適当にやるわ

リアルな世界でのプラチナトロフィー取得を目指して...

iPad iPhone iPod Mac 未分類 機材

auひかりでホームゲートウェイの内側ネットワークにCisco ASA 5505を設置してIPSecを利用する

更新日:


以前はASA5505自体をインターネットとLANの境界のFWとして利用していたためにoutsideインタフェースでIPSecの接続を終端してinside側のコンピュータにアクセスできるように設定していました。

Cisco ASAとiPhone, iPadをVPN接続
https://www.tekitouniyaruwa.com/2011/09/03/cisco-asa%e3%81%a8iphone-ipad%e3%82%92vpn%e6%8e%a5%e7%b6%9a/

引越してauひかりの1GbpsとなったためASA5505を境界に設置するとボトルネックになってしまいます。そのため1Gbps対応のホームゲートウェイをそのまま利用して、LAN内にASAを設置する構成にしました。
ホームゲートウェイはNECのAterm BL900HWです。
http://www.au.kddi.com/support/internet/guide/modem/gateway-05/

下の図が今回のネットワークです。

インターネット上のVPN ClientsからIPSec, SSL-VPNでアクセスできるようにしました。
以下がコンフィグです。

-->

: Saved
:
ASA Version 8.0(5)
!
hostname ciscoasa
domain-name *****
names
name 192.168.9.10 mac
!
!他のインタフェースは必要ないため削除
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.9.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!          
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa805-k8.bin
ftp mode passive
clock timezone JST 9
dns domain-lookup inside
!VPNで接続してきたクライアントがinsideにアクセスするためにはインタフェース間のsame-security-trafficをpermitする必要がある
same-security-traffic permit intra-interface
object-group service sslvpn tcp-udp
 port-object eq 443
access-list SPLIT_TUNNEL standard permit 192.168.9.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
logging buffer-size 1048576
logging buffered warnings
logging asdm informational
mtu inside 1500
! IPSecクライアントへ割り当てるアドレスのプール
ip local pool VPN_POOL 192.168.10.1-192.168.10.10 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
asdm image disk0:/asdm-623.bin
no asdm history enable
arp timeout 14400
route inside 0.0.0.0 0.0.0.0 192.168.9.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DMAP 1 set transform-set IPSEC
crypto map CMAP 1 ipsec-isakmp dynamic DMAP
crypto map CMAP interface inside
crypto ca trustpoint LOCAL_CA
 enrollment self
 fqdn *****
 subject-name CN=*****
 keypair sslvpnkeypair
 crl configure
crypto ca certificate chain LOCAL_CA
 certificate *****
  quit
crypto isakmp identity address
crypto isakmp enable inside
crypto isakmp policy 1
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400
telnet 192.168.10.0 255.255.255.0 inside
telnet 192.168.9.0 255.255.255.0 inside
telnet timeout 10
ssh timeout 5
console timeout 10
management-access inside
dhcpd auto_config
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 133.243.238.163
webvpn      
 enable inside
 svc image disk0:/anyconnect-win-2.4.0202-k9.pkg 1
 svc image disk0:/anyconnect-macosx-i386-2.4.0202-k9.pkg 2
 svc enable
 tunnel-group-list enable
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SPLIT_TUNNEL
 default-domain value local
 split-dns value local
 address-pools value VPN_POOL
 webvpn
  url-list value MyBookmarks
  homepage none
tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 default-group-policy GroupPolicy1
tunnel-group TunnelGroup1 webvpn-attributes
 group-alias SSLVPNClient enable
tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *
!
class-map tcp-class
 match any
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect dns preset_dns_map
  inspect icmp
!
service-policy global_policy global
prompt hostname context
: end

今回苦労したのはsame-security-traffic permit intra-interfaceを入れなければならないという点でした。outsideインタフェースで終端してinsideインタフェースからトラフィックが出る場合は必要なかったのですがinsideインタフェースで終端して同じインタフェースからトラフィックが流れてLAN内にアクセスする場合は必要となります。

-iPad, iPhone, iPod, Mac, 未分類, 機材

Copyright© 適当にやるわ , 2018 All Rights Reserved.