2018年03月06日
このエントリーをはてなブックマークに追加
固定IPの問題から、外出先でAnyConnectを利用し、事務所のIPでインターネットに出て行きたい。そういう案件がありました。
AnyConnectはとても柔軟な設定ができる一方で複雑です。

かなり悩んだのですが、以下の通り解決しました。
AnyConnectの設定は通常通り行います。

# 同一インターフェースの通信を許可
same-security-traffic permit intra-interface
※ASDM では Device Setup から Enable traffic between two or more hosts connected to the same interface

# AnyConnectのポリシーですべてのトラフィックをVPNに流すようにします。
group-policy GroupPolicy_XXX attributes
split-tunnel-policy tunnelall

# Nat の設定を入れます。
nat (outside,outside) source dynamic [VPNIPオブジェクト] interface

トラブルになったとき、以下のログがでていました。
Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:[VPN IP] dst outside:8.8.8.8 (type 8, code 0) denied due to NAT reverse path failure
※このエラーについては、NATルールが正しくない場合のものです。

Teardown ICMP connection for faddr [VPN IP] gaddr 8.8.8.8/0 laddr 8.8.8.8/0
※このエラーは、same-security-traffic の設定が無いとき


上記設定を入れることで、すべてのトラフィックは、接続先のグローバルIPを利用して出て行きます。
そのため、固定IPなどで接続をコントロールしているシステムがある場合、外出先からも会社のIPを利用できるので便利です。
※ただし会社の設定によっては、AnyConnectで接続しているユーザーはインターネットにアクセスできなくなる場合がありえます。

参考
PIX/ASA and VPN Client for Public Internet VPN on a Stick Configuration Example
※ Hairpinning or U-turn が参考部分になります。






stock_value at 14:00│Comments(0)技術 

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