キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
15531
閲覧回数
0
いいね!
5
返信

Anyconnect接続時、デフォルトゲートウェイが想定と異なることについて

CSCO10795163
Level 1
Level 1

皆様

Anyconnect構築時、Anyconnectへの接続はできたのですが、Anyconnect接続時のデフォルトゲートウェイが
想定と異なり、Anyconnect接続時に外部との通信やASAへのログインができなくなっています。

外部から社内LANへAnyconnect接続ができ、そこから作業できるような構成を考えています。

LAN側に接続時のデフォルトゲートウェイは172.16.xx.205となっていますが、外部からAnyconnectで接続すると

IPアドレスは想定した範囲から割り当てられるのですが、デフォルトゲートウェイは172.16.xx.1になってしまいます。
DHCPサーバにてアドレスを割り当てるようにしていますが、DHCPサーバのデフォルトゲートウェイは172.16.xx.205に
なっています。
状況として、Anyconnect接続時でも172.16.xx.205のヤマハルータにはログインできる状態です。

試しにDHCPサーバにてアドレスを割り当てないようにし、poolで範囲を10.10.xx.1-10.10.xx.254に指定しAnyconnect接続した
ところ、IPアドレスは10.10.xx.1、デフォルトゲートウェイは10.10.xx.2になりました。

ASAの設定として、Anyconnectの通常の設定およびinside側へのtunnelのゲートウェイ及びoutside側へのゲートウェイについては

設定しています。

どのような原因が考えられるか、またこの現象が発生しないようにするにはどのようにしたらよいかご教授いただけると助かります。

 

OSバージョン:asa904-smp-k8.bin
ライセンス:
CiscoAnyconnectEssentials(250ユーザ)
AnyconnectMobile

2 件の受理された解決策

受理された解決策

Akira Muranaka
Level 8
Level 8

こんばんわ!

デフォルトゲートウェイの件は すぐ解らないのですが、以下2点が気になったので横から失礼します。

>>Anyconnect接続時に外部との通信やASAへのログインができなくなっています。
>>状況として、Anyconnect接続時でも172.16.xx.205のヤマハルータにはログインできる状態です。

おそらく、AnyConnectはうまく社内LANと接続できているのかなぁ、と思いました。AnyConnectから他の社内サービスには繋げれますでしょうか?

 

また、AnyConnect経由での外部接続はスプリットトンネルの設定が必要かなぁ、と思います。以下は少し古い情報になりますが、ご参考ください!

[ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例]
http://www.cisco.com/cisco/web/support/JP/109/1091/1091098_asa8x-split-tunnel-anyconnect-config-j.html

スプリットトンネルの設定の流れ・雰囲気は、以下のYouTube動画も素敵だと思います。社内セグメントだけトンネルすればよいと思います。

[How to create a Split Tunnel on Cisco vpn AnyConnect to permit lan internet connection]
https://www.youtube.com/watch?v=arXSGWh1cLg


VPN経由でのASA管理アクセスはデフォルトで確か許可されていなかったので、以下設定が必要だったと思います! こちらも確認してみてください。

[VPN トンネルを介した管理アクセスの設定] (CLIの場合)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500AdaptiveSecurAppli/CG/003/access_management.html?bid=0900e4b1830d7ae6#pgfId-1438524

[VPN トンネルを介した管理アクセスの設定] (ASDMの場合)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/access_management.html?bid=0900e4b182bdeb70#pgfId-1460724


上記が解決の一助になれば幸いです laugh

元の投稿で解決策を見る

こんばんわ!

以下 Ciscoエンジニアさんの回答にありますが、AnyConnect接続時、ASAはデフォルトゲートウェイ(DG)としてセグメントの最初の1番目の仮想IPを割り当てるようです。

[How can I specify a default gateway for AnyConnect users with a local IP pool?]
https://supportforums.cisco.com/discussion/10780776/how-can-i-specify-default-gateway-anyconnect-users-local-ip-pool

------------------------------------------------------------
[抜粋]
Ethernet adapter Cisco AnyConnect VPN Client Connection:
    (略)
  IP Address. . . . . . . . . . . . : 10.1.50.1
  Subnet Mask . . . . . . . . . . . : 255.255.0.0 <<<<<<<< Subnet mask is /16.
  Default Gateway . . . . . . . . . : 10.1.0.1

10.1.50.1 is a part of 10.1.0.0 subnet. By design, to make VPN client routing compatible with the Vista machines. We had changed the ip address assigment for DG on the client. This had been noticed that if you have the same ip of DG as the virtual adapter's ip address it won't work. So what you are seeing is the right behavior.

In other words, Anyconnect will show the first ip address of the subnet as the DG which in your case is 10.1.0.1 .
------------------------------------------------------------

このデフォルトゲートウェイは、ASAがクライアントから自身宛の接続のためのゲートウェイで、ASAがルーティング処理やセキュリティチェック(AnyConnectはクライアントのアクセスリスト制御とかもできます)をしてから、クライアントは社内LANに接続可能になります。

ちなみに、僕の会社のAnyConnectも、フルトンネルでの接続なのですが、VPN接続時のデフォルトゲートウェイも上記ルールに基づいたIPアドレスでした 

AnyConnectが正常に接続できているかの確認方法としては、タスクバーのAnyConnectアイコンをダブルクリック→ギアのアイコン(Advance Window)クリック→"Statistics"タブで、パケット交換状況がわかります。正常に接続できていれば、対向からのパケットの受信(Received)が相当数あると思いますよ! また、スプリットトンネル設定前と後で、"Route detail"タブの情報も比較してみてください。

デフォルトゲートウェイの表示が消えちゃった件は、おそらく設定頂いたスプリットトンネルにより、指定した社内宛ルートだけAnyConnectクライアントにプッシュされるようになったからかなぁと思います。 スプリットトンネルの設定を試しに消して頂いてデフォルトゲートウェイが復活したら、ほぼ間違いないのかなと思います。間違ってたらごめんなさい・・・。

無事接続できることを祈ってます!wink

元の投稿で解決策を見る

5件の返信5

Akira Muranaka
Level 8
Level 8

こんばんわ!

デフォルトゲートウェイの件は すぐ解らないのですが、以下2点が気になったので横から失礼します。

>>Anyconnect接続時に外部との通信やASAへのログインができなくなっています。
>>状況として、Anyconnect接続時でも172.16.xx.205のヤマハルータにはログインできる状態です。

おそらく、AnyConnectはうまく社内LANと接続できているのかなぁ、と思いました。AnyConnectから他の社内サービスには繋げれますでしょうか?

 

また、AnyConnect経由での外部接続はスプリットトンネルの設定が必要かなぁ、と思います。以下は少し古い情報になりますが、ご参考ください!

[ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例]
http://www.cisco.com/cisco/web/support/JP/109/1091/1091098_asa8x-split-tunnel-anyconnect-config-j.html

スプリットトンネルの設定の流れ・雰囲気は、以下のYouTube動画も素敵だと思います。社内セグメントだけトンネルすればよいと思います。

[How to create a Split Tunnel on Cisco vpn AnyConnect to permit lan internet connection]
https://www.youtube.com/watch?v=arXSGWh1cLg


VPN経由でのASA管理アクセスはデフォルトで確か許可されていなかったので、以下設定が必要だったと思います! こちらも確認してみてください。

[VPN トンネルを介した管理アクセスの設定] (CLIの場合)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500AdaptiveSecurAppli/CG/003/access_management.html?bid=0900e4b1830d7ae6#pgfId-1438524

[VPN トンネルを介した管理アクセスの設定] (ASDMの場合)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/access_management.html?bid=0900e4b182bdeb70#pgfId-1460724


上記が解決の一助になれば幸いです laugh

ご回答ありがとうございます!

ご回答いただいた内容に沿って確認したところ、
外部への通信ができるようになりました。

そこで現象が良い方向に変わったものもあれば良い方向に変わったのか
判断しづらいものもあったので追加で質問させてください。

外部への通信ができる時点でデフォルトゲートウェイも
正常に機能しているのではと思い、デフォルトゲートウェイを確認したところ、
デフォルトゲートウェイが表示されなくなりました。
変更前と変更後のIPアドレス情報を以下に記載いたします。

変更前
IPアドレス:172.16.xx.24
サブネットマスク:255.255.254.0
デフォルトゲートウェイ:172.16.xx.1

変更後
IPアドレス:172.16.xx.24
サブネットマスク:255.255.254.0
デフォルトゲートウェイ:(空白)

上記変更後の内容で外部と接続されはしたものの、デフォルトゲートウェイに
IPアドレスが表示されない状態は正しい状態なのか教えていただきたく思っています。
正しく接続されたAnyconnectを見たことがないのでそこを解決できると
とても助かります。

 

こんばんわ!

以下 Ciscoエンジニアさんの回答にありますが、AnyConnect接続時、ASAはデフォルトゲートウェイ(DG)としてセグメントの最初の1番目の仮想IPを割り当てるようです。

[How can I specify a default gateway for AnyConnect users with a local IP pool?]
https://supportforums.cisco.com/discussion/10780776/how-can-i-specify-default-gateway-anyconnect-users-local-ip-pool

------------------------------------------------------------
[抜粋]
Ethernet adapter Cisco AnyConnect VPN Client Connection:
    (略)
  IP Address. . . . . . . . . . . . : 10.1.50.1
  Subnet Mask . . . . . . . . . . . : 255.255.0.0 <<<<<<<< Subnet mask is /16.
  Default Gateway . . . . . . . . . : 10.1.0.1

10.1.50.1 is a part of 10.1.0.0 subnet. By design, to make VPN client routing compatible with the Vista machines. We had changed the ip address assigment for DG on the client. This had been noticed that if you have the same ip of DG as the virtual adapter's ip address it won't work. So what you are seeing is the right behavior.

In other words, Anyconnect will show the first ip address of the subnet as the DG which in your case is 10.1.0.1 .
------------------------------------------------------------

このデフォルトゲートウェイは、ASAがクライアントから自身宛の接続のためのゲートウェイで、ASAがルーティング処理やセキュリティチェック(AnyConnectはクライアントのアクセスリスト制御とかもできます)をしてから、クライアントは社内LANに接続可能になります。

ちなみに、僕の会社のAnyConnectも、フルトンネルでの接続なのですが、VPN接続時のデフォルトゲートウェイも上記ルールに基づいたIPアドレスでした 

AnyConnectが正常に接続できているかの確認方法としては、タスクバーのAnyConnectアイコンをダブルクリック→ギアのアイコン(Advance Window)クリック→"Statistics"タブで、パケット交換状況がわかります。正常に接続できていれば、対向からのパケットの受信(Received)が相当数あると思いますよ! また、スプリットトンネル設定前と後で、"Route detail"タブの情報も比較してみてください。

デフォルトゲートウェイの表示が消えちゃった件は、おそらく設定頂いたスプリットトンネルにより、指定した社内宛ルートだけAnyConnectクライアントにプッシュされるようになったからかなぁと思います。 スプリットトンネルの設定を試しに消して頂いてデフォルトゲートウェイが復活したら、ほぼ間違いないのかなと思います。間違ってたらごめんなさい・・・。

無事接続できることを祈ってます!wink

ご回答いただきありがとうございました。

 

スプリットトンネルについて消したところ、デフォルトゲートウェイが復活しました。

そして再度スプリットトンネルを入れたところ、デフォルトゲートウェイが残ったままになっていました。

ただ、デフォルトゲートウェイに仮想IPが入ることも含めこれが正しい状態であることを理解しました。

 

Anyconnectの状態についても今回確認しました。

他の場合の確認でも使えそうなので知識として蓄えておきます。

こんばんわ!

検証結果の掲示板での共有ありがとうございます。ナリッジとしてとても助かります。

そして、無事つながったようで、おめでとうございます!

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします