購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
3751
閲覧回数
0
いいね!
2
返信

プロキシサーバのException Listにおけるサブネットマスクについて

parlerinfo193
Level 1
Level 1

‎2013-12-02 12:16 PM

お世話になります。

Cisco ASAのGroup Policy設定で、Browser Proxyを設定できるかと思います。

このProxy設定で、Exception ListにIPアドレス単独ではなく、

サブネットマスクなどで範囲を指定して追加したいのですが、想定の動きがされずに困っております。

登録欄は↓のURLにある「Except List」欄になります。

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/009/vpn_asdm_setup.html?bid=0900e4b1835a70ad

#添付資料の赤枠内の事

↓の"サブネットマスク"欄に記載されている通り、

サブネットマスクとして、「/ ビット (「スラッシュ ビット 」)マスク」で記載してみましたが、

エラーが発生し、登録できませんでした。

#添付資料のErrorメッセージ参照

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/CG/008/8629_01_appendixd.html?bid=0900e4b1825ae607#86244

色々試したところ、どうやら、ワイルドカードは有効らしく、こちらを利用することで、

Exception ListにIPアドレスの範囲を指定した方法で登録が出来ました。

しかし、このワイルドカードは、第3オクテットから有効で、

第2オクテットでの設定はで来ませんでした。

ex) 「20.10.*.*」は有効に作用し、「20.10.10.100」のIPアドレスはプロキシを経由しないが、

   「20.*.*.*」は、正常に作動せず、「20.10.10.100」のIPアドレスはプロキシを経由してしまう。

上記踏まえまして、2点質問をさせてください。

---

1) Exception Listにはサブネットマスクを利用した範囲指定の登録は出来ないのでしょうか?

2) ワイルドカードは、第3オクテットからしか有効ではないという事でしょうか?

  書き方の問題で、書き方を変えることで、第2オクテットからのワイルドカードも有効になるのでしょうか?

---

また、本件について、有効な問い合わせ先があれば、

そちらをご教示いただければ、大変ありがたく思います。

どうぞよろしくお願いいたします。

ファイルをプレビュー
134 KB
0 いいね!
2件の返信2

Shinpei Asakura
Level 1
Level 1

‎2014-01-08 07:03 PM

こんにちは、ちょっとお返事まで時間があいてしまっていますが、

目に留まりましたので返信させていただきました。

Exception List でサブネットが指定できないのは、ASDM だけでなく、
そもそも、IE のプロキシの例外設定でもサブネット指定は出来ないと思います。
MS のサイト情報などをみても、ワイルドカードの使用が想定されているようですね。
http://technet.microsoft.com/en-us/library/cc939852.aspx

そこで、ワイルドカードを使用するとして、20.*.*.* が正常作動しないという件については、

たしかに 手元のPCで確認しても、AnyConnect 未使用状態で、直接 IE で

例外を追加すれば、20.*.*.* のような指定方法でも、20.10.10.100 に

該当する通信は正常にプロキシをバイパスしているように見えますので、

AnyConnect 接続時にプロキシがASAからプッシュされた場合固有の問題として、

Cisco 社のTAC へお問い合わせされるのがよいと思います。

お問い合わせ方法

http://www.cisco.com/web/JP/services/smb-svc/request/index.html

初期情報として以下を取り揃えておくとよいのではと思いました。

※ 他にも依頼がある可能性はありますので、あくまで必要最低な情報とお考えください。

ASA
- show tech 
- syslog (informational 以上)
   ※ 20.*.*.* と 20.10.*.* の2パターンで動作確認した時間帯を含むもの

※ その他、Full tunnel で接続されているようでしたら、ASA の

inside に該当する部分ないし、復号後のパケットが見えるインターフェース上で

パケットキャプチャを取っておくのもよいかもしません。

取得方法

https://supportforums.cisco.com/docs/DOC-12336

PC(AnyConnect)
- DART ログ
   ※ 2パターンの動作確認結果後に取得
- IEのスクリーンキャプチャ
   --> インターネットオプション > 接続 > LAN の設定 > プロキシサーバ から
   詳細設定をクリックした画面の表示を、2パターンそれぞれで取得。

なお、スクリーンキャプチャについては、Proxy Lockdown により IE の

接続タブが消えてしまっているようでしたら、

ASDM から接続で使用する GroupPolicy を選択して、Advanced ->

Browser Proxy -> Proxy Lockdown で、

Allow Proxy Lockdown for Client System で No をクリックしたうえで、

作業を実施していただくのがよいと思います。

また仮に AnyConnect や ASA の問題だった場合は、最新のリリースで

修正されているかもしれませんので、テスト環境でしたら、

最新のバージョンを使ってご確認いただくのがよいかと思います。

朝倉

0 いいね!

parlerinfo193
Level 1
Level 1
Shinpei Asakuraに対する応答

‎2014-01-15 10:12 AM

朝倉 様

丁寧な御回答をありがとうございました。

やはり、サブネットマスクですの指定は不可能なのですね。

問い合わせ先についてもご教示をありがとうございます。

IEのExceptionListと動作が異なるので、問い合わせを検討したいと思います。

最新バージョンの検証環境は現在ありませんが、

最新版での動作についても調査してみます。

まずは、お礼まで。

引き続き、どうぞよろしくお願いいたします。

0 いいね!
Customers Also Viewed These Support Documents