[ASAv] ASAv による SSL-VPN(AnyConnect)接続設定

  • 投稿日:
  • by
  • カテゴリ:      

はじめに

  • 本記事では、ASAvとWindows Server 2016 AD+NPS+CAによるSSL-VPN接続の設定を行います。
  • 認証は、証明書認証+ユーザ認証を実施します。
  • ASAvの設定にはADSMのみを使用し、CUIは使用しません。

本設定例では自己証明書を使用しますが、適切な認証局からサーバ証明書の発行を行うことをお勧めします。
HAは構成しませんので、必要な方はCiscoのサイトへGo!
Outside IFがPPPoEの場合、HA構成はサポートされません(機能しない)のでご注意を。
なお、執筆者は新米サーバエンジニアのため、誤りが含まれる可能性があります点をご承知おき下さい。

対象読者

  • ASAによるSSL-VPNの構築をしたい方
  • 証明書認証およびADユーザ・パスワード認証を行う方
  • 認証サーバとしてネットワーク・ポリシーサーバを使用する方
  • 証明書マップによるトンネルグループの振り分けを行いたい方

前提条件

  • ASAvが入手可能な方、もしくはASA5006Xを使用できる環境にある方
  • Windows Server の基本的な操作が行える方
  • 証明書認証についての基礎知識のある方
  • vCenterおよびESXiの基本的な操作ができる方

環境

  • ESXi6.7
  • vCSA6.7
  • ASAv9.9.2
  • Windows Server 2016
  • Windows 10

 

構成図は以下の通りです。

Outside側のWinows 10からSSL-VPN接続を行い、Inside側にアクセスできるまでを目標としています。

仮想スイッチが3つ必要ですので予め設定しておいて下さい。(VSTでVLAN分けても良いです)

管理セグメント(VLAN 1)を使用して設定を行っていきます。Inside、Outsideに物理NICの割り当ては不要です。

 

目次

  1. ASAの設定
    1. ASAvのデプロイ
    2. 仮想マシン設定変更
    3. インタフェース設定
    4. AAAの設定
    5. CAの設定
    6. グループポリシーの設定
    7. アドレスプールの設定
    8. トンネルグループの設定
    9. 証明書マップの設定
    10. デフォルトルートの設定
    11. Firewallの設定
  2. 認証サーバの設定
    1. Windows Server 2016のインストール・初期設定
    2. 役割の追加と設定(Active Directory ドメインサービス)
    3. 役割の追加と設定(ネットワークポリシーサーバー)
    4. 役割の追加と設定(Active Directory 証明書サービス)
    5. 証明書テンプレートの作成
    6. 証明書発行
  3. クライアントの設定
    1. クライアント証明書のインポート
    2. HTTPSによるアクセス
    3. AnyConnectのインストール
    4. AnyConnect接続

 

非常に長くなってしまいますので、記事を分割させて頂きます。

次回は、「ASAvのデプロイ」です。