キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

AnyconnectからASAへのリモートVPN接続の設定について

自宅のPCからAnyconnectを使用してASA5510へリモートVPN接続して社内にアクセスしています。

VPN接続時にインターネットにアクセス出来ないように設定を行いたいと考えてます。その設定方法を教えて頂けないでしょうか。

以上、よろしくお願いします。

1 件の受理された解決策

受理された解決策

こんにちわ!以下が参考になるかと思うのですが

こんにちわ!

AnyConnectは多くの場合、御社内の CiscoASA製品(VPNサーバ)でVPN接続終端と、セキュリティポリシーの統合管理を行っている為、CiscoASA側の設定変更が必要かもしれませんね。

以下が参考になるかと思うのですが、如何でしょうか?

AnyConnectは スプリットトンネル機能を用いて、「暗号化」と「非暗号化(多くはインターネット向け用)」対象のトラフィックを細かく定義できます。

ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例
http://www.cisco.com/cisco/web/support/JP/109/1091/1091098_asa8x-split-tunnel-anyconnect-config-j.html

マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
- グループ ポリシーのスプリット トンネリング属性の設定
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/002/vpn_groups.html?bid=0900e4b183272034#pgfId-1053494


なお、(うろ覚えですが、)デフォルトで全てのトラフィックが暗号化されている・・・つまり、VPN接続時に直でインターネットサイトにはアクセスできないかと思います。現在利用の設定で 同時に「社内」と「インターネット」にアクセスできる場合は、上記のスプリットトンネル設定が 意図的に有効化されているか、もしくは、インターネットにアクセス可能なのは VPN経由で社内のProxyサーバなどにアクセスし、社内Proxy経由でインターネットを見れている、などもあるのかなぁと思いました。

スプリットトンネルの設定を変更する場合はネットワーク管理者に要ご相談となりますし、AnyConnect経由での社内プロキシーを利用させたくない場合は以下の"vpn-filter"を利用して、VPN接続時の内部資産へのアクセスを制限できますが、結局 どちらの方法も、ASA側の設定変更が必要です。その為、ASAを管理されている管理者の方などにご相談頂くと良いかと思います。

マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
- リモート アクセスの VLAN の指定またはグループ ポリシーへの統合アクセス コントロール ルール
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/002/vpn_groups.html?bid=0900e4b183272034#pgfId-1373989
 

上記が参考になれば幸いです! laugh

2 件の返信

こんにちわ!以下が参考になるかと思うのですが

こんにちわ!

AnyConnectは多くの場合、御社内の CiscoASA製品(VPNサーバ)でVPN接続終端と、セキュリティポリシーの統合管理を行っている為、CiscoASA側の設定変更が必要かもしれませんね。

以下が参考になるかと思うのですが、如何でしょうか?

AnyConnectは スプリットトンネル機能を用いて、「暗号化」と「非暗号化(多くはインターネット向け用)」対象のトラフィックを細かく定義できます。

ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例
http://www.cisco.com/cisco/web/support/JP/109/1091/1091098_asa8x-split-tunnel-anyconnect-config-j.html

マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
- グループ ポリシーのスプリット トンネリング属性の設定
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/002/vpn_groups.html?bid=0900e4b183272034#pgfId-1053494


なお、(うろ覚えですが、)デフォルトで全てのトラフィックが暗号化されている・・・つまり、VPN接続時に直でインターネットサイトにはアクセスできないかと思います。現在利用の設定で 同時に「社内」と「インターネット」にアクセスできる場合は、上記のスプリットトンネル設定が 意図的に有効化されているか、もしくは、インターネットにアクセス可能なのは VPN経由で社内のProxyサーバなどにアクセスし、社内Proxy経由でインターネットを見れている、などもあるのかなぁと思いました。

スプリットトンネルの設定を変更する場合はネットワーク管理者に要ご相談となりますし、AnyConnect経由での社内プロキシーを利用させたくない場合は以下の"vpn-filter"を利用して、VPN接続時の内部資産へのアクセスを制限できますが、結局 どちらの方法も、ASA側の設定変更が必要です。その為、ASAを管理されている管理者の方などにご相談頂くと良いかと思います。

マニュアル 3:Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド バージョン 9.1
- リモート アクセスの VLAN の指定またはグループ ポリシーへの統合アクセス コントロール ルール
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/002/vpn_groups.html?bid=0900e4b183272034#pgfId-1373989
 

上記が参考になれば幸いです! laugh

New Member

大変参考になりました。ありがとうございます。

大変参考になりました。

ありがとうございます。

506
閲覧回数
0
いいね!
2
返信