シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

AnyConnect Apple iOS - Per App VPN の設定例

[toc:faq]


1. はじめに

本資料では AnyConnect を使用した Per App VPN (Apple iOS) の簡易設定例を紹介します。Apple iOS の Per App VPN との連携機能は AnyConnect 4.0.07.x より正式に TAC サポートとなっています。本資料は 4.0.07075 での設定例となり、旧VPNフレームワークを使用した 4.0.05x での動作は未確認となりますのでご注意ください。また Per App VPN というフィーチャに特化した内容となり AnyConenct 、ASA の基本的な設定にかかる部分は大きく割愛していますのでご了承ください。

本資料作成にあたり使用した製品およびバージョン情報は以下となります。

  • Adaptive Security Appliance (ASA) 9.8(1)
  • Cisco Adaptive Security Device Manager 7.8(1)
  • Cisco AnyConnect Secure Mobility Client 4.0.07075
  • Cisco AnyConnect Enterprise Application Selector 2.0
  • Cisco Meraki Systems Manager
  • Apple iPhone 7 - iOS 10.3.3


設定のイメージとしては、1. ASA の Group Policy または Dynamic Access Policy (DAP) に Per App VPN 用の Custom Attribute を適用、2. AnyConnect に Per App VPN 用のプロファイルを MDM/EMM から配布することに大別されます。以下では順番に整理して設定手順例を記載します。

2. ASA

2.1. Enterprise Application Selector 

ASA に適用する Custom Attribute では、Per App VPN の対象となるアプリケーションを定義します。アプリケーションの設定値は Base 64 でエンコードされた値となり、Enterprise Application Selector を使用して生成することができます。

Enterprise Application Selector は cisco.com の Download Software ページから入手します。以下の画像に記載されたパスから anyconnect_app_selector_2.0.zip というファイルをダウンロードします。

AppSelector-2.0

ファイルを解凍して anyconnect_app_selector.jar を Java で実行します。左上のプルダウンから iOS を選択して、Friendly Name と App ID を入力します。今回は Per App VPN の対象アプリケーションとして Google Chrome を使用します。入力後に Policy > View Policy から出力された値を保存します。 

Enterprise Application Selector

※ App ID はワイルドカードで定義することも可能です。

2.2. ASDM - AnyConnect Custom Attributes

ASDM の Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes から Add をクリックして Custom Attribute を作成します。Type 欄は小文字で perapp を入力します。Description の内容は任意となりますが必ず入力が必要となります。以下の画像は設定作成後に再度 Edit から表示させたものになります。
Custom Attributes

2.3. ASDM - AnyConnect Custom Attribute Names

ASDM の Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names から Add をクリックして perapp とアプリケーション情報を紐付けます。Name は任意の値です(今回は"Chrome")。Configure Value に 2.1 で生成した  Base 64 文字列を入力します。以下の画像は設定作成後に再度 Edit から表示させたものになります。
Custom Attribute Names


2.4. ASDM - Group Policies

Per App VPN で使用するグループポリシーに Per App VPN ポリシーを適用します。Configuration > Remote Access VPN > Network (Client) Access > Group Policies から今回は GP-PerApp という既存のポリシーを使用しています。Edit から Advanced > AnyConnect Client > Custom Attributes に移動して、2.2 と 2.3 で作成した Attribute の組み合わせを適用します。
Group Policy


2.5. ASDM - Dynamic Access Policies (DAP)

DAP は生成された VPNセッションに対して ASA がローカルで適用する Authorization 機能となります。2.4 の Group Policy の代わりに DAP で Custom Attribute を紐付けることができます。

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies から Access/Authorization Policy で 2.2 と 2.3 で作成した Attribute の組み合わせを適用します。
DAP
※ 画像のように Endpoint Attribute をマッチング条件にする場合は、HostScan を有効にしておく必要があります。

2.6. その他

Chrome の起動により手を介さずに自動接続を実現するための設定を検討ください。本資料の検証環境では Tunnel Group は Certificate Map により選定され、認証方式も証明書となっています。また ASA から提示されるサーバ証明書があらかじめクライアントで信頼されるように設定しています。

3. AnyConnect Client (Meraki EMM)

3.1. Cisco Meraki Systems Manager

Per App VPN のプロファイルを Meraki Systems Manager から配布する手順になります。今回はあらかじめ Systems manager に PerApp という Profile を作成しています。ここから Per App VPN 用の設定を追加には + Add settings から More iOS を選択すると展開して出てくる Per App VPN を選択します。Per App VPN menu

Connection Name は任意の名称を指定します。この名称は AnyConnect App に表示される接続名になります。Server には ASA の名前解決可能な FQDN か IPアドレスを入力します。Connection Type には、Cisco Legacy AnyConnect (< 4.0.05.x)  も表示されるので注意ください。Add Credential からはクライアント証明書をアップロードしています。Apps からは Chrome を選択しています。
Meraki Per App

3.2. AnyConnect App

設定 > VPN から APP別VPN (日本語版) より 3.1 で作成したプロファイルが反映されていることを確認します。また AnyConnect App を起動して接続情報として認識されていることを確認します。
Profile

4. Verify

4.1. 動作確認

Chrome ブラウザを起動して VPN が自動的に確立していることを確認します。またブラウザを閉じたり、他のブラウザを起動しても VPN マークが消えて、VPN トンネルが使用されていないことを確認します。AnyConnect App からは利用中のモード(IPv4)のステータスが「アプリケーショントンネル」となっていることを確認します。
AnyConnect App

4.2. 正常動作しないパターン (Requesting user interaction)

Per App VPN を使用するアプリを起動すると "AnyConnect Notification AnyConenct is requesting user interaction. Click this notification to launch" と通知が出て VPN が確立しない場合があります。接続確立に何らかの手作業が AnyConnectで必要なケースとなります。たとえば以下の画像のようにサーバ証明書が信頼されていない例が挙げられます。
AnyConnect App

4.3. 正常動作しないパターン (Invalid Configuration)

Chrome を起動しても VPN が確立せず、AnyConnect App を開くと "The VPN configuration received from the secure gateway is invalid for the Per-App connection. Please contact your network administrator" というエラーが出る場合は、ASA の Custom Attribute の設定に問題がある、あるいは適切なグループポリシーや DAP にマッチしていなかったり、AnyConnect のプロファイルそのものに問題がある場合にも表示されることがあります。

AnyConnect App


Syslog 例

Aug 02 2017 12:39:51: %ASA-5-722010: Group <GP-PerApp> User <shkono> IP <10.141.56.242> SVC Message: 16/ERROR: VPN Configuration received from secure gateway is invalid for Per-App connection..

4.4. トラブルシューティングで収集する基本情報

AnyConnect からは "診断" から "VPNデバッグログ" を有効にして、問題を再現させたあとの"VPNデバッグログ"を取得ください。デバイスの基本情報も含まれるため、発生した問題内容によらず、メーカ調査時の初期取得情報として取得されることを推奨します。
Debug

ASA では show tech-support の出力、問題発生時刻をカバーした debug レベルの syslog (logging class 等でフィルタ可)を取得されることを推奨します。VPN 確立後の挙動が調査対象となる場合は、対象セッションを含む show vpn-sessiondb detail anyconnect の出力結果も取得ください。Custom Attribute を DAP で使用しており、かつ DAP の設定が複雑なケースでは、必要に応じて こちらの資料 も参照のうえログを収集ください。

Apple iOS では Console Log の取得が有効と考えられます。
AnyConnect (iOS) -Xcodeを使用したログの取得方法

MDM/EMM に関する内容は基本的にすべて提供元ベンダにお問い合わせください。

5. 参考資料

Release Notes for Cisco AnyConnect Secure Mobility Client, Release 4.0.x for Apple iOS

AnyConnect Apple iOS - Transition to Apple's latest VPN framework (NetworkExtension)


Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0 - Configure Per App VPN 

How To Implement iOS AnyConnect Per-App with MobileIron

231
閲覧回数
5
いいね!
0
コメント