OS XVPNクライアントをサポートするようにCiscoASAを設定する方法
OS Xが(ネイティブに)Cisco IPSec VPN接続をサポートするようになったとすると、VPN構成の要件はリモートエンドにあるのでしょうか。
私はいくつかのCiscoデバイス(ASA 5505ルーター、RV120WおよびWRVS4400Nデバイスなどのより狭い範囲)を評価しましたが、構築されたものを介してVPNと通信することができませんでした。ただし、クライアントでは、LobotomoのIPSecuritasなどを使用すると、問題なく接続を確立できます。
では、これを機能させるための理想的な構成は何ですか?正直なところ、システムにVPNクライアントをインストールする必要はなく、組み込みのクライアントを使用することをお勧めします。
AnyConnectとMacOSネイティブクライアントの両方で機能しているASA(5525)から、関連する構成をコピーして貼り付けました。ローカライズされた情報を削除したので、途中で何かをタイプミスした可能性があります。私は何も忘れていないことを願っています。 (! ***コメントを探してください。)
! *** This is a pool of IPs that will be allocated to VPN clients
ip local pool Pool_VPN 10.255.255.10-10.255.255.250 mask 255.255.255.0
! *** These are the networks accessible via the VPN
access-list Split_Tunnel standard permit 10.0.0.0 255.0.0.0
access-list Split_Tunnel standard permit 172.16.0.0 255.240.0.0
access-list Split_Tunnel standard permit 192.168.0.0 255.255.0.0
webvpn
! *** See below for the content of this file
anyconnect profiles ExampleVPN disk0:/examplevpn.xml
group-policy GP_VPN internal
group-policy GP_VPN attributes
wins-server none
! *** Replace with your internal DNS server
dns-server value 192.168.0.255
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
password-storage enable
group-lock value TG_VPN
split-tunnel-policy tunnelspecified
ipv6-split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split_Tunnel
! *** Replace with your internal DNS zone
default-domain value example.com
split-dns none
split-tunnel-all-dns disable
secure-unit-authentication disable
! *** Replace with the FQDN of your ASA
gateway-fqdn value asa.example.com
address-pools value Pool_VPN
client-access-rule none
webvpn
anyconnect profiles value ExampleVPN type user
anyconnect ask none default anyconnect
tunnel-group TG_VPN type remote-access
tunnel-group TG_VPN general-attributes
address-pool Pool_VPN
default-group-policy GP_VPN
tunnel-group TG_VPN webvpn-attributes
group-alias TG_VPN enable
tunnel-group TG_VPN ipsec-attributes
! *** Replace with your own shared secret
ikev1 pre-shared-key ThisIsASharedSecret
tunnel-group-map default-group IPSecProfile
ファイルdisk0:/examplevpn.xmlには次のものが含まれています。
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/">
<ServerList>
<HostEntry>
<HostName>asa.example.com</HostName>
<HostAddress>198.51.100.1</HostAddress>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>
ASAの外部FQDNおよびIPアドレスに置き換えます。
次に、「ikev1 pre-shared-key」行にあるのと同じ共有シークレットを使用するようにMacOS「CiscoIPSec」クライアントを設定します。グループ名はトンネルグループ(この場合は「TG_VPN」)です。ユーザ名とパスワードは、ASAで次のような行でローカルに定義されています。
username user password ***** encrypted privilege 15
次の結果として、ローカルアカウントを使用していると思います。
user-identity default-domain LOCAL
ただし、これをローカルユーザーで機能させることができれば、必要に応じて別の方法で認証を設定することができます。
すでに機能しているAnyConnect構成から始めて、次の行を追加したと言います。
tunnel-group TG_VPN ipsec-attributes
ikev1 pre-shared-key ThisIsASharedSecret
macOSクライアントで動作させるため。 (スプリットトンネルネットワークアクセスリストも拡張する必要がありましたが、AnyConnectユーザーにも必要だったと思います。)
AppleはCiscoVPNがネイティブにサポートされていると主張しているので、詳細に説明されています here =、私の推測では、VPN構成の問題または不一致です。
リモートアクセスVPNの設定をOSXクライアントに一致させるのではなく、その逆の問題である可能性があります。
私の経験から、ASAでグループを作成し、それにパスワードを割り当てる必要があります。次に、ユーザーをこのグループに追加します。
OSXでは、アカウント名とパスワードはユーザーのものです。次に、[Authentication Settings]の下に、ASAで設定したグループのパスワード(共有シークレット)を入力し、[GroupName]フィールドにグループの名前を入力します。