NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Cisco WebVPN(SSL-VPN)設定例

想定する環境の条件は、以下のとおりです。

  • Infranet から Internet[192.168.1.0→100.1.1.0]への通信は許可します。
  • Internet から Infranet[100.1.1.0→192.168.1.0]への通信は拒否します。
  • Internet から DMZ[100.1.1.0→1.1.1.0] への SSL 通信は許可します。
  • SSL 接続後、Internet 側の Client は、192.168.1.0/24 宛ての通信を SSL-VPN の対象とします。
  • SSL-VPN は、Cisco1841 の WebVPN(SVC Full Tunne Mode)機能を使用します。
  • Netscreen/5G の VIP 機能により Global(100.1.1.1:443)を Private(1.1.1.100:443)と紐づけます。

f:id:FriendsNow:20120503130536p:plain:w450

Netscree/SSG5G 設定例

Network > Interfaces(untrust) > Edit > VIP から[New VIP Service]をクリックします。
f:id:FriendsNow:20130129175510p:plain

Virtual IP/Port 及び、Map to IP を設定し[OK]をクリックします。
f:id:FriendsNow:20130129175522p:plain
この時、次のようなエラーが出力される場合があります。

"Not supported service is for management of the box."

WebUI が使用するデフォルトポート(HTTP:80 HTTPS:443)と競合する事が原因です。
この場合、以下のコマンドにより、それぞれのポートを変更します。

set admin port 8080
set ssl port 4343

これに伴い、Management へ接続する際には次のようなるため、注意が必要です。

https://"xxx.xxx.xxx.xxx":4343 or http://"xxx.xxx.xxx.xxx":8080 

以下のとおり VIP Services が追加されます。
f:id:FriendsNow:20130129175537p:plain

Policy > Policies(From Untrust To DMZ)から[New]をクリックします。
f:id:FriendsNow:20130129175549p:plain

Destination Address に作成した VIP を選択し[OK]をクリックします。
f:id:FriendsNow:20130129175557p:plain

必要に応じて Policy を追加します。
f:id:FriendsNow:20130129175607p:plain

Cisco1841 設定例

事前準備として、Cisco Download Software から Client OS に対応する anyconnect.pkg をダウンロードし、FTP 等で Router の flash: へ転送します。

Router#show flash:
-#- --length-- -----date/time------ path
1     47396548 May 1 2012 00:54:06 +00:00 c1841-adventerprisek9-mz.151-4.M4.bin
2      5401218 May 1 2012 00:55:22 +00:00 anyconnect-dart-win-2.5.3055-k9.pkg

ユーザーの認証方法を定義します。

Router(config)#aaa new-model
Router(config)#aaa authentication login default local
Router(config)#username cisco privilege 0 password cisco

Gateway にパッケージをインストールします。

Router(config)#webvpn install svc flash:/webvpn/anyconnect-dart-win-2.5.3055-k9.pkg
SSLVPN Package SSL-VPN-Client (seq:1): installed successfully

Cliene へ払い出す IP アドレスを定義します。Infranet 上でルーティングが可能である必要があります。

Router(config)#ip local pool pool 1.1.1.10 1.1.1.20

WebVPN Gateway を定義します。

Router(config)#webvpn gateway webvpn
Router(config-webvpn-gateway)#hostname Router
Router(config-webvpn-gateway)#ip address 1.1.1.100 port 443
Router(config-webvpn-gateway)#inservice
Router(config-webvpn-gateway)#exit

WebVPN Context を定義します。

Router(config)#webvpn context context
Router(config-webvpn-context)#policy group default
Router(config-webvpn-group)#functions svc-enabled
Router(config-webvpn-group)#svc keep-client-installed
Router(config-webvpn-group)#svc address-pool "pool" netmask 255.255.255.0
Router(config-webvpn-group)#svc split include 192.168.1.0 255.255.255.0
Router(config-webvpn-group)#exit

Context の Policy を定義し Gateway を適用します。

Router(config-webvpn-context)#default-group-policy default
Router(config-webvpn-context)#gateway webvpn
Router(config-webvpn-context)#max-users 10
Router(config-webvpn-context)#inservice
Router(config-webvpn-context)#exit

設定後の show run は下記のとおりです。

Router#sh run | s webvpn
webvpn gateway webvpn
 hostname Router
 ip address 1.1.1.100 port 443
 ssl trustpoint TP-self-signed-3229451972
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-dart-win-2.5.3055-k9.pkg sequence 1
 !
webvpn context context
 ssl authenticate verify all
 !
 !
 policy group default
   functions svc-enabled
   svc address-pool "pool" netmask 255.255.255.0
   svc keep-client-installed
   svc split include 192.168.1.0 255.255.255.0
 default-group-policy default
 gateway webvpn
 max-users 10
 inservice
Client からの接続例

ブラウザから、https://100.1.1.1 を実行します。
f:id:FriendsNow:20130129175623p:plain

Tunnel Connection(AnyConnect)の[Start]をクリックします。
f:id:FriendsNow:20130129175629p:plain

Cisco AnyConnect VPN Client がインストールされ SSL-VPN が構築されます。
f:id:FriendsNow:20130129175636p:plain

Cisco1841 で、接続ユーザーを確認するには"show webvpn session"コマンドを使用します。

Router#show webvpn session context all
WebVPN context name: context
Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
cisco              1.1.1.10                   6         00:01:33  00:01:29

以上