Windows10標準アプリからのVPN接続について
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
2018-05-18 04:37 PM 2019-03-22 07:36 AM 更新
こんにちは
ASA5545X+ASA OS 9.6系+AnyConnect4.5系で、エンドユーザーにSSL-VPNサービスを提供しています。
ユーザーから、AnyConnectの代わりにWindows標準のVPNクライアントソフトを使用する運用にしたいという要望がありました。
・OSはWindows10
・SSL-VPN以外でもOK、例えばIKEv2でもOKだし、それ以外でもOK。
・要望する理由
AnyConnectのクライアントソフトのバージョンアップで問題が発生するPCが一定数存在したためです。
旧バージョンのインストール→新バージョンのインストールのためインストーラ(msiファイル)を実行しても、エラーになるPCが存在します。
(PCを一旦再起動する/セキュリティソフトを無効化するなどの対応で回避できる場合がほとんどですが、症状がPCごとに微妙に異なり、遠隔地のユーザーのサポートに手間がかかります。)
■質問事項
シスコとしての見解は、「サードベンダーのクライアントソフトの使用は一切サポートしません」であることはわかるのですが、Windows標準ソフトは使用可能なのでしょうか。
仕様上、不可ということはありますでしょうか。
Windows10のマイクロソフトストアから、アプリを入手可能です。
CheckPoint、Fortinet、Pulse Secureの各社からはVPNソフトが提供されていますが、シスコ社からは出ていません。
実績があるアプリを、どなたかお知らせいただけますでしょうか。
--------------------------------------------------------
■私が実施したテスト内容
Windows10標準ソフトでサポートしているプロトコルには以下のものがあります。
・PPTP
・証明書を使ったL2TP/IPsec
・事前共有キーを使ったL2TP/IPsec
・Secure Socketトンネリングプロトコル(SSTP)
・IKEv2
ASAの設定を追加して、とりあえずIKEv2用の接続設定を追加しました。
・使用するトンネルグループはデフォルトグループDefaultWEBVPNGroupとしました。
(Windows標準ソフトでは、トンネルグループの指定ができないためです。)
・ユーザー認証は、ユーザーID+パスワードの組み合わせとしました。
接続テストをすると、AnyConnectからの接続はOKでした。
(ステータスを見ても、トンネルグループ:DefaultWEBVPNGroup、プロトコル:IKEv2でした)
しかし、Windows10標準ソフトから接続すると、認証ダイアログボックスにユーザーID+パスワードを入力しても「IKE認証資格情報は受け付けられません」と表示が出て接続できません。
試しに、わざと誤ったパスワードを入力したり実在しないユーザーIDを入力しても同じ表示なので、認証が全く機能していないようです。
ASA上でdebugコマンドをオンにしたり、クライアントソフトでパケットをキャプチャしたりして、接続試行の様子を確認してみたのですが、今一つ原因を特定できませんでした。
よろしくお願いします。
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
2018-05-28 10:48 AM
IKEv1/2 (L2TP over IPsec含む)で、RFCに準拠する動作をするものであればASAで終端することが可能です。
ただし、その場合はクライアント側の動作についてはCiscoのサポート範囲外となります (ASAの動作についてはサポート可能です)
■ IKEv2
Windows nativeのVPNクライアントを利用する場合、Username/Passwordでの認証はEAPを利用したものとなり、ASAで終端するためには外部のRADIUSサーバが必要となります。(ASAのLocal userでの認証はできません)
[ PEAPの設定例 ]
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/webvpn-ssl-vpn/119208-config-asa-00.html
証明書による認証の場合には、RADIUSサーバなしでも認証可能です。(証明書は別途用意してください)
[ 証明書認証の設定例 ]
■ L2TP over IPsec
L2TP over IPsecの場合にはASAのローカルユーザによる認証が可能です。
[ L2TP over IPsecの設定例 ]
注:
それぞれの資料は機械翻訳であるため一部わかりにくい内容があります。
内容については、英語版の資料の内容が優先されますので、そちらも合わせてご参照ください。
この内容に沿って設定しても動作しないという状況でしたら、サービスリクエストにてお問い合わせ頂ますようお願いいたします。
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
2018-06-24 05:38 PM 2018-06-24 06:16 PM 更新
aktosa様
