ASAでIPsecが複数張られた環境で気をつけること | ライタス株式会社

ASA5505で多拠点に張られたVPN間で通信を行いたいという要望があり、設定してたところ、思いっきりハマりましたので、今後のために記録しておきます。

[やりたいこと]
IPsecで外部からログインしてきたユーザーに、プライベートクラウド環境へのアクセスを提供したい。

[ハマったこと]
VPNセッションは正しくconnectしているのに、VPN外部ユーザーからプライベートクラウド環境へアクセスできない。


[原因]
ASAの設定ミス

「等位セキュリティ レベル間の通信のイネーブル化」項参照
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/004/15463_01_5.html?bid=0900e4b1825295c0

ASAでは、インターフェイス間通信はデフォルトで許可されておらず、ASAを踏み台にして行う通信は、個別の設定を行う必要があります。

Configuration > Interfacesの画面で、下の方に
 "Enable traffic between two or more hosts connected to the same interface"というチェックボックスがあるので、これをチェックしてApplyすることで、インターフェイス間通信が許可されます。

IPsec間でASA越しに通信するときには気をつけたい項目ですね。
他にも、NATの設定も必要になる場合もあるので、そちらも注意して設定したいところです。


コメント

このブログの人気の投稿

Firefoxを起動したら、Couldn't load XPCOM. というエラーが出る時の対処法 | ライタス株式会社

[Virus Error]と件名に挿入されたメール

マテビュー(マテリアライズドビュー:Materialized View)のせいで、表領域が削除ができない | ライタス株式会社