Skip to main content

 

Cisco Meraki Documentation

MXでAnyConnect クライアントVPN を使用する (Secure Client VPN)

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2026年01月08日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

新しい AnyConnect 設定ページが利用可能になりました。ダッシュボードで  オーガナイゼーション > 設定 > 新機能を試す に移動して有効化できます。
Early Access ページで「AnyConnect VPN Settings - Updated Look and Feel」を有効/無効にするトグル。


Cisco AnyConnect Secure Mobility Client は、エンドユーザーにとってリモート アクセスをより簡単にし、常に高い水準のユーザー体験を提供します。幅広い PC およびモバイル デバイスで、非常に安全な接続体験を実現できます。このドキュメントでは、Meraki アプライアンスにおける AnyConnect の統合に関する情報と、Meraki ダッシュボード上で AnyConnect を設定する手順を説明します。

Meraki Learning Hub の無料オンライン トレーニング コースで詳しく学べます。

Cisco SSO でサインインするか、無料アカウントを作成してトレーニングを開始してください。



AnyConnect クライアントのダウンロードと展開
AnyConnect の認証方式
AnyConnect トラブルシューティング ガイド
AnyConnect のロード シェアリング
MX アプライアンスでの AnyConnect ライセンス
ASA と MX における AnyConnect の違い
Secure Connect(AnyConnect)Cisco TAC サポート
Cisco Secure Client 診断およびレポート ツール(DART)の使用
FAQ

機能

MX 上の AnyConnect VPN サーバーは、トンネリングに Transport Layer Security(TLS)および Datagram Transport Layer Security(DTLS)を使用します。リモート アクセス接続を正常に終端するには、Windows、macOS、Linux、またはモバイル デバイスで AnyConnect VPN クライアント バージョン 4.8 以降が必要です。AnyConnect クライアントは AnyConnect サーバーとトンネルをネゴシエートし、AnyConnect サーバー(MX)上、またはそれに接続されたリソース/ネットワークへアクセスできるようにします。ホスト スキャンや Web 起動などの機能もサポートする Adaptive Security Appliance(ASA)での AnyConnect 実装と異なり、MX セキュリティ アプライアンスは SSL、VPN、および MX で追加設定を必要としない他の AnyConnect モジュールをサポートします。詳細は、ASA と MX における AnyConnect の違いを参照してください。 

MX は、L2TP(Layer 2 Tunneling Protocol)/IPsec(Internet Protocol Security)クライアント VPN と AnyConnect VPN を同時にサポートします。

AnyConnect は TLS および DTLS を使用したアプリケーション ベースの VPN であるため、L2TP VPN サービスをサポートしなくなったオペレーティング システムでは、L2TP/IPsec クライアント VPN 構成の代替として使用できます。

AnyConnect は現在、テンプレートにバインドされたネットワークではサポートされていません。

AnyConnect VPN トラフィックは、サイト間 VPN(AutoVPN および Non-Meraki VPN の両方)経由でルーティングできます。

ユースケース
支店、データセンター/VPN コンセントレーター、パブリック/プライベート クラウド環境における AnyConnect のユースケースを示す図。

AnyConnect は、リモート ユーザーを支店、データセンター、またはパブリック クラウド環境へ安全に接続するために使用できます。Meraki MX アプライアンスでリモート アクセスに AnyConnect を使用すると、拠点間の安全でシームレスな接続を実現できます。リモート ユーザーは支店へ接続し、Secure Software Defined Wide Area Network(SD-WAN)の AutoVPN トンネルを経由して、Amazon Web Services(AWS)/Azure などのリソース、または SD-WAN ファブリック内の他の拠点へアクセスできます。

注意事項

AnyConnect を有効化する前に、次の注意事項を確認してください。

  • サポートされる MX モデル: MX600、MX450、MX400、MX250、MX105、MX100、MX95、MX85、MX84、MX75、MX68(W,CW)、MX67(C,W)、MX65(W)*、MX64(W)*、Z3(C)、Z4(C)、vMX

*MX65(W) および MX64(W) は、ファームウェア 17.6 以降でのみ AnyConnect をサポートします。

未サポート: MX90、MX80、MX60、Z1(これらのモデルでは、ダッシュボードに AnyConnect 設定ページが表示されません)

  • いずれか一方MX セキュリティ アプライアンスでの NAT 例外(No NAT) または AnyConnect は、WAN アップリンクごとに有効化できます。

  • IPsec と AnyConnect は、設定済みの同一 RADIUS サーバーおよび Active Directory サーバーを共有します。

  • AnyConnect は現在、セルラー アップリンク(内蔵または USB モデム)をサポートしていません。

注: 

AnyConnect を MX で使用する場合、ステートレス高可用性(HA)と WAN フェイルオーバーがサポートされます。つまり、HA 切り替えまたは WAN フェイルオーバーが発生すると、アクティブなユーザー セッションは切断され、ユーザーは新しいアクティブ WAN リンク、または新しいプライマリ MX に再接続する必要があります。アップリンクが 2 本ある場合は、AnyConnect 接続プロファイルで WAN1 と WAN2 の固有の DDNS 名をプライマリ/バックアップ サーバーとして設定することを推奨します。

ダッシュボードで AnyConnect を有効化する方法

注意事項を確認したうえで、MX セキュリティ アプライアンスを必要なファームウェア バージョンへアップグレードしてください。

  • AnyConnect を有効化するには、ネットワークのファームウェア バージョンが最小要件を満たしていることを確認してください。MX64(W) と MX65(W) はファームウェアが 17.6 以降である必要があり、それ以外のサポート対象モデルは最新の MX-16 ファームウェアが必要です。アップグレードは、オーガナイゼーション > 監視 > ファームウェアアップグレード から管理できます。ファームウェア アップグレードの詳細は、ファームウェア アップグレードの管理を参照してください。

サーバー設定

AnyConnect VPN を有効にするには、セキュリティ & SD-WAN  > 設定 > クライアント VPN>  Cisco Secure Client の設定 タブの Cisco Secure Client の設定 のラジオ ボタンで 有効にする を選択します。次の AnyConnect VPN オプションを設定できます。

ホスト名: クライアント VPN ユーザーが MX に接続する際に使用します。このホスト名は、MX のパブリック IP アドレスに解決される動的 DNS(DDNS)のホスト レコードです。パブリックに信頼された証明書の登録には DDNS ホスト名が前提条件です。このホスト名は、動的 DNS(DDNS) の手順に従って変更できます。DDNS による証明書登録の代替については、本記事の カスタム ホスト名証明書 セクションを参照してください。 

Cisco Secure Client 用ポート: AnyConnect サーバーがトンネルの受け付けおよびネゴシエーションに使用するポートを指定します。

ログインバナー: ユーザーが正常に認証されたときに AnyConnect クライアントに表示されるメッセージを指定します。設定されている場合、ユーザーは VPN でネットワーク アクセスを得る前にこのメッセージを確認する必要があります。ログイン バナーを無効化するには、バナー欄を空白のままにしてください。 

プロファイルの更新 : 認証時にユーザーへプッシュされる AnyConnect VPN の設定プロファイルを指定します。

 

Client VPN ページの Cisco Secure Client Settings タブ(クライアント接続の詳細を表示)。

Cisco Secure Client VPN サブネット: 認証済みクライアントに割り当てるアドレス プールを指定します。

IPv6 プリフィックス (MX 18.104 以降): AnyConnect で IPv6 をサポートするための IPv6 プレフィックスを指定します。クライアント VPN トンネルの終端と、トンネル内の IPv6 トラフィックの両方に対応します。詳細は、 MX セキュリティ & SD-WAN Platforms の IPv6 サポート - VPN ドキュメントの  AnyConnect の IPv6 設定 セクションを参照してください。

DNS サーバー : クライアントに割り当てる DNS(Domain Name System)設定を指定します。

DNS サフィックス: ドメイン欄を省略した DNS クエリに付加する既定のドメイン名(DNS サフィックス)を AnyConnect クライアントへ渡します。このドメイン名は、トンネル化されたパケットにのみ適用されます。

クライアントルーティング: AnyConnect クライアント デバイスへプッシュするフルトンネル/スプリット トンネル ルールを指定します。VPN 経由ですべてのトラフィックを送信する、特定の宛先向けトラフィックを除くすべてを VPN 経由にする、または特定の宛先向けのみを VPN 経由にする、を選択できます。

動的クライアントルーティング: ホスト名に基づいて AnyConnect クライアント デバイスへプッシュするフルトンネル/スプリット トンネル ルールを指定します。詳細は本記事の Dynamic Client routing セクションを参照してください。

 

Client VPN ページの Cisco Secure Client Settings タブ(アドレッシングとルーティングの詳細を表示)。

認証タイプ: Meraki クラウド、SAML、RADIUS、または Active Directory による認証を指定します。

証明書認証 : クライアント デバイスを認証するために使用する、信頼された認証局(CA)ファイルを設定します。この設定は、証明書でクライアント デバイスを認証する必要がある場合にのみ必要です。現時点では、PEM 形式(*.pem)の証明書のみサポートされます。

RADIUS サーバー: MX セキュリティ アプライアンスがサーバーと通信するために使用する RADIUS ホスト IP、RADIUS ポート、および RADIUS 共有シークレットを指定します。 

RADIUSメッセージ認証子の検証: メッセージの完全性と真正性を確保する RADIUS 属性を有効化します。

RADIUSフィルタIDを使用したグループポリシー: RADIUS サーバーから渡されるフィルターを使用して、ダッシュボードのグループ ポリシーを適用できるようにします。

RADIUS タイムアウト: 2 要素認証および認証サーバー フェイルオーバーにおける RADIUS タイムアウトを変更します。 

デフォルトのグループポリシー: 接続してくるすべての AnyConnect クライアントに既定のグループ ポリシーを適用します。詳細は本記事の グループ ポリシー セクションを参照してください。

 

Client VPN ページの Cisco Secure Client Settings タブ(認証とポリシーの詳細を表示)。
   

サーバー証明書

MX 上の AnyConnect サーバーは、トンネル ネゴシエーションに TLS 1.2(MX 19.1 以降では TLS 1.3)を使用するため、サーバーの ID 証明書が必要です。MX は次の 3 つの証明書オプションをサポートします。

オプション 1: DDNS ホスト名を使用した自動生成証明書

これは既定のオプションです。このオプションでは、MX アプライアンスが Meraki ネットワークの DDNS ホスト名を使用して、パブリックに信頼された証明書を登録します。このパブリックに信頼された証明書は自動的に更新されます。DDNS ホスト名は覚えにくいため、AnyConnect プロファイルを使用して DDNS エイリアスを作成し、ユーザー操作を簡素化することを強く推奨します。詳細は、プロファイルの作成方法を参照してください。ダッシュボード管理者は、署名付き証明書を取得するためにパブリック CA と個別にやり取りする必要はありません。

Client VPN ページの AnyConnect ホスト名。

AnyConnect を有効化している場合、パススルー/VPN コンセントレーター モードの MX アプライアンスで DDNS ホスト名を設定できます。        

dashboard.meraki.cn、dashboard.meraki.ca、dashboard.meraki.in でホストされているネットワークでは、自動証明書生成はサポートされていません。

MX が 高可用性HAモードで、仮想 IP を使用し、かつ NAT デバイス配下にある場合は、証明書と DNS レコードを管理できるように、カスタム証明書機能を使用することを推奨します。自動 DDNS ホスト名証明書では不十分な場合があります。 

オプション 2: カスタム ホスト名証明書

  • MX ファームウェア バージョン 16.16 以降が必要です。
  • カスタム ホスト名証明書は自動更新されません。管理者は、証明書を手動で更新する必要があります。加えて、DNS レコード(インターネット上でホスト名が MX の IP に解決されるようにするため)の管理も必要です。
  • カスタム ホスト名証明書は高可用性モードでサポートされます。管理者は CSR(証明書署名要求)をダウンロードし、プライマリとスペア両方の MX アプライアンスの証明書をアップロードする必要があります。カスタム証明書の Primary | Spare タブは、MX アプライアンスが高可用性モードのときのみ表示されます。HA 構成の各 MX では、それぞれ異なるコモン ネーム(CN)で CSR を生成する必要があります。
  • ワイルドカード証明書はサポートされていません。
  • サーバー証明書の生成方式を Custom から既定の Auto-Generated に戻すと、MX は現在アップロードされているカスタム証明書を削除します。

警告: 工場出荷時リセットまたはデバイス交換(RMA)により、その MX の新しい秘密鍵が生成されます。そのため、新しい CSR を生成して署名を取得し、生成された証明書を セキュリティ & SD-WAN > 設定  > クライアント VPN > AnyConnect の下に再度追加する必要があります。 

注: カスタム ホスト名証明書を使用すると、MX の自動生成 DDNS ホスト名は置き換えられます。 

管理者は CSR を生成し、任意のパブリック CA に署名してもらえます。署名済み証明書はダッシュボードから MX アプライアンスへアップロードします。このオプションにより、管理者は希望するホスト名を使用できます。例: vpn.abc.com

「Server Certificate Generation Method」を「Custom」に設定した場合の設定オプション。

 

手順 1. CSR の生成

「Enter CSR Fields」ウィンドウ。Common name、Subject Alt Name(Hostnames)、Subject Alt Name(IPs)、Organization、Organizational Unit、Email Address、State or Province、Country Code の各フィールドが表示されています。

手順 2. 任意のパブリック CA で CSR に署名してもらう

手順 3. 署名済み証明書と、CA から提供された CA チェーンをアップロードする*

署名済み証明書のアップロード ダイアログ。[Upload Device Certificate]用のアップロード ボタンと、[Upload CA Certificate or Chained Certificate]用のアップロード ボタンが表示されています。
 

*注:  チェーン証明書は、デバイス証明書とルート証明書の間に存在する中間証明書を含め、ルート CA までの 完全な信頼チェーンを確立する必要があります。このような証明書は、次の例のとおり、提供元の CA によって自己署名されています。

「DigiCert High Assurance EV Root CA」という証明書の例。

画像提供: Mozilla Software Foundation および Wikipedia

Subject の Common Name と Issuer の Common Name が同一であることに注目してください。

信頼チェーンが不完全、または無効な場合、証明書アップロード時にダッシュボード上で「Failed verifying Device Cert with Cert Chain」というエラーが表示されます。

この種の証明書の取得方法に関する質問は、該当の証明書を提供している組織へ問い合わせてください。証明書チェーンの詳細については、次の DigiCert の記事を参照してください。

オプション 3: 自己署名証明書

テスト目的でのみ使用できます。
 

証明書に関する注記

2026 年 6 月以降、パブリック CA は serverAuth EKU と clientAuth EKU の両方を同一証明書に含む TLS 証明書を発行しなくなります。Chrome などのブラウザでは、サーバー証明書の Extended Key Usage(EKU)拡張で「クライアント認証」目的の使用がブロックされます。この制限は、証明書ベース認証で Chrome ブラウザを使用しない Cisco Secure Client(旧 AnyConnect)には影響しません。ただし、外部ブラウザ ワークフローで SAML 認証を設定しており、外部ブラウザが Chrome で、かつ証明書ベース認証が必要なユーザーは影響を受ける可能性があります。Chrome に関する変更の詳細は、次のリンクを参照してください。 https://googlechrome.github.io/chromerootprogram/ 

認証方式

AnyConnect は、SAML、RADIUS、Active Directory、Meraki クラウド、および証明書認証をサポートします。認証設定の詳細は、AnyConnect の認証方式を参照してください。

クライアント ルーティング

「Client Routing」オプション(ラジオ ボタン 3 つ)。

  1. VPN経由ですべてのクライアントトラフィックを送信​​フルトンネルと同じです。クライアントからのすべてのトラフィックが VPN トンネル経由で送信されます。
  2. 以下に指定した宛先に向かうトラフィックを除くすべてのトラフィックを送信: 除外を伴うフルトンネルと同じです。設定すると、クライアントは構成したサブネット宛てのトラフィックを除き、すべてのトラフィックを VPN 経由で送信します。このオプションは Android デバイスではサポートされません。
  3. 以下に指定した宛先のトラフィックのみをVPNへ送信する: スプリット トンネルと同じです。設定すると、クライアントは構成したサブネット宛てのトラフィックのみを VPN 経由で送信します。それ以外のトラフィックはローカル ネットワーク経由で送信されます。

「以下に指定した宛先のトラフィックのみをVPNへ送信する」または「以下に指定した宛先に向かうトラフィックを除くすべてのトラフィックを送信」を選択する場合、少なくとも 1 つの IP を入力する必要があります。入力しないと、次のエラーが表示されます。


「The AnyConnect traffic destination (Client Routing) must contain at least one valid subnet in CIDR format.」

動的クライアントルーティング

動的クライアントルーティング は MX16.5 以降のファームウェアでのみサポートされます。
動的クライアントルーティング は Windows と Mac プラットフォームでのみサポートされます。Linux およびモバイル プラットフォームではサポートされません。

動的スプリット トンネリング/動的クライアント ルーティングでは、IP/Classless Inter-Domain Routing(CIDR)表記ではなく、ドメイン名に基づいて VPN トンネルに含める(または除外する)トラフィックを指定できます。これは、専用または固定の IP アドレスを持たないサービスにとって重要です。動的スプリット トンネリングは、通常のスプリット トンネリング機能と併用することも、併用せずに使用することもできます。

なお、設定したホスト名はすべてワイルドカードとして扱われます。たとえば cisco.com は *.cisco.com として扱われます。*.cisco.com のようなワイルドカードはダッシュボードでは設定できません。エンドユーザー側では、指定したホスト名へアクセスしようとしたタイミングでルートが作成されます。 

「Dynamic Client Routing」オプション。「Only send traffic going to these destinations」オプションが選択されています。      VPN のルート詳細。

「以下に指定した宛先のトラフィックのみをVPNへ送信する」または「指定した宛先を除くすべてのトラフィックをVPNへ送信する」を選択する場合、少なくとも 1 つの FQDN を入力する必要があります。入力しないと、次のエラー メッセージが表示されます。

「The AnyConnect traffic destination (Dynamic Client Routing) must contain at least one valid destination.」

ローカル LAN アクセス

フルトンネル(Send all traffic through VPN)を設定していても、ユーザーがローカル ネットワークと通信する必要がある場合があります。たとえば、フルトンネル モードで MX に接続中でもローカル LAN アクセスが許可されているクライアントは、自宅のローカル プリンターへ印刷でき、その他のトラフィックはトンネル経由で送信されます。

ローカル LAN アクセスを有効にするには、2 つの設定が必要です。両方の条件を満たさない場合、ローカル LAN アクセスは機能しません。

1. MX の設定: ダッシュボードで「指定した宛先を除くすべてのトラフィックをVPNへ送信する」オプションを選択し、0.0.0.0/32 ルートを設定します。これにより AnyConnect クライアントは、ユーザーのローカル ネットワーク宛てトラフィックを自動的にトンネルの対象外とします。

            「Send all traffic except traffic going to these destinations.」というラジオ ボタン オプション。下のテキスト フィールドに「0.0.0.0/32」が入力されています。

2. クライアントの設定: AnyConnect クライアントで Allow local LAN Access を有効にします。これは 手動で有効化することも、AnyConnect プロファイルを使用して有効化することもできます。

                AnyConnect の「Preferences - VPN」ウィンドウ。「Allow local LAN access when using VPN (if configured)」が選択されています。

接続後、ユーザーにはローカル ネットワークのサブネットが非セキュア ルート(VPN トンネル経由ではなくローカルでアクセスすべき宛先)として追加されているはずです。

AnyConnect VPN のルート詳細(Non-Secured Routes と Secured Routes を表示)。

セッション タイムアウト

クライアント セッション タイムアウトは、事前定義された値(8 時間、1 日、7 日)のいずれかで設定できます。もしくは、カスタム オプションを使用し、最大 256 時間まで指定できます。

Session Timeout のドロップダウン メニュー(8 hours、1 day、7 days、custom の 4 オプション)。

グループ ポリシー

リモート アクセス接続に対するアクセス制御の重要性はいくら強調しても足りません。複数のアドレス プールを使用してユーザーをセグメント化する管理者もいれば、既存サブネットへの VLAN タギングを使用する管理者もいます。ただし、クライアント VPN の観点では、複数サブネットや別 VLAN を用意するだけでは、それ自体がアクセス制御になるわけではありません。ユーザー同士、または他のネットワーク リソースへのアクセスを分離するのは、アクセス ルールの存在とその適用です。たとえば、ユーザーが異なる VLAN にいても、どこかでアクセス ポリシーが適用されていなければ、ユーザーは何にでもアクセスできてしまいます。 
 
MX 上の AnyConnect は、クライアント VPN ユーザーに対する複数 VLAN や複数アドレス プールをサポートしていません。ただし MX は、認証時に AnyConnect ユーザーへポリシーを適用し、強制できます。また、MX のクライアント VPN の観点では、ユーザーが同一サブネットであっても同一 VLAN にいることを意味しない点にも注意が必要です。ユーザーには、ダッシュボードで設定したプールから /32 アドレス(単一アドレス)が割り当てられます。そのうえでグループ ポリシーを使用し、同じ AnyConnect サブネット上のユーザー同士、またはネットワーク上の他リソースへの通信を制限できます。

既定のグループ ポリシー

管理者は、デフォルトのグループポリシー のドロップダウン メニューから設定済みポリシーを選択することで、AnyConnect 経由で接続するすべてのユーザーにグローバルなグループ ポリシーを適用できます。グループ ポリシーは、ネットワーク全体 > 設定 > グループポリシー で設定できます。詳細は グループ ポリシーの作成と適用 を参照してください。
 

Default Group Policy の選択肢(No Group Policy、No UDP、No ICMP の 3 つ)。


: 既定のグループ ポリシーを設定しており、かつ Filter-ID によるグループ ポリシーも有効化している場合、RADIUS サーバーから渡される Filter-ID のポリシーが既定のグループ ポリシーより優先されます。  

RADIUS Filter-ID を使用したグループ ポリシー

AnyConnect は、RADIUS で認証する際に、ダッシュボードで設定したグループ ポリシーを AnyConnect ユーザーへ適用することをサポートします。これは RADIUS の Filter-ID 属性を使用して実現します。MX で設定する手順は次のとおりです。

  1. ネットワーク全体 > 設定グループポリシー でグループ ポリシーを作成します。ポリシー内にルールを設定します。複数のグループ ポリシーを、RADIUS サーバー上の異なるユーザー グループにマッピングできます。この例では、CONTRACTOR ポリシーを CONTRACTOR ユーザー グループに対応付けています。

    Contractor グループが強調表示された Group Policies の表。             Contractor グループ ポリシー ページ(Name、Schedule、Bandwidth、Firewall and Traffic Shaping、Layer 3 Firewall の各オプション)。
     

  2. ダッシュボードで Filter-ID オプションを有効にします。このオプションは、RADIUS サーバーで認証している場合にのみ設定できます。
    「Group Policy with RADIUS Filter-ID」を有効/無効にするトグル。

  3. RADIUS サーバーを設定し、Accept メッセージに、ダッシュボードで設定したグループ ポリシー名を含む属性(文字列として)を送信します。通常、この目的には Filter-ID 属性を使用します。以下のスクリーンショットは、Windows の Network Policy Server(NPS)でネットワーク ポリシーを設定し、Filter-ID 属性にダッシュボードのグループ ポリシー名(「CONTRACTOR」)を渡すようにしている例です。

Microsoft Windows Network Policy Server、VPN User のプロパティ、Radius Attributes、Attribute Information を示す複数のポップアップ ウィンドウ。

RADIUS サーバーには、ダッシュボードで定義したグループ ポリシー「CONTRACTOR」を設定しています。該当グループのユーザーが正常に認証されると、認証済みユーザーに対する「CONTRACTOR」グループ ポリシー名が RADIUS の Accept メッセージで送信され、MX は要求されたポリシーをユーザーへ適用できます。ポリシーを正しく適用するためには、RADIUS サーバーが送信するグループ ポリシー名が、ダッシュボードで設定した名称と完全に一致している必要があります。現在、ダッシュボード ネットワークにセキュリティ アプライアンスのみがある場合、ポリシーは ネットワーク全体 > 監視 > クライアント のリスト ページには表示されません。ただし、統合ネットワークの場合は 802.1X ポリシー列に表示されます。


クライアント VPN 接続  

クライアント側の表示:
クライアントの左下にあるグラフをクリックすると、クライアントの統計情報と接続の詳細を確認できます。 

グラフ ボタンと AnyConnect の統計ウィンドウを表示した AnyConnect 画面。


クライアントは Route Details タブで利用可能なルートも確認できます。セキュア ルートは VPN 経由でクライアントがアクセス可能ですが、非セキュア ルートは VPN 経由ではアクセスできません。非セキュア ルートはスプリット トンネリングを設定している場合に表示されます。 

グラフ ボタンと AnyConnect の Route Details ウィンドウを表示した AnyConnect 画面。
 

接続ログは Message History タブで確認できます。

グラフ ボタンと AnyConnect の Message History ウィンドウを表示した AnyConnect 画面。

ダッシュボード側の表示:

クライアント VPN を設定した後、ネットワークに接続しているユーザー数を確認するには、ネットワーク全体 > 監視 > クライアント に移動します。AnyConnect クライアントは AnyConnect アイコン付きで表示されます。検索メニューでクライアント VPN を指定してフィルタできます。


ダッシュボード上の AnyConnect クライアントと情報を表示するテーブル。
 

注: クライアント リストに表示される MAC アドレスは、AnyConnect クライアントの実際の MAC アドレスではありません。表示されるアドレスは、指定されたユーザー名を基に疑似ランダムに生成されます。たとえば、誰かが xyz.test@example.com という名前で接続するたびに、クライアント リストには同一の MAC アドレスでアクティブとして表示されます。

同一の認証情報で複数デバイスが同時に接続される場合、リストに表示されるデータは、最後に接続したデバイスの内容が反映されます。

オペレーティング システムによっては、ipconfig/ifconfig の出力でデフォルト ゲートウェイが 0.0.0.0、サブネット マスクが 255.255.255.255 と表示される場合があります。これは想定される動作であり、AnyConnect の機能には影響しません。 

 

イベント ロギング

利用可能なイベントをすべて表示するには、ネットワーク全体 > 監視 > イベントログ に移動し、表示するイベントタイプを指定 フィールドを AnyConnect でフィルタします。

Event Log のテーブルと「Event type include」のドロップダウン フィルタ メニュー。

ログオン/ログオフ イベントを確認するには、ネットワーク全体 > 監視 > イベントログ に移動し、VPN client connectedVPN client disconnected でフィルタします。

VPN client connected および VPN client disconnected イベントを表示する Event Log テーブル。
 

 

 

 

 

 

 

 

MX モデル別のサポート セッション数

以下は MX モデルごとの許容セッション数です。制限に達すると、新規セッションは確立されません。

モデル

最大セッション数
MX450 1,500
MX250 1,000
MX105 750
MX100 250
MX95 500
MX85 250
MX84 100
MX75 250
MX67/68 100
MX64/65 50
Z3 5
vMX S/M/L 100/250/500
vMX100 250
MX600 1000
MX400 750

FAQ 

  1. Meraki が提供するパブリックに信頼された証明書は、誰が署名しますか?
    パブリックに信頼された認証局(CA)が署名します。

  2. MX のサーバー証明書として、自分のホスト名やパブリックに信頼された証明書を使用できますか?
    はい。詳細は カスタム ホスト名証明書 を参照してください。

  3. Meraki MX で AnyConnect はどのようにライセンスされますか?
    MX における AnyConnect のライセンスを参照してください。

  4. AnyConnect をサポートする MX/vMX モデルはどれですか? 
    注意事項セクションを参照してください。

  5. AnyConnect プロファイルは使用できますか?
    はい。AnyConnect プロファイル セクションを参照してください。MX からプッシュできるのは VPN プロファイルのみです。Umbrella プロファイルなどのその他のプロファイルは MX からはプッシュされません。

  6. ユーザーの種類ごとに、異なるスプリット トンネル ルール/VLAN/IP アドレス プールを設定できますか?
    現時点ではできません。ただし、RADIUS で認証する場合は、グループ ポリシーを使用して、認証時にユーザーまたはユーザー グループにアクセス ポリシーを適用できます。

  7. 証明書ベース認証はできますか?
    はい。ユーザー名とパスワードに加えて使用できます。詳細は 証明書ベース認証 セクションを参照してください。証明書のみの認証は現在ベータ版です。詳細は 証明書のみの認証 を参照してください。

  8. AnyConnect クライアントはどこからダウンロードできますか?
    ダッシュボードの AnyConnect 設定ページの Client Connection セクション、または cisco.com からダウンロードできます。

  9. AnyConnect 機能およびファームウェアの既知の問題/注意事項は何ですか?
    注意事項セクションを参照してください。

  10. どの機能がサポートされていますか?Umbrella、ポスチャ スキャン、802.1X などに対応する予定はありますか?
    VPN のみです。ただし、追加のサーバー サポートを必要としない他の AnyConnect モジュールも使用できます(例: DART、Umbrella)。MX は現時点で Web 起動、クライアント ソフトウェアの展開、更新をサポートしていないため、これらのモジュールは別途展開および設定が必要です。詳細は ASA と MX における AnyConnect の違い を参照してください。 

  11. AnyConnect の IKEv2 を使用して MX アプライアンスに接続できますか?
    いいえ。MX で AnyConnect がサポートするのは TLS 1.2(19.1 以降では TLS 1.3)および DTLS 1.2 接続のみです。

  12. MX で L2TP/IPsec クライアント VPN と AnyConnect VPN を同時に実行できますか?
    はい。

  13. AnyConnect で MX の内側インターフェイスに接続できますか?たとえば LAN 側から MX に接続できますか?
    いいえ。現時点でサポートされるのは WAN 側からのインバウンド接続のみです。

  14. AnyConnect はいつ一般提供(GA)になりましたか?
    AnyConnect は、2022 年 3 月にリリースされた MX 16.16 以降のファームウェアで一般提供(GA)となりました。

  15. Cisco AnyConnect のカスタム サーバー証明書では、ワイルドカード証明書を使用できますか? 例: XXX.mycompany.com とワイルドカード証明書 *.mycompany.com の比較

     ワイルドカード証明書はサポートされていません。