将我们的 ASA 从 9.1(1) 升级到更新版本后,用户在办公室网络中无法再使用本机 IPsec VPN 客户端软件进行连接。从外部网络它仍然工作得很好。
办公网络已建立覆盖用户系统所属 IP 范围的 VPN 隧道,但工作流程是 VPN 进入以访问受限资源。
我们验证了断开连接到办公室的 LAN 到 LAN IPsec 隧道允许客户端成功连接。
在调试连接尝试的 IKE 和 IPsec 时,日志条目显示失败的原因:
Skipping dynamic map OUTSIDE_DYN_MAP sequence 100: cannot match peerless map when peer found in previous map entry.
该日志条目导致了有关此问题的几份报告 ( 1 , 2 ) ,其中的信息澄清了此行为是作为 CSCuc75090 中的安全修复引入的,但没有真正的功能性解决方法 - 只是建议使用已建立的隧道或 NAT 将用户转换为不同的地址比隧道对等正在发生。
是否有有效的解决方法可以再次从这些位置使用客户端 VPN?
是的,可以指示设备接受来自它已经拥有开放隧道的对等方的客户端 VPN 连接。
这是通过更新动态映射以包含具有已配置对等地址的新条目来完成的。
因此,使用此现有配置接受来自任何地址的动态连接:
crypto map vpnmap 10 match address peer_acl
crypto map vpnmap 10 set peer 192.0.2.15
crypto map vpnmap 10 set ikev1 transform-set ESP-AES-SHA1
crypto map vpnmap 65500 ipsec-isakmp dynamic OUTSIDE_DYN_MAP
crypto dynamic-map OUTSIDE_DYN_MAP 100 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 100 set security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 100 set reverse-route
..可以编辑动态映射以允许来自对192.0.2.15等方的客户端 VPN 连接:
crypto map vpnmap 10 match address peer_acl
crypto map vpnmap 10 set peer 192.0.2.15
crypto map vpnmap 10 set ikev1 transform-set ESP-AES-SHA1
crypto map vpnmap 65500 ipsec-isakmp dynamic OUTSIDE_DYN_MAP
crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route
crypto dynamic-map OUTSIDE_DYN_MAP 10 set peer 192.0.2.15
crypto dynamic-map OUTSIDE_DYN_MAP 100 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 100 set security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 100 set reverse-route
..和客户端 IPsec 连接现在将被允许,192.0.2.15尽管有一个活动的 LAN 到 LAN 隧道。