2011-05-31 04:42 PM
シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!
ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。
テーマ:「仮想プライベートネットワーク(VPN)について」
担当エキスパート:「 荒井 教男(アライ ミチオ)」
ディスカッション開催期間:2011年6月6日~2011年6月19日
「荒井 教男」は、Cisco Japan TAC のカスタマーサポートエンジニアとして約3年間に渡って
セキュリティ製品をサポートしており、現在は主に FW、VPN、AAAなどを担当しています。
また、CCIEは Routing & Switching の資格を取得しています。
[質問の投稿方法]
サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。
もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。
エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。
あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!
2011-06-06 12:32 PM
https://supportforums.cisco.com/message/3372172#3372172
で質問したものです。
目的は、ゲストOSからキャッシュログオンを使わずにドメインにログオンさせる
事ができないかを知りたいです。
遠隔地などでVPN Client以外セキュアネットにつなぐ手段がなく、一度も
ドメインユーザーでログオンできないため、キャッシュログオンができないことが
課題となっております。
よろしく、おねがいいたします。
2011-06-10 02:05 AM
残念ながら XPmode の経験が無いのですが、調べると 7 上の 仮想マシンのように動作するもののようですね
もしそうであれば、ホスト OS(7) の NIC で NAT するような動作モードであれば VPN のトンネルの中を XP
のトラフィックが流れそうな気がします。
調べているとネットワークのモードが何種類かあるようなので、こちらの設定を Shared Networking(NAT) に
して試してみたらいかがでしょうか。
2011-06-06 12:47 PM
ASAと ISRルータ(C851)間でのVPNですが速度があまりでません、コンフィグはCiscoで提供しているサンプルコードを
もとにして設定してあります。
MTU(1414),MSS(1330)の設定も調整してみましたが、大きな改善はありませんでした。
通常のインターネットアクセス回線速度は両端とも30Mbps前後ですが、VPNの速度は700Kbpsがやっと出るくらいです。
有効な改善方法があればお願いいたします。
ルータやUC等の場合、暗号化処理がソフトウェアの為、いろんなネットワークサービスの役割をはたしている場合
スループットにも影響があるのでしょうか?なにか指標の基準となるリソース管理の情報があればよいのですが
2011-06-08 08:37 PM
> ルータやUC等の場合、暗号化処理がソフトウェアの為、いろんなネットワークサービスの役割をはたしている場合
> スループットにも影響 があるのでしょうか?なにか指標の基準となるリソース管理の情報があればよいのですが
仰るように、サービス等さまざまな要因によりリソースが逼迫し、ルータのスループットに影響を及ぼす可能性は
ありますので、心当たりのあるサービス等があるようであれば、切り分けのために一度無効にしてみて動作を確認
頂くこともいいかもしれません。
Ryosuke Usami さんは、お使いの環境での VPN のスループットが低いという問題を抱えているようですが、700Kbps
というのは、具体的にはどのように測定した速度でしょうか?
もし、ルータや ASA がボトルネックになっているようであれば、スループットが出ていないと感じているときに、何度か
show tech を取得いただき、そのエラーカウンタ等の数字を比較することでスループットが出ていない原因となっている
箇 所が特定できるかもしれませんので一度ご確認いただければと思います。
原因となっている箇所が分かれば対処可能かも しれません。
2011-06-06 07:35 PM
一部のPCで、Anyconncetクライアントのインストール時に、
「Trend Micro Common Firewall Miniportを使用するソフトウェアがWindowsのロゴテストに
合格していない」旨のメッセージが表示され、「続行」を選択しインストールは完了しますが、
その後、VPN接続時に再度メッセージが表示されVPN接続が行えません。
有効な対処方法があればお願いいたします。
2011-06-08 09:59 AM
お問い合わせありがとうございます。 荒井です。
Anyconnect に限った話ではないのですが、一部の端末でのみ問題が発生するという状況で
原因としてもっとも疑われるのは、他のソフトウェアないしは、一部 OS の設定との競合となります。
そのため、有効な対処方法は、問題の発生している要因・規模にも依存すると思いますが、現時点
でご案内できる一番簡単な対応策は、(ありきたりとなりますが) OS クリーンインストールになるとま
す。早急な対応が必要で、かつ規模的に許されるようであれば、ご検討ください。
お客様の環境で発生している問題の規模が大きく、上記の対応が現実的ではないときには、クリー
ンインストール済みの端末を用意いただき、ソフトウェアインストール(ないしは設定変更)を一つずつ
行う等の切り分けを実施いただき、問題の発生している/いないを分ける条件を洗い出すことが有効
だと思います。
切り分けの結果、Anyconnect と競合している可能性のあるものが絞り込めましたら、そのサポー
ト(弊社であれば TAC)にコンタクトいただくとともに、弊社 TAC にケースオープンしてください。
TAC にお問い合わせいただく際には、ひとまず Anyconnect の DART bundle と、念のため
msinfo を取得いただくとともに、それまでに実施された切り分けの項目ならびのその結果を添えて
いただければ助かります。
DART の取得方法は、下記のマニュアルの、8章 "AnyConnect セッションの管理、モニタリング、
およびトラブルシューティング" をご参照ください。
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/avpnc/avcag3/OL-20841-01-J.pdf
どうぞよろしくお願い致します。
2011-06-09 03:26 PM
お世話になります。
現在PIX515に対して、WindowsXP環境下で「VPNClient(4.0.5)」による接続を行っている大半で、少数がWindowsXP環境下で「VPNClient5.0.07.0290」による接続を行っております。
Windows7については、DeskTop環境での導入は始めていたのですが、今回本格的に機種を問わずWindows7の導入を始めるにあたり動作検証を行っているところ社外の無線LAN環境よりは普通に接続され社内サーバー等へのアクセスは問題ありません。
しかし、データカード通信による環境下では、VPNClient自身の接続は完了しvirtual adapterの状況を確認しても本来の受け取るべきIPやDNSの情報は設定されているようですが、社内環境に向けてのアクセスが通りません。
ネットワーク優先順位やClientFirewallの関連など変更してみたりしたのですが、どれも解決に至らず、今回質問させて頂きました。
申しあけございませんが、アドバイス頂ければ幸いです。
検証環境:
OS: Windows7 Professional 32bit
VpnClient: Cisco VPNClient 5.0.07.0290
FireWall : PIX515(6.5.3)
データカード: Docomo L-02C
2011-06-10 02:38 AM
残念ながら、現時点では Cisco VPN Client on win7 は、ワイヤレスのデータカードをサポートしておりません。
※参照 URL:
これは、ドライバ周辺の問題のためとなるので、VPN client ならびにデータカードの機種およびドライバの
バージョンに依存し動作が異なる可能があります。
なお、どうしても解決しない場合、以後、弊社サポートの対象外となりますが、DNE を最新のものに
upgrade 頂くことで事象が改善される可能性もゼロではありません。
http://www.citrix.com/lang/English/lp/lp_1680845.asp
繰り返しになりますが、推奨ではありませんので、あくまでも own risk にてお願い致します。
また、DNE の manual upgrade に関してのお手伝いもできませんし、その後発生しうる問題につき
ましても責任は持てませんのでその点ご留意下さいます様お願い致します。
2011-06-10 04:23 PM
ご回答有難うございます。
上記の内容は理解しました。
検証中ですので、お教え頂いた方法を一度試してみようと思います。
話は変わりますが、Windows7の環境でデータカードによるVPNを実現する場合、御社のソリューションとしては
どのようになりますか。
今後のインフラの参考に教えて頂ければ幸いです。
2011-06-10 05:13 PM
ご確認ありがとうございます。
別段 3G データカードを使用する環境に限った話ではないのですが、製品ロードマップとしては
Anyconnect VPN Client x ASA が弊社のソリューションとなります。
下記 URL の通り、Anyconnect では 3G データカード使用環境でも動作いたします。
============================================================================
============================================================================
該当箇所 : "AnyConnect is compatible with 3G data cards which interface with Windows 7 via a WWAN adapter. "
ご検討いただけるとうれしいです。
2011-06-10 05:43 PM
ご回答有難うございます。
>なお、どうしても解決しない場合、以後、弊社サポートの対象外となりますが、DNE を最新のものに
>upgrade 頂くことで事象が改善される可能性もゼロではありません。
>
>http://www.citrix.com/lang/English/lp/lp_1680845.asp
ひとまず、お教え頂いた方法で接続出来ました。
>別段 3G データカードを使用する環境に限った話ではないのですが、製品ロードマップとしては
>Anyconnect VPN Client x ASA が弊社のソリューションとなります。
PIXについは、長年問題なく運用できて来たのでハードウェア保守継続が出来る間はと考えておりましたが、
今後の事も考えて、Replaceなど一度検討してみます。
2011-06-10 05:52 PM
ご報告ありがとうございます。
何とかお役に立てたようで安心しました。
弊社の VPN CLient に新しい DNE が導入される時期、またその可能性の有無につきましては
現時点では公開されている情報はございませんが、仮にそのような状況となりましたら、
Release-Note に記載されるかと思いますので、定期的にご確認いただければと思います。
Cisco VPN Client- Release Notes-
http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_release_notes_list.html
それではまた何かありましたらよろしくお願い致します。
2011-06-09 04:01 PM
複数種類のクライアント(OS)の環境でASAでAnyconnectの利用を検討しています。
Mac OS X 10.4 、10.5
Windows XP 、 7
MAC OS X 10.4 用に AnyConnect 2.3
他は、AnyConnect 3.0 にて接続する必要があるかと思います。
1台のASAにて全てのクライアントを収容するためには、ASA OS 8.3(x) を
利用すれば、異なるAnyConnect versionが混在しても利用可能でしょうか?