お世話になっております。athirano1です。
ご回答ありがとうございました。
私の勤務先はサービスリクエストをあげるための契約をシスコ様と結んでいないため、追加で質問させてください。
可能であればご回答いただければと思います。
■現状
1.Windows7または10標準のVPNアプリからのIPsecVPN(IKEv2)接続時には現在も失敗している状況です。
debug aaa authentication、debug crypto ikev2 protocolコマンドで確認したところ、どうもRADIUSサーバとの通信を行っていないようでした。
2.同じCiscoASAに対して、AnyConnect 4.5.02033からIPsec (IKEv2)で接続すると接続できます。ただし、設定はDefaultWEBGroupに入れています。DefaultWEBGroupから設定を削除すると、同じ設定がDefaultRABGroupに入っていても接続に失敗します。
・接続成功時にshow vpn-sessiondb detail anyconnectコマンドで確認したところ、
ProtocolやEncryptionなどはIKEv2と表示されますが、
接続Tunnel GroupはDefaultRAGroupではなくDefaultWEBGroupでした。
・show vpn-sessiondb detail ra-ikev2-ipsecコマンドを打つと
INFO: There are presently no active sessions of the type specified.とでます。
参考までに、以下のコマンド出力結果を添付します。
show vpn-sessiondb
show vpn-sessiondb detail anyconnect
■質問
1.同じIKEv2によるIPsec-VPN接続でも、AnyConnectからの接続と、Windows標準VPNソフトからの接続は、別物なのでしょうか。
接続するデフォルトのTunnel Groupが、DefaultRAGroupになるかDefaultWEBGroupになるかの違いは、どこから出てくるでしょうか。
マニュアル「マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1」
(https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500nextgenerationfire/cg/002/-asa-vpn-cli/vpn-groups.html)を見ると
「ASAには、LAN-to-LAN 接続用の DefaultL2Lgroup、リモートアクセス用の DefaultRAgroup、および SSL VPN(ブラウザベース)接続用の DefaultWEBVPNGroup という、デフォルト接続プロファイルがあります。」
と記載がありますので、普通に考えると自動的にDefaultRAgroupが選択されそうな気がするのですが。。
2.仮にWindows標準VPNソフトから接続できたとしても、やはり複数のGroup-Policyを使い分けることはできない と考えてよろしいでしょうか。
現在はAnyConnectによるSSL-VPNでユーザーにサービスを提供しており、複数のGroup Policyを使い分けて、ユーザーグループごとに異なる設定(IPアドレスアサイン、DNSサーバのIPのアサインなど)を行なっています。
よろしくお願いします。
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
2018-12-04 06:45 PM 2018-12-04 10:24 PM 更新
以前書き込みをしたathirano1です。
一旦はあきらめて半年近く放置しておいた、Windows10標準アプリからのIKEv2によるIPsecVPN接続テストについてです。(サーバにはASA5506X+OS:Ver.9.6系を使用)
試したところ、既存のSSL-VPN、IPsec VPN(IKEv1)接続用の設定を残すためIKEv2の設定が甘くなっている事に気が付き修正しました。
修正するとDefaultRABGroupが動作して、IKEv2のネゴシエーションが開始していることが分かりました。
(設定例 EAP-PEAP とネイティブ Windows クライアントによる ASA IKEv2 リモート アクセスの設定
https://www.cisco.com/c/ja_jp/support/docs/security-vpn/webvpn-ssl-vpn/119208-config-asa-00.html を参照しました)
ASAでのdebug crypto ikev2 protocol 32コマンドで確認したり、クライアントPC側でパケットキャプチャすると、IKE_SA_INITの後のIKE_AUTHのフェーズにて止まっていることが分かりました。
ASA→PCにパケットを投げてPC上でエラー扱いになっているため、
・PCでは「13801 IKE認証資格情報は受け付けられません」と表示して、ASAとの通信は終了
・PCからの応答がないためASAはタイムアウトエラー
となり、その先のフェーズ(EAPパケットのやり取りなど)に進めない状況です。
また、私の会社ではシスコ様にサービスリクエストがあげられる契約がなく、代理店との契約は障害対応/OSイメージファイル提供のような定型的なもののみです。マイクロソフトからの有償サポートはそれなりのお値段がするため躊躇しております。
接続試行時のPC側のログを添付します。どなたか原因と対応方法をご教示いただけますでしょうか。
・ログはnetsh ras diag set rastracing * enabled/disabledコマンドにより、c:\windows\tracingフォルダ内に生成
・拡張子etlファイルのログは、netsh trace convert input=~ output=~コマンドでテキストファイルに変換
============================================================
マイクロソフト様/シスコ様のホームページを見ると13801は、よくあるエラーで、PCにサーバ証明書/ルートCA証明書周りのエラーとのことです。(参照例:Troubleshooting IKEv2 VPN Connections
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941612(v=ws.10)#vpn-connections-that-use-ikev2)
また、よくあるミスとして、コンピュータ用の証明書ストアではなく、ユーザー用の証明書ストア(certmgr.mscで表示可能)にインポートする事による接続エラーもあるようです。
しかし、私のテスト環境ではいずれもミスが無いように設定したつもりです。
・証明書はグローバルサインから購入したものを使用しています。
・ただしコモンネームにはグローバルIPを設定したものを使用しています。
・証明書のEKU(Enhanced Key Usage )には「サーバ認証」と「クライアント認証」が設定されています。
・グローバルサインのルート証明書、(ASA側にもインポートしている)中間証明書、サーバ証明書の3つをコンピュータ用の証明書ストアにインポートしています。3つの証明書のインポートが必要かどうかはよく分かっていないのですが。。
PC側の設定にミス(不足)はないつもりですが、実際にはVPN接続ができない状態です。
気になるログとしては以下の通りです
-----------------------------------------------------------
ファイル名:RuntimeBroker_RASAPI32.LOG
ログ:ReadRasFile: File C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk does not exist
確認すると確かにファイルが存在しません。。(必要なファイルのはずですが)
その割には、Trying to match the phonebook port in the system portsというログも出ています。実際には、C:\Users\[ユーザ名]\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbkの設定が参照されているようです。
-----------------------------------------------------------
ファイル:AgileVpnEtwTracing.etlをテキスト変換したもの
ログ:Tunnel ID: 0x26, Failure reason: 13801
Processing Close Tunnel with reason: 13801
Entering VPNIKEClientConnection::Disconnect...
VPNIKE Recevied message PROTOCOL_MSG_Stop
-----------------------------------------------------------
ファイル:RRASEtwTracing.etlをテキスト変換したもの
ログ:IsCertSubjectNameCheckDisabled failed: RegQueryValueEx for DisableIKENameEkuCheck failed with 2
これの意味するところは何でしょうか?
ClientEAPAuthHandler::GetIDiPayload: Either DWORD registry value [文字化け] is not present or present with with value 0
CreateIDiObject: Creating IKE_ID_PAYLOAD with ID type as (0) , idLength as (0) and ID as ([文字化け])
-----------------------------------------------------------
ファイル名:RASTAPI.LOG
ログ:PortOpen: VPN2-1
PortOpen: successfully opened VPN2-1
PortClose: VPN2-1
PortClose: Changing state for VPN2-1 from 1 -> 0
-----------------------------------------------------------
