仮想プライベート ネットワーク (VPN)

解決済み! AnyConnectでの同一IDでの同時接続数の上限をこえた時の動作の変更について

こんにちは ASA5500シリーズ（OS: 9.1）＋AnyConnect 3.1を使ってSSL-VPN接続環境を構築し、エンドユーザーにサービスを提供しています。（クライアントデバイスはWindowsパソコン）同一ユーザーIDでの同時接続数の上限を超えた場合の挙動について質問させてください。同一ユーザーIDでの同時接続数の上限は、Group-Policyにてvpn-simultaneous-loginsコマンドで設定します。上限数を越える接続が発生した場合は、既存のセッションが切断されます...

Tunnel インターフェースに service-policy output が適用出来ない

Cisco ISR 4431 で、トンネルインタフェースに対して、 service-policyが適用できない事象が発生しています。対処/回避方法をご存知の方がおられましたら、ご教授いただけないでしょうか。 IOS ：isr4400-universalk9.03.16.04a.S.155-3.S4a-ext.SPA.bin [エラーメッセージ] 000183: *Nov 1 2016 01:01:01.400 JST: %QOS-6-POLICY_INST_FAILED: Service po...

解決済み! WiMAXを使ってCisco AnyConnectでVPN接続すると、WiMAXが再起動を繰り返す

こんにちはハードウェア：ASA5540, ASA5515X、OS：9.1(6)上で、AnyConnect 3.1.13015を使ったSSL-VPNサービスをエンドユーザに提供している者です。インターネット接続環境としてWiMAXを使い始めたユーザーから、「AnyConnectに接続した途端、WiMAXが再起動を繰り返す」という申告がありました。どなたか、類似の経験があることはいますでしょうか。 ------------------------------------------------...

AnyConnect用ユーザ数増加　ライセンス追加について

お世話になります。基本的な事かと思いますが、ライセンスオーダーについて、 http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf 等も確認していますが、間違いが無いようにしたいので教えて下さい。現在、ASAにて下記状態のライセンス運用をしております。　AnyConnect Premium Peers : 50 perpetual 　*** 　*** 　This platform ...

解決済み! Security Warnning:Untrusted VPN Server Certificate の回避方法に関して

ASA 8.6(1) に anyconnect 3.1 を使用しVPN接続しています。 anyconnectで接続の際に「Security Warnning:Untrusted VPN Server Certificate!」が表示されるため「Always trust this VPN server and import the certificate」にチェックし、2回目以降は表示されないようにしていました。しかし、ASAを再起動した後から、再度表示されるようになりました。同じように「Al...

教えて！セキュリティ（エキスパートに質問）

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ！シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。開催期間: 2016年7月1日～7月31日担当エキスパート: セキュリティ製品担当エンジニアテクニカルアシスタンスセンター(TAC) で、セキュリティ製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。 [質問方法] ・サポートコミュニティへ Cisco.com ...

AnyConnect ClientProfileの更新方法について

こんにちはハードウェア：ASA5540, ASA5515X、OS：9.1(6)上で、AnyConnect 3.1を使ったSSL-VPNサービスをエンドユーザに提供している者です。既に使用しているGroup Policyに対応したClient Profileの設定を一部変更したいと思います。設定個所はUser Preferenceで設定できる項目（チェックを入れたり外したりできる項目）以外のものです。 ASDMからASA内部のClient Profileを変更することは容易です。しかし、変更後に...

AnyConnect接続エラー（AnyConnect Downloaderでのエラー）

こんにちは ASA5540 + OS:9.16(11) + AnyConnect:3.1.08009の構成で、エンドユーザにSSL-VPNサービスを提供しています。 6/15以降、急に接続できないユーザが増え始めました。・タイミング的には、Windows Updateの後から接続不良多発とのエンドユーザからの申告が多い・１～２時間後に再度テストすると接続できるようになります。・特定のPCで発生するわけではなく、ランダムに発生する。・接続に問題が発生するPCは、同時接続中の接続数のうち１％程度・し...

解決済み! ASA5500とPCで、AnyConnectのメジャーバージョンが異なる場合の問題点について

こんにちは、ASA5515X で構築して、Clientless SSL-VPN, AnyConnect SSL-VPNサービスをエンドユーザに提供しています。・OS : 9.1(5) ・AnyConnectは、Ver. 3.1.05182をASA5515Xにインストールして使用しています。・AnyConnectのライセンスは、AnyConnect4対応の新しい体系のものを使用しています。・クライアントはWindows 7 / 8.1 です。最近、エンドユーザーが独自の判...

ASAでSHA2のSSL証明書対応について

インターネットに外部公開しているサーバーでは正当性を認証するためにSSL証明書を導入し、1年ごとに更新しているのが一般的だと思いますが、世界的に2017年1月以降、SHA1のSSL証明書が発行されなくなり、SHA2のSSL証明書しか発行されなくなっております。使用しているASAでも証明書機関でSSL証明書を取得し、導入していますが証明書更新の影響を調査しております。使用している環境は下記です。　　ASA OS 8.4系　　anyconnect 3.x系　　使用認証手段　ID/PASS　...

ASAの証明書

御世話になります。ご教授ねがいます。 ASAにて作成したサーバ証明書（自己署名証明書）、クライアント証明書はハッシュがSHA1で作成されるとおもいますが、世の中ではSHA1に脆弱性があることから SHA2に移行するような記事を見ます。 ASAでSHA2で証明書を作成できないのでしょうか？

解決済み! VPN接続環境での「ASA-4-313005: No matching connection for ICMP error message」エラーについて

こんにちは、ASA5515X で構築して、リモートアクセスIPsec-VPN, Clientless SSL-VPN, AnyConnect SSL-VPNの接続を受け付けるようにしています。・OS : 9.1(5)・AnyConnectは、3.1.05182・IPsec-VPNは、Lan-To-LANではなく、リモートアクセスIPsec-VPNで、接続してきたクライアントPCにプライベートIPアドレスを払い出すタイプです。・VPNの接続サービスのみ提供しています。show logコマンドでロ...

解決済み! AnyConnect設定自のWebページについて

お世話になります。 AnyConnectを利用した環境を設定しているのですが、 Web側の設定で下記ページの内容が出力されます。 https://202.AAA.AAA.AAA/****/**** このページはXMLで、ASAのOSバージョンが出力されており、設定をした覚えは無いため削除したいと考えております。ただ、どこを設定すべきか等が調べてもわからず、ご教示頂けますと幸いです。・ASA5520 ・Cisco Adaptive Security Appliance Softwar...

ASAを9.1.2⇒9.3.2、Anyconnectを3.1⇒4.1にアップグレードしたがcertificate validation failureと表示され接続できない

SSL-VPNの認証でcertificateとAAAの両方を利用している環境において、ASAを9.1.2から9.3.2に、Anyconnectを3.1から4.1にアップグレードしました。Hostscanも利用していたため、3.1から4.1へ。アップデート完了後、クライアント上でAnyconnectが3.1から4.1へアップデートされましたが、再度接続を試みた際ユーザID/Passを入力する前に"certificate validation failure"と表示され、接続できなくなりました。 ...

ASA5520シリーズ　証明書ベースによるsslvpn接続

お世話になります、下記についてご教示ください。現在、ASA5520を標準のOSで設定して運用をおこなっております。設定内容については、Lan To Lanによる拠点間の通信設計です。ここにユーザーPCからsslvpnを用いて接続をさせる要件があり、sslvpnの設定を行えるよう検討をすすめております。ASA5500-SSL-XXライセンスを購入のうえで、ユーザーPCをコントロールする為、証明書を利用してsslvpn接続させたいのですが、参考になるWebサイトなど、Ciscoサイト内、外部サイ...

解決済み! Windows10＋LTEデバイスでのAnyConnect接続の問題について

こんにちは Cisco ASA 5540 でSSL-VPN機器を構築して、エンドユーザーにサービスを提供しています。OS: 9.1(6.4) 、ASDM:7.4(2)を使用しています。クライアントPCのWindows10対応のため、AnyConnectを3.1.08009→3.1.13015にVer.Upして検証をしています。 ■クライアント／サーバーの組み合わせクライアント側は新しいバージョン、サーバー側（ASA側）は新バージョンと現状バージョンの２パターンで試しています。　クライアントPC...

ダイナミックアクセスポリシー (DAP) の設定数上限について

こんにちは。ダイナミックアクセスポリシー (DAP) につきまして、質問がございます。エンドポイントのセキュリティチェックのため、アンチウィルスソフトのチェックやMACアドレスのチェックを行うつもりです。アンチウィルスソフトは「ALL」と設定できないため、すべてのアンチウィスルソフトを有効にする場合やMACアドレスを多数登録する場合、DAPの設定数が数百単位となってしまいます。そこで、DAPの設定数に上限や推奨値はございますでしょうか。また、設定数が数百単位となることで認証速度がおそくなって...

解決済み! Client SSL-VPN接続後のNetwork参照（Network Browse）がうまくできません

こんにちは、ASA5515XでClientless SSL-VPNでのネットワークブラウジング機能（CIFS）について質問があります。どなたかご教示いただければと思います。よろしくお願いします。 ASA5515X + OS 9.1(5)で、Clientless SSL-VPNを使用しています。設定にはASDM 7.16を使用しています。 Clientless SSL-VPNでログイン、ポータルのホーム画面の表示や、Webアプリケーションで登録したものにアクセスすることはできています。（また、今回...

Cisco AnyConnect セキュアモビリティクライアントについて

長らく利用していた、「Cisco AnyConnect セキュアモビリティクライアント」が2015/10/22現在、Apple Storeから検索・ダウンロードできない状態となっております。対象アプリについては、サービス期間等が終わってしまったのでしょうか。有識者の方、ご教授願います。また、サービス終了となっている場合代替えアプリ等ありますでしょうか？もしくは、Apple Storeを経由せずに「Cisco AnyConnect セキュアモビリティクライアント」をインストールす...

ASA55XX-XのVPN設定について

riverhand33と申します。ASA5515-XでのリモートアクセスVPNの設定について教えてください。構成は以下の通りです。 ①WAN側インターフェイス(ifname:internet/security-level0)－－－－－グローバルアドレス ②DMZ側インターフェイス(ifname:dmz/security-level50)－－－－－グローバルアドレス ③LAN側インターフェイス(ifname:dmz/security-level100)－－－－－プライベートアドレス ②のDMZ側...