PM
出力は下記になります。
100がインストールの限度になります。
コマンドの結果:show vpn-session license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------
Result of the command: "show vpn-session license-summary"
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 100 : 100 : 100
AnyConnect Essentials : DISABLED : 100 : 0 : 100
Other VPN (Available by Default) : ENABLED : 100 : 100 : 100
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 8 : 100 : 4%
Anyconnect Client : : 4 : 7 : 100 : 4%
Clientless VPN : : 0 : 3 : 100 : 0%
Other VPN : : 2 : 3 : 100 : 2%
L2TP Clients
Site-to-Site VPN : : 2 : 2 : 100 : 2%
---------------------------------------------------------------------------
注)この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 03:59 PM
show run vpn-sessiondb のアウトプット、およびこの問題が見られたときのログをシェアしていただけますか。
注)この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
2020-03-31 04:02 PM
要求された出力は下記になります。
TBROG-FW-01#show run vpn-sessiondb
vpn-sessiondb max-other-vpn-limit 100
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 100
TBROG-FW-01#
こちらで提供すべきログをアドバイスしてください。外部IP 71.195.58.236からの直近の成功は下記になります。6つ目の接続を試みた後、ログが表示されなくなりました。
6|Mar 25 2020|08:10:05|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> UDP SVC connection established without compression
5|Mar 25 2020|08:10:05|722033|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> First UDP SVC connection established for SVC session.
6|Mar 25 2020|08:10:05|725002|71.195.58.236|59949|||Device completed SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLSv0.9 session
6|Mar 25 2020|08:10:05|725003|71.195.58.236|59949|||SSL client Outside:71.195.58.236/59949 to 50.234.2.58/443 request to resume previous session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
6|Mar 25 2020|08:10:05|725001|71.195.58.236|59949|||Starting SSL handshake with client Outside:71.195.58.236/59949 to 50.234.X.XX/443 for DTLS session
4|Mar 25 2020|08:10:01|722051|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> IPv4 Address <192.168.99.150> IPv6 address <::> assigned to session
6|Mar 25 2020|08:10:01|722055|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> Client Type: Cisco AnyConnect VPN Agent for Windows 4.2.03013
6|Mar 25 2020|08:10:01|722022|||||Group <GroupPolicy_VPN> User <USER> IP <71.195.58.236> TCP SVC connection established without compression
注)この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 04:06 PM
6番目のクライアントに接続しようとしたときの下記についてお送りいただけますか。
注)この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-03-31 04:15 PM
それについては私の能力範囲外かと思います。そのようなログをどのように作成するか、アクセスするかよく分かりません。
このログ結果を得るための手引きはありますか。
注)この質問は Riverbears ITTeamによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-01 09:33 AM
デバッグによる場合、6つ目の接続を試みる直前に、ASA CLIにログインし、次のコマンドを有効にする必要があります。
ASA5506-X# debug webvpn anyconnect 255
ASA5506-X# debug webvpn 255
DARTは、クライアント側のログを1つの場所にまとめるために使用する診断モジュールです。
セットアップの手順は以下のURLになります。
TACケースをオープンする方が都合が良ければ、ケースをオープンしてください。
リモートセッションでエンジニアはトラブルシューティングできます。
注)この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-01 10:05 AM
ログレベルをデバッグに上げて、6つ目の接続をテストできますか?
また、別のユーザー名でテストしましたか?
debug webvpn anyconnect 255のような他のデバッグでのテストを依頼したいところですが、Firewallでのリソースの使用状況がわかりません。
注)この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-01 10:09 AM
AnyConnect 4.3.05017(Windows 7)を使用して会社のネットワークに接続しています。既知の問題から影響を受けており、解決策がありません。
AnyConnectがアクティブになっていると、ルーティングテーブルに他のルートをインストールできません。作業の一環として、仮想ネットワークアダプターから仮想マシンであるVirtualBoxにアクセスする必要があります。仮想マシンを起動すると、AnyConnectはルーティングテーブルへのエントリを削除します。
下記は、イベントデータエントリです。
ーーーーーーーーーーーーーー
ルーティングテーブル変更通知を受信しました。ルーティングテーブルの自動修正を開始します。
Routing table - fixed - deleted route
Destination Netmask Gateway IfAddr IfName IfIndex LL Metric
192.168.66.0 255.255.255.0 0.0.0.0 192.168.66.1 VirtualBox Host-Only Network 16 Y 1
ルーティングテーブルの自動修正が成功しました。
ーーーーーーーーーーーーー
ルーティングテーブルの制御はセキュリティ機能であることは承知していますが、当方の場合(ネット上で他の方からの報告もありますが)、自身の必要な作業が実行できなくなります。解決法はありますか?クライアントまたはサーバー側で解決できる設定オプションはありますか?
注)この質問は HansMartinMosner74305による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド