シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

AnyConnect接続時のDHCPサーバーからのIPアドレスアサインについて(DNSサーバーのIPアドレス)

こんにちは

CiscoASA 5500シリーズ + OS:9.1(6.11) + AnyConnect 3.13015でユーザーにSSL-VPNサービスを提供している者です。
クライアントPCへのIPアドレスアサインについて質問があります。
どなたかご回答いただけますでしょうか。


■環境
今までは、クライアントPCへのIPアドレスアサインには、以下のいずれかを使用していました。
・ASAに設定したIPアドレスプール
・Radiusサーバによるユーザー認証時に、IPアドレスアサインもおこなう方法

上記のいずれの場合も、DNSサーバーのIPアドレスはグループポリシーにて指定していました。(dns-server value [IPアドレス]コマンド)
指定できるIPアドレスは(IPv4で)最大2 IPという制限があり、これで通常問題ないのですが、
システム移行期間中は一時的に4つIPアドレスを登録したいと考えています。

そのため、DHCPサーバにより、クライアントPCのIPアドレス+DNSサーバーのIPアドレスをアサインしたいと考えました。
  ・DHCPサーバにはWindows2012を使用しています。(クライアントPCはWindows7, Windows10です)
  ・DHCPサーバのスコープの設定で、DNSサーバに4IP登録可能です。
  ・クライアントPCがAnyConnect以外での接続時に、DNSサーバのIPアドレスを4つ取得できることはipconfig /allなどで確認済みです。

試したところ、クライアントPCのIPアドレスは取得できましたが、DNSサーバのIPアドレスは取得できませんでした。
  ・ipconfig /allで確認しました
  ・ASA上のパケットキャプチャにより、DHCP Offerのパケットの中に4つのDNSサーバのIPアドレスがセットされていることは確認済みです。


■質問
グループポリシーでは、明示的なDNSサーバのIPアドレス指定はおこないませんでした。
(前述のとおり、3つ以上のIPアドレスを登録できないため、DHCPによるアサインを期待しました。)

しかし、継承元のデフォルトグループポリシーが「DNSサーバーのIPアドレスはNone」と指定しているため、DHCP OfferのパケットにあるDNSサーバのIPアドレスを無視しているのだと思います。デフォルトグループポリシーには変更を加えていないため、show runでは表示がでません。
どなたか、対処の方法をお知らせいただけますでしょうか。

--- トンネルグループの抜粋 ---
(hostname)# show run tunnel-group [トンネルグループ名]
tunnel-group [トンネルグループ名] type remote-access
tunnel-group [トンネルグループ名] general-attributes
 default-group-policy [グループポリシー名]
 dhcp-server [DHCPサーバIPアドレス]
 dhcp-server [DHCPサーバIPアドレス]
tunnel-group [トンネルグループ名] webvpn-attributes
 customization Customization-JP
 group-alias [Alias名] enable
 group-url https://[ホスト名]/[group-url名] enable
 dns-group [DNS Group名]                      ←Clientless SSL-VPNの時に有効
(hostname)#

--- グループポリシーの抜粋 ---
(hostname)# show run all group-policy [グループポリシー名]
group-policy [グループポリシー名] internal
group-policy [グループポリシー名] attributes
 dhcp-network-scope 10.201.253.128           ←DHCPのスコープを指定
                                               DNSサーバのIPアドレスは指定しない(DHCPサーバからアサインされることを期待)
 vpn-session-timeout 1080
 vpn-filter value NW-ACL-VPN01
 vpn-tunnel-protocol ssl-client
 (以下省略)
 
---ローカルユーザーの定義---
ここではテスト的にローカルユーザーによる認証としています。
username [ユーザー名] password rsAA30.ZV7CXAoD5 encrypted
username [ユーザー名] attributes
 vpn-group-policy [グループポリシー名]
 service-type remote-access

■添付ファイル
・debug webvpn anyconnectコマンドを入力し、接続時の状況をデバッグした時のファイル
・グループポリシー          (show run all group-policy ***)
・デフォルトグループポリシー(show run all group-policy DfltGrpPolicy)

1 件の受理された解決策

受理された解決策
Cisco Employee

お世話になります

お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。

2 件の返信
Cisco Employee

お世話になります

お世話になります。ご申告の事象はデフォルトグループポリシーの設定に起因したものではなく、ASA の現行の実装に基づいた動作であると考えられます。残念ながら ASA は DNSサーバも含め、DHCP オプションを AnyConnect クライアントに送ることはできません。

New Member

Shinpei Kono様

Shinpei Kono様

ご回答ありがとうございました。

仕様上の制限ということで納得できました。

ありがとうございました。

154
閲覧回数
0
いいね!
2
返信