2011-06-10 02:58 AM
はい。複数の Anyconnect の Image を一台の ASA に収容可能です。
http://www.cisco.com/en/US/customer/docs/security/asa/asa83/configuration/guide/svc.html#wp1094561
上の URL に乗っていたサンプルですが、CLI ですとこんな感じの設定になります。
svc image filename order
hostname(config-webvpn)# svc image anyconnect-win-2.3.0254-k9.pkg 1
hostname(config-webvpn)# svc image anyconnect-macosx-i386-2.3.0254-k9.pkg 2
hostname(config-webvpn)# svc image anyconnect-linux-2.3.0254-k9.pkg 3
よろしくお願いします。
2011-06-13 06:26 PM
ASA5500を構築してWebアプリケーションとの接続テストをしています。javascript関連でトラブルに陥っており、(1)機器の設定、(2)Webアプリの改修、の両面から検討しているのですが、いずれも解決の糸口が見いだせない状況です。ご意見などいただけるとありがたいです。
なお、スマートトンネル機能を使用するとトラブル解消はできそうだと判明しました。が、スマートトンネルですと、(1)ActiveXコントロールのインストールが必須、(2)WebアプリとのSSO(認証済みのID/PWDをPOST)ができない、といった制約があるため、採用にいたりませんでした。
-----
ASA5500
Clientless SSL VPN
独自開発Webアプリ ajaxなどjavascriptを多用しています
-----以下、解析状況です-----
Webアプリから返却するHTML応答の中に遷移先の次画面へのアドレス情報が含まれているが、SSL-VPN装置で正しく変換できずにブラウザへ渡してしまっている。
具体的には、javascriptの中にアドレス情報が含まれる場合、
・サーバ名やIPアドレスなどを含む絶対パスで記述したアドレス情報が、プライベートアドレスからグローバルアドレスに変換されない
・SSL-VPN装置がPOST等に独自に付与するはずのセッションごとのURL情報が、付与されていない
の2点。
例えば、Webアプリが返すHTMLのheadタグ内のjavascript中に"https://10.xxxx/xxxx/"といったかたちで、ブラウザが次にアクセスすべき外部向けWeb/APのリソースが絶対パスで記載されているケースがあります。このプライベートIPアドレスが、SSL-VPN装置で変換されずにそのままブラウザに届いているため、ブラウザから次のリクエストを送信できない状態となっており、Webアプリの画面が最後まで表示されない。
-----
よろしくお願いいたします。
2011-06-15 09:45 AM
ページに含まれるソースの構文解析を行い、書き換えを行うという clientless SSL VPN の
仕組み上、すべてのページが正常に表示できるという保障はなく、表示がうまくいかない
ページに対しては SmartTunnel の機能で回避いただくというのがもっとも簡単な対策となります。
今回は残念ながら、SmartTunnel が要件に合わないということで、回避が難しい状況ですが、
構 文解析にかんする機能改善も漸次追加されておりますので、一度 ASA の version を
最新のものに upgrade いただくこともご検討いただければと思います。
どうしても解決しない場合には、TAC にケースオープンいただければ、原因の特定、ASA 側で
改 修が可能かの調査・検討を実施しますが、さまざまな理由で修正を行うことが難しい可能性
があります。
2011-06-14 05:37 PM
Radiusサーバ障害時のVPN接続先の切り替えについて
下記のような構成で、東京のRadiusサーバが障害時の場合に、
クライアントは、東京のASAには接続せず、大阪のASAのみに接続させる
ことは可能でしょうか?
クライアント(Anyconnect) --- インターネット --- 東京のASA --- 東京のRadius(ACS)
|
--- 大阪のASA --- 大阪のRadius(ACS)
2011-06-15 10:24 AM
下記の URL にある backup server を定義することで要件を満たせるかも知れないと考え、
少ししらべてみました。
しかし、残念ながら、現行の実装では、backup server への切り替わりは、primary への
N/W 接続が失われることだけのようで、radius 認証失敗のような AAA issue では切り替
わりのトリガーとはならないようでした。
そのため、片方の Radius サーバで障害が発生したときに "自動で" 接続先の ASA を
切り替えるのは、今の実装ではできないのではないかと思います。
server-list を複数定義いただいて、接続に失敗するときには、手動で接続先を切り替える
ような運用で対処いただければ幸いです。
よろしくお願いします
2011-06-15 03:05 PM
ご回答ありがとうございました。
ご提示いただいた運用方法やACSの冗長化を検討することにします。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド