2024-07-18 04:09 PM 2024-07-28 12:10 PM 更新
本ドキュメントは、Identity Services Engine(ISE)とActive Directory(AD)サーバーを用いて、ASAにおけるVPN認証(Cisco Secure Client)の設定例と動作確認方法について説明します。本ドキュメントは、Identity Services Engine Virtual 3.3 Patch 1、Adaptive Security Virtual Appliance 9.20(2)21、Adaptive Security Device Manager 7.20(2)、Cisco Secure Client 5.1.3.62にて確認、作成をしております。
以下はASAでの最小限の設定です。
webvpn
enable outside
anyconnect image disk0:/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
aaa-server radius-grp protocol radius
aaa-server radius-grp (inside) host 1.x.x.191
timeout 5
key cisco123
ip local pool vpn-ssl-pool 172.16.1.50-172.16.1.60 mask 255.255.255.0
group-policy VPN-Grp-Policy internal
group-policy VPN-Grp-Policy attributes
dns-server value 1.x.x.57
vpn-tunnel-protocol ssl-client
webvpn
tunnel-group VPN-Tunnel-Group type remote-access
tunnel-group VPN-Tunnel-Group general-attributes
address-pool vpn-ssl-pool
authentication-server-group radius-grp
default-group-policy VPN-Grp-Policy
tunnel-group VPN-Tunnel-Group webvpn-attributes
group-alias VPN-Tunnel-Group enable
VPN コネクション用のプロファイルを追加します。「Configuration > Remote Access VPN >Network (Client) Access > Secure Client Profile」に移動し、「Add」ボタンをクリックしてVPN プロファイルを追加します。
追加したVPN プロファイルを編集し、「Server List」に移動し、「Add」ボタンをクリックしてServer Listを追加します。
VPN認証用のユーザーを追加します。「Active Directory Users and Computers > Users」に移動し、vpnuser をドメインユーザーとして追加します。
追加したドメインユーザー(vpnuser)を「Domain Admins」と「Domain Users」のメンバーに追加します。
「Administration > Network Devices」に移動し、「Add」ボタンをクリックしてASAvデバイスを追加します。
「Administration > External Identity Sources > Active Directory」に移動し、「Connection」タブでActive Directoryを追加します。
「Groups」タブでドロップダウンリストから「Select Groups From Directory」を選択します。
「Retrieve Groups」をクリックしてから、ad.rem-xxx.com/Users/Domain Computers と ad.rem-xxx.com/Users/Domain Users をチェックして、「OK」をクリックします。
「Administration > Identity Source Sequences」に移動し、Identity Source Sequenceを追加します。
「Policy > Policy Sets」に移動し、「+」をクリックし、policy setを追加します。
「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthentication policyを追加します。
「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthorization policyを追加します。
エンドポイントでAnyconnect接続を実行し、ユーザー名とパスワードを入力します。VPN接続が成功したことを確認します。
「show vpn-sessiondb detail anyconnect」コマンドを実行して、VPN セッションを確認します。
ciscoasa# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : vpnuser Index : 34
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15178 Bytes Rx : 22281
Pkts Tx : 5 Pkts Rx : 86
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : VPN-Grp-Policy Tunnel Group : VPN-Tunnel-Group
Login Time : 06:43:08 UTC Thu May 30 2024
Duration : 0h:00m:18s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 01aa003d0002200066581ffc
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 34.1
Public IP : 192.168.1.11
Encryption : none Hashing : none
TCP Src Port : 60955 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7529 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 34.2
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : TLS_AES_256_GCM_SHA384
Encapsulation: TLSv1.3 TCP Src Port : 60962
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7529 Bytes Rx : 112
Pkts Tx : 1 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 34.3
Assigned IP : 172.16.1.50 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 62867
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 120 Bytes Rx : 22384
Pkts Tx : 3 Pkts Rx : 85
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ASAのシステムログで、AAAユーザー認証が成功したことを確認します。
May 30 2024 06:43:09: %ASA-6-113004: AAA user authentication Successful : server = 1.x.x.191 : user = vpnuser
May 30 2024 06:43:09: %ASA-6-113009: AAA retrieved default group policy (VPN-Grp-Policy) for user = vpnuser
ISE GUIの「Operations > RADIUS > Live Logs」に移動し、VPN認証のlive logを確認します。
VPN認証の詳細なログを確認します。
こんにちは。
本投稿の内容は弊社で運用中のASAとISEを使ったVPN環境に酷似しています。(当社の場合はさらにこれにDUOが加わりますが・・・)
当時はISEの資料が少なくて設定に苦労しましたが、本内容があればもっと楽に実現できたなと思いました。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます