2017-02-28 03:11 PM
こんにちは
CiscoASA 5500シリーズ + OS:9.1(6.11) + AnyConnect 3.13015でユーザーにSSL-VPNサービスを提供している者です。
クライアントPCへのIPアドレスアサインについて質問があります。
どなたかご回答いただけますでしょうか。
■環境
今までは、クライアントPCへのIPアドレスアサインには、以下のいずれかを使用していました。
・ASAに設定したIPアドレスプール
・Radiusサーバによるユーザー認証時に、IPアドレスアサインもおこなう方法
上記のいずれの場合も、DNSサーバーのIPアドレスはグループポリシーにて指定していました。(dns-server value [IPアドレス]コマンド)
指定できるIPアドレスは(IPv4で)最大2 IPという制限があり、これで通常問題ないのですが、
システム移行期間中は一時的に4つIPアドレスを登録したいと考えています。
そのため、DHCPサーバにより、クライアントPCのIPアドレス+DNSサーバーのIPアドレスをアサインしたいと考えました。
・DHCPサーバにはWindows2012を使用しています。(クライアントPCはWindows7, Windows10です)
・DHCPサーバのスコープの設定で、DNSサーバに4IP登録可能です。
・クライアントPCがAnyConnect以外での接続時に、DNSサーバのIPアドレスを4つ取得できることはipconfig /allなどで確認済みです。
試したところ、クライアントPCのIPアドレスは取得できましたが、DNSサーバのIPアドレスは取得できませんでした。
・ipconfig /allで確認しました
・ASA上のパケットキャプチャにより、DHCP Offerのパケットの中に4つのDNSサーバのIPアドレスがセットされていることは確認済みです。
■質問
グループポリシーでは、明示的なDNSサーバのIPアドレス指定はおこないませんでした。
(前述のとおり、3つ以上のIPアドレスを登録できないため、DHCPによるアサインを期待しました。)
しかし、継承元のデフォルトグループポリシーが「DNSサーバーのIPアドレスはNone」と指定しているため、DHCP OfferのパケットにあるDNSサーバのIPアドレスを無視しているのだと思います。デフォルトグループポリシーには変更を加えていないため、show runでは表示がでません。
どなたか、対処の方法をお知らせいただけますでしょうか。
--- トンネルグループの抜粋 ---
(hostname)# show run tunnel-group [トンネルグループ名]
tunnel-group [トンネルグループ名] type remote-access
tunnel-group [トンネルグループ名] general-attributes
default-group-policy [グループポリシー名]
dhcp-server [DHCPサーバIPアドレス]
dhcp-server [DHCPサーバIPアドレス]
tunnel-group [トンネルグループ名] webvpn-attributes
customization Customization-JP
group-alias [Alias名] enable
group-url https://[ホスト名]/[group-url名] enable
dns-group [DNS Group名] ←Clientless SSL-VPNの時に有効
(hostname)#
--- グループポリシーの抜粋 ---
(hostname)# show run all group-policy [グループポリシー名]
group-policy [グループポリシー名] internal
group-policy [グループポリシー名] attributes
dhcp-network-scope 10.201.253.128 ←DHCPのスコープを指定
DNSサーバのIPアドレスは指定しない(DHCPサーバからアサインされることを期待)
vpn-session-timeout 1080
vpn-filter value NW-ACL-VPN01
vpn-tunnel-protocol ssl-client
(以下省略)
---ローカルユーザーの定義---
ここではテスト的にローカルユーザーによる認証としています。
username [ユーザー名] password rsAA30.ZV7CXAoD5 encrypted
username [ユーザー名] attributes
vpn-group-policy [グループポリシー名]
service-type remote-access
■添付ファイル
・debug webvpn anyconnectコマンドを入力し、接続時の状況をデバッグした時のファイル
・グループポリシー (show run all group-policy ***)
・デフォルトグループポリシー(show run all group-policy DfltGrpPolicy)
解決済! 解決策の投稿を見る。
2017-03-17 07:42 PM
お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。
2017-03-17 07:42 PM
お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。
2017-03-21 01:44 PM
Shinpei Kono様
ご回答ありがとうございました。
仕様上の制限ということで納得できました。
ありがとうございました。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします