シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

management-access を使用した VPN 経由での ASA 管理アクセス方法

[toc:faq]

本記事では、リモートアクセスVPN (AnyConnect Client)を使用して ASA に対して ASDM や SSH で管理アクセスを実施する方法を紹介します。


動作概要


以下のような outside インタフェースで、リモートサイトからの VPN アクセスが終端された環境を想定します。ここで、management-access というコマンドを使用することで、outside インターフェースとは別に、VPN からの管理アクセスを待ち受けるインターフェース(inside)を指定して、VPN 経由でアクセスが出来るようになります。


 

事前設定


まず、management-access  を使用する VPN 環境について、以下のような設定を想定します。お使いの環境に応じて適時カスタマイズください。

ciscoasa# show run interface gigabitEthernet 0/0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.71.227.75 255.255.252.0
!--- VPN を終端するインターフェース。

ciscoasa# show run interface gigabitEthernet 0/1
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 5.5.5.5 255.255.255.0
ipv6 address fd20:6ff7:8dea::/126
!--- management-access の対象インターフェース。
!--- 常にリンクアップしている必要があります。

ciscoasa# show run ip local pool
ip local pool v4mgmt 55.55.55.53-55.55.55.54 mask 255.255.255.252
ipv6 local pool v6mgmt 2001:db8::ba98:0:3211/126 2
!--- VPN経由での管理アクセス用 Pool を定義しています。

ciscoasa# show run tunnel-group MGMT-TG
tunnel-group MGMT-TG type remote-access
tunnel-group MGMT-TG general-attributes
default-group-policy MGMT-GP
tunnel-group MGMT-TG webvpn-attributes
group-url https://10.71.227.75/kanri enable
!--- 管理アクセス用の Tunnel Group を用意して Group-url で接続するようにしています。
!--- 証明書マップで特定の管理端末のみを Tunnel Groupに紐付けてもよいです。

ciscoasa# show run group-policy MGMT-GP
group-policy MGMT-GP internal
group-policy MGMT-GP attributes
vpn-tunnel-protocol ssl-client
address-pools value v4mgmt
ipv6-address-pools value v6mgmt
webvpn
anyconnect profiles value mgmt-profile type user
!--- 管理アクセス用の Group-Policy を作成して、先出の Pool を指定します。
!--- Server List で ASA のIP + Group-urlを指定したClient Profile を適用しています。

ciscoasa# show run webvpn
webvpn
enable outside
no anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.2.04018-k9.pkg 1
anyconnect profiles mgmt-profile disk0:/mgmt-profile.xml
anyconnect enable
--- snip ---
!--- VPN を outside で終端しています。
!--- AnyConnectイメージや、作成した Client Profileファイルを指定しています

management-access に必要な設定

SSH を 有効にして inside で管理アクセス用のPoolを許可します。

ciscoasa# show run ssh
ssh stricthostkeycheck
ssh 55.55.55.52 255.255.255.252 inside
ssh 2001:db8::ba98:0:3210/126 inside
ssh timeout 5
ssh version 2
ssh key-exchange group dh-group14-sha1


ASDM で、inside で管理アクセス用の Pool を許可します。

ciscoasa# show run http
http server enable
http 55.55.55.52 255.255.255.252 inside
http 2001:db8::ba98:0:3210/126 inside

ciscoasa# show run asdm
asdm image disk0:/asdm-761.bin


管理用のローカルユーザを定義します。

ciscoasa# show run username 4649admin
username 4649admin password hDwEfk5zFRn6VxsL encrypted
username 4649admin attributes
vpn-group-policy MGMT-GP
 group-lock value MGMT-TG


management-access で inside インターフェースを対象に指定します

ciscoasa# show run management-access
management-access inside


動作確認

AnyConnect で接続を行い、これまでに定義したユーザ、Group-Policy、Tunnel-Group および Pool IP で接続が確立していることを確認します。


AnyConncet クライアントからの確認


ASA の CLI からの確認

ciscoasa# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : 4649admin Index : 92
Assigned IP : 55.55.55.53 Public IP : 10.141.56.147
Assigned IPv6: 2001:db8::ba98:0:3211
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14098 Bytes Rx : 36209
Group Policy : MGMT-GP Tunnel Group : MGMT-TG
Login Time : 20:06:15 JST Fri Jun 10 2016
Duration : 0h:09m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000005c000575ac957
Security Grp : none


VPN確立後に、Inside の IPv4、IPv6 アドレス宛に SSH が出来ることを確認します。SSH アクセス用には、VPNアクセスと別のユーザが定義されています。


同様に、
Inside の IPv4、IPv6 アドレス宛で、ASDM アクセスが出来ることを確認します。


ASDM セッションは、show asdm sessions からも確認可能です。

参考情報

Configure Management Access Over a VPN Tunnel
ASA Access to the ASDM from an Inside Interface Over a VPN Tunnel Configuration Example

406
閲覧回数
5
いいね!
0
コメント