想定する環境の条件は、以下のとおりです。
- Infranet から Internet[192.168.1.0→100.1.1.0]への通信は許可します。
- Internet から Infranet[100.1.1.0→192.168.1.0]への通信は拒否します。
- Internet から DMZ[100.1.1.0→1.1.1.0] への SSL 通信は許可します。
- SSL 接続後、Internet 側の Client は、192.168.1.0/24 宛ての通信を SSL-VPN の対象とします。
- SSL-VPN は、Cisco1841 の WebVPN(SVC Full Tunne Mode)機能を使用します。
- Netscreen/5G の VIP 機能により Global(100.1.1.1:443)を Private(1.1.1.100:443)と紐づけます。
Netscree/SSG5G 設定例
Network > Interfaces(untrust) > Edit > VIP から[New VIP Service]をクリックします。
Virtual IP/Port 及び、Map to IP を設定し[OK]をクリックします。
この時、次のようなエラーが出力される場合があります。
"Not supported service is for management of the box."
WebUI が使用するデフォルトポート(HTTP:80 HTTPS:443)と競合する事が原因です。
この場合、以下のコマンドにより、それぞれのポートを変更します。
set admin port 8080 set ssl port 4343
これに伴い、Management へ接続する際には次のようなるため、注意が必要です。
https://"xxx.xxx.xxx.xxx":4343 or http://"xxx.xxx.xxx.xxx":8080
以下のとおり VIP Services が追加されます。
Policy > Policies(From Untrust To DMZ)から[New]をクリックします。
Destination Address に作成した VIP を選択し[OK]をクリックします。
必要に応じて Policy を追加します。
Cisco1841 設定例
事前準備として、Cisco Download Software から Client OS に対応する anyconnect.pkg をダウンロードし、FTP 等で Router の flash: へ転送します。
Router#show flash: -#- --length-- -----date/time------ path 1 47396548 May 1 2012 00:54:06 +00:00 c1841-adventerprisek9-mz.151-4.M4.bin 2 5401218 May 1 2012 00:55:22 +00:00 anyconnect-dart-win-2.5.3055-k9.pkg
ユーザーの認証方法を定義します。
Router(config)#aaa new-model Router(config)#aaa authentication login default local Router(config)#username cisco privilege 0 password cisco
Gateway にパッケージをインストールします。
Router(config)#webvpn install svc flash:/webvpn/anyconnect-dart-win-2.5.3055-k9.pkg SSLVPN Package SSL-VPN-Client (seq:1): installed successfully
Cliene へ払い出す IP アドレスを定義します。Infranet 上でルーティングが可能である必要があります。
Router(config)#ip local pool pool 1.1.1.10 1.1.1.20
WebVPN Gateway を定義します。
Router(config)#webvpn gateway webvpn Router(config-webvpn-gateway)#hostname Router Router(config-webvpn-gateway)#ip address 1.1.1.100 port 443 Router(config-webvpn-gateway)#inservice Router(config-webvpn-gateway)#exit
WebVPN Context を定義します。
Router(config)#webvpn context context Router(config-webvpn-context)#policy group default Router(config-webvpn-group)#functions svc-enabled Router(config-webvpn-group)#svc keep-client-installed Router(config-webvpn-group)#svc address-pool "pool" netmask 255.255.255.0 Router(config-webvpn-group)#svc split include 192.168.1.0 255.255.255.0 Router(config-webvpn-group)#exit
Context の Policy を定義し Gateway を適用します。
Router(config-webvpn-context)#default-group-policy default Router(config-webvpn-context)#gateway webvpn Router(config-webvpn-context)#max-users 10 Router(config-webvpn-context)#inservice Router(config-webvpn-context)#exit
設定後の show run は下記のとおりです。
Router#sh run | s webvpn webvpn gateway webvpn hostname Router ip address 1.1.1.100 port 443 ssl trustpoint TP-self-signed-3229451972 inservice ! webvpn install svc flash:/webvpn/anyconnect-dart-win-2.5.3055-k9.pkg sequence 1 ! webvpn context context ssl authenticate verify all ! ! policy group default functions svc-enabled svc address-pool "pool" netmask 255.255.255.0 svc keep-client-installed svc split include 192.168.1.0 255.255.255.0 default-group-policy default gateway webvpn max-users 10 inservice
Client からの接続例
ブラウザから、https://100.1.1.1 を実行します。
Tunnel Connection(AnyConnect)の[Start]をクリックします。
Cisco AnyConnect VPN Client がインストールされ SSL-VPN が構築されます。
Cisco1841 で、接続ユーザーを確認するには"show webvpn session"コマンドを使用します。
Router#show webvpn session context all WebVPN context name: context Client_Login_Name Client_IP_Address No_of_Connections Created Last_Used cisco 1.1.1.10 6 00:01:33 00:01:29
以上