こんにちは、ASA5515X で構築して、Clientless SSL-VPN, AnyConnect SSL-VPNサービスをエンドユーザに提供しています。
・OS : 9.1(5)
・AnyConnectは、Ver. 3.1.05182をASA5515Xにインストールして使用しています。
・AnyConnectのライセンスは、AnyConnect4対応の新しい体系のものを使用しています。
・クライアントはWindows 7 / 8.1 です。
最近、エンドユーザーが独自の判断で、別経路で入手したAnyConnect 4.2をPCにインストールして使い始めました。
TeamViwerというリモートサポート/リモートアクセス/Web会議のソフトには、AnyConnect 4.xの方が良好な結果が得られるのだそうです。
今のところ問題なく使用できているようですが、クライアント(PC):4.X、サーバ(ASA):3.Xの組み合わせに問題はないのでしょうか。
■Webインストールについて
もちろん、サーバ(ASA)が3.xなので、クライアント(PC)からブラウザでログインして4.xのAnyConnectのインストールを行うことができないのは理解しています。
■マイナーバージョンが違うときの動作
クライアントとサーバが共に3.Xで、
・マイナーバージョンが、クライアントの方が上の場合
特に問題なし
・マイナーバージョンが、サーバの方が上の場合
デフォルトは、クライアントからの接続時に自動アップデートが走る(クライアントのソフトウェアをバージョンアップする)
自動アップデートの実行/キャンセルをユーザに判断させたり、自動アップデートを一切させない設定も可能
といったことは、実際に本番機/検証機で動作確認済みです。
(このあたりの記載を参考にして、設定をしました。
Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0 → Allowing Users to Defer Upgradeの項
http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/deploy-anyconnect.html
)
ただ、メジャーバージョンがVer.3とVer.4と異なっても問題ないのでしょうか?
■実際のテスト
私もAnyConnect 4.2のクライアントソフトをインストールして、AnyConnect 3.1のASA5515Xに2~3回接続してみましたが、特にエラーも表示されずに接続できました。
syslogはまだ確認していません。(バージョンミスマッチなどのログがあったら、一発でダメという判断になりますが・・)
■クライアントパッケージについて
ASAにインストールするクライアントパッケージ(拡張子:pkg)をWindowsパソコン上で展開したことがありますが、
基本的には、
・AnyConnect本体のインストーラ+プラグイン(SBL、DARTなど)のインストーラ
・若干のスクリプト(ブラウザで接続してインストールするWebインストールのためのもの)
といった感じで、SSLサーバとしての機能には関係がないという理解でよいでしょうか?
(クライアントパッケージをインストールしないと、クライアントプロファイル(xmlファイル)をASDMから作成できないというのは実機で確認済みです。)
AnyConnectのクライアントソフトと、ASAのOSのバージョンの互換性のみ気にすればよい という理解でよいでしょうか。
AnyConnectのリリースノートを見ていると、私にはそういう風に読めます。
よろしくお願いします。
