キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1954
閲覧回数
0
いいね!
2
返信

AnyConnect接続時のDHCPサーバーからのIPアドレスアサインについて(DNSサーバーのIPアドレス)

athirano1
Level 1
Level 1

こんにちは

CiscoASA 5500シリーズ + OS:9.1(6.11) + AnyConnect 3.13015でユーザーにSSL-VPNサービスを提供している者です。
クライアントPCへのIPアドレスアサインについて質問があります。
どなたかご回答いただけますでしょうか。


■環境
今までは、クライアントPCへのIPアドレスアサインには、以下のいずれかを使用していました。
・ASAに設定したIPアドレスプール
・Radiusサーバによるユーザー認証時に、IPアドレスアサインもおこなう方法

上記のいずれの場合も、DNSサーバーのIPアドレスはグループポリシーにて指定していました。(dns-server value [IPアドレス]コマンド)
指定できるIPアドレスは(IPv4で)最大2 IPという制限があり、これで通常問題ないのですが、
システム移行期間中は一時的に4つIPアドレスを登録したいと考えています。

そのため、DHCPサーバにより、クライアントPCのIPアドレス+DNSサーバーのIPアドレスをアサインしたいと考えました。
  ・DHCPサーバにはWindows2012を使用しています。(クライアントPCはWindows7, Windows10です)
  ・DHCPサーバのスコープの設定で、DNSサーバに4IP登録可能です。
  ・クライアントPCがAnyConnect以外での接続時に、DNSサーバのIPアドレスを4つ取得できることはipconfig /allなどで確認済みです。

試したところ、クライアントPCのIPアドレスは取得できましたが、DNSサーバのIPアドレスは取得できませんでした。
  ・ipconfig /allで確認しました
  ・ASA上のパケットキャプチャにより、DHCP Offerのパケットの中に4つのDNSサーバのIPアドレスがセットされていることは確認済みです。


■質問
グループポリシーでは、明示的なDNSサーバのIPアドレス指定はおこないませんでした。
(前述のとおり、3つ以上のIPアドレスを登録できないため、DHCPによるアサインを期待しました。)

しかし、継承元のデフォルトグループポリシーが「DNSサーバーのIPアドレスはNone」と指定しているため、DHCP OfferのパケットにあるDNSサーバのIPアドレスを無視しているのだと思います。デフォルトグループポリシーには変更を加えていないため、show runでは表示がでません。
どなたか、対処の方法をお知らせいただけますでしょうか。

--- トンネルグループの抜粋 ---
(hostname)# show run tunnel-group [トンネルグループ名]
tunnel-group [トンネルグループ名] type remote-access
tunnel-group [トンネルグループ名] general-attributes
 default-group-policy [グループポリシー名]
 dhcp-server [DHCPサーバIPアドレス]
 dhcp-server [DHCPサーバIPアドレス]
tunnel-group [トンネルグループ名] webvpn-attributes
 customization Customization-JP
 group-alias [Alias名] enable
 group-url https://[ホスト名]/[group-url名] enable
 dns-group [DNS Group名]                      ←Clientless SSL-VPNの時に有効
(hostname)#

--- グループポリシーの抜粋 ---
(hostname)# show run all group-policy [グループポリシー名]
group-policy [グループポリシー名] internal
group-policy [グループポリシー名] attributes
 dhcp-network-scope 10.201.253.128           ←DHCPのスコープを指定
                                               DNSサーバのIPアドレスは指定しない(DHCPサーバからアサインされることを期待)
 vpn-session-timeout 1080
 vpn-filter value NW-ACL-VPN01
 vpn-tunnel-protocol ssl-client
 (以下省略)
 
---ローカルユーザーの定義---
ここではテスト的にローカルユーザーによる認証としています。
username [ユーザー名] password rsAA30.ZV7CXAoD5 encrypted
username [ユーザー名] attributes
 vpn-group-policy [グループポリシー名]
 service-type remote-access

■添付ファイル
・debug webvpn anyconnectコマンドを入力し、接続時の状況をデバッグした時のファイル
・グループポリシー          (show run all group-policy ***)
・デフォルトグループポリシー(show run all group-policy DfltGrpPolicy)

1 件の受理された解決策

受理された解決策

Shinpei Kono
Cisco Employee
Cisco Employee

お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。

元の投稿で解決策を見る

2件の返信2

Shinpei Kono
Cisco Employee
Cisco Employee

お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。

Shinpei Kono様

ご回答ありがとうございました。

仕様上の制限ということで納得できました。

ありがとうございました。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします