[toc:faq]

本記事では、リモートアクセスVPN (AnyConnect Client)を使用して ASA に対して ASDM や SSH で管理アクセスを実施する方法を紹介します。

動作概要

以下のような outside インタフェースで、リモートサイトからの VPN アクセスが終端された環境を想定します。ここで、management-access というコマンドを使用することで、outside インターフェースとは別に、VPN からの管理アクセスを待ち受けるインターフェース（inside）を指定して、VPN 経由でアクセスが出来るようになります。

事前設定

まず、management-access  を使用する VPN 環境について、以下のような設定を想定します。お使いの環境に応じて適時カスタマイズください。

ciscoasa# show run interface gigabitEthernet 0/0
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.71.227.75 255.255.252.0
!--- VPN を終端するインターフェース。

ciscoasa# show run interface gigabitEthernet 0/1
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 5.5.5.5 255.255.255.0
 ipv6 address fd20:6ff7:8dea::/126
!--- management-access の対象インターフェース。
!--- 常にリンクアップしている必要があります。

ciscoasa# show run ip local pool
ip local pool v4mgmt 55.55.55.53-55.55.55.54 mask 255.255.255.252
ipv6 local pool v6mgmt 2001:db8::ba98:0:3211/126 2
!--- VPN経由での管理アクセス用 Pool を定義しています。

ciscoasa# show run tunnel-group MGMT-TG
tunnel-group MGMT-TG type remote-access
tunnel-group MGMT-TG general-attributes
 default-group-policy MGMT-GP
tunnel-group MGMT-TG webvpn-attributes
 group-url https://10.71.227.75/kanri enable
!--- 管理アクセス用の Tunnel Group を用意して Group-url で接続するようにしています。
!--- 証明書マップで特定の管理端末のみを Tunnel Groupに紐付けてもよいです。

ciscoasa# show run group-policy MGMT-GP
group-policy MGMT-GP internal
group-policy MGMT-GP attributes
 vpn-tunnel-protocol ssl-client
 address-pools value v4mgmt
 ipv6-address-pools value v6mgmt
 webvpn
 anyconnect profiles value mgmt-profile type user
!--- 管理アクセス用の Group-Policy を作成して、先出の Pool を指定します。
!--- Server List で ASA のIP + Group-urlを指定したClient Profile を適用しています。

ciscoasa# show run webvpn
webvpn
 enable outside
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.2.04018-k9.pkg 1
 anyconnect profiles mgmt-profile disk0:/mgmt-profile.xml
 anyconnect enable
--- snip ---
!--- VPN を outside で終端しています。
!--- AnyConnectイメージや、作成した Client Profileファイルを指定しています

management-access に必要な設定

SSH を 有効にして inside で管理アクセス用のPoolを許可します。

ciscoasa# show run ssh
ssh stricthostkeycheck
ssh 55.55.55.52 255.255.255.252 inside
ssh 2001:db8::ba98:0:3210/126 inside
ssh timeout 5
ssh version 2
ssh key-exchange group dh-group14-sha1

ASDM で、inside で管理アクセス用の Pool を許可します。

ciscoasa# show run http
http server enable
http 55.55.55.52 255.255.255.252 inside
http 2001:db8::ba98:0:3210/126 inside

ciscoasa# show run asdm
asdm image disk0:/asdm-761.bin

管理用のローカルユーザを定義します。

ciscoasa# show run username 4649admin
username 4649admin password hDwEfk5zFRn6VxsL encrypted
username 4649admin attributes
 vpn-group-policy MGMT-GP
 group-lock value MGMT-TG

management-access で inside インターフェースを対象に指定します

ciscoasa# show run management-access
management-access inside

動作確認

AnyConnect で接続を行い、これまでに定義したユーザ、Group-Policy、Tunnel-Group および Pool IP で接続が確立していることを確認します。

AnyConncet クライアントからの確認

ASA の CLI からの確認

ciscoasa# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : 4649admin Index : 92
Assigned IP : 55.55.55.53 Public IP : 10.141.56.147
Assigned IPv6: 2001:db8::ba98:0:3211
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14098 Bytes Rx : 36209
Group Policy : MGMT-GP Tunnel Group : MGMT-TG
Login Time : 20:06:15 JST Fri Jun 10 2016
Duration : 0h:09m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000005c000575ac957
Security Grp : none

VPN確立後に、Inside の IPv4、IPv6 アドレス宛に SSH が出来ることを確認します。SSH アクセス用には、VPNアクセスと別のユーザが定義されています。

同様に、Inside の IPv4、IPv6 アドレス宛で、ASDM アクセスが出来ることを確認します。

ASDM セッションは、show asdm sessions からも確認可能です。

参考情報

Configure Management Access Over a VPN Tunnel
ASA Access to the ASDM from an Inside Interface Over a VPN Tunnel Configuration Example