2017年2月21日火曜日

ASAでIPsecが複数張られた環境で気をつけること | ライタス株式会社

ASA5505で多拠点に張られたVPN間で通信を行いたいという要望があり、設定してたところ、思いっきりハマりましたので、今後のために記録しておきます。

[やりたいこと]
IPsecで外部からログインしてきたユーザーに、プライベートクラウド環境へのアクセスを提供したい。

[ハマったこと]
VPNセッションは正しくconnectしているのに、VPN外部ユーザーからプライベートクラウド環境へアクセスできない。


[原因]
ASAの設定ミス

「等位セキュリティ レベル間の通信のイネーブル化」項参照
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/004/15463_01_5.html?bid=0900e4b1825295c0

ASAでは、インターフェイス間通信はデフォルトで許可されておらず、ASAを踏み台にして行う通信は、個別の設定を行う必要があります。

Configuration > Interfacesの画面で、下の方に
 "Enable traffic between two or more hosts connected to the same interface"というチェックボックスがあるので、これをチェックしてApplyすることで、インターフェイス間通信が許可されます。

IPsec間でASA越しに通信するときには気をつけたい項目ですね。
他にも、NATの設定も必要になる場合もあるので、そちらも注意して設定したいところです。


0 件のコメント:

コメントを投稿