【iPhone4】AnyConnectでASA5505に認証成功後、内部ネットワークに接続できない。

yabazo999 · ‎2012-01-09

サポートお願いします。

ASA5505のSSL-VPN検証ライセンスで社内ネットワークへの接続を検証しています。

ASA5505のDMZ側をoutside、社内ネットワークをinsideに設定し、SSL VPN Wizardで設定し、ユーザ認証及び

IPアドレスのアサインまで成功しますが、ASDM Syslog Messagesに以下のログが表示され、社内サーバにはアクセスできません。

Inbound TCP connection denied from AnyConnectクライアントIP/51977 to 社内WEBサーバ/80 flags SYN on interface outside

Deny inbound UDP from AnyConnectクライアントIP/49683 to DNSサーバIP/53 due to DNS Query

Firewallの設定だとは思いますが、ご回答よろしくお願いします。

tatskoba · ‎2012-01-10

お世話になります。

社内 Web サーバ宛て通信や DNS クエリーが ASA にて deny されているようです。

デフォルトでは、VPN アクセス後の通信について、アクセスリストがバイパスされますが、その設定を

無効化されているのかもしれません。

バージョンが不明なので、ASA 8.4 / ASDM 6.5 の参考情報をお送りします。

コマンドラインリファレンスの

http://www.cisco.com/en/US/docs/security/asa/asa84/command/reference/s8.html#wp1567918

を参考に、

sysopt connection permit-vpn

の設定を有効にしてみてください。

ASDM であれば

Configuration --> Remote Access VPN --> Network (client) Access --> AnyConnect Connection Profiles --> Access Interfaces --> Enable inbound VPN sessions to bypass interface access lists...(以下略)

がその設定に該当します。

意図的に上記機能を無効化されているのであれば、Firewall 部分のアクセスリストを見直してみてください。