Cisco ASA 多动态 VPN 支持 (defaultRAGroup-defaultl2lGroup)

网络工程 思科 思科 思科-ios cisco-ios-15
2021-07-15 18:59:17

问题(短)

如何在 ASA5506 上设置 2 个完全不同的动态 l2l vpn 隧道

问题(扩展)

我们有一个 Cisco ASA5506 安全设备,我们想要设置 2 个动态 VPN 设置。

  • 各种windows客户端的隧道;
  • 使用 DynDNS 通过动态 ip 隧道连接到分支机构。

我们可以毫无问题地单独设置隧道,但不能让它们同时工作。

VPN 1(Windows 客户端)

Cisco ASA5506 config

group-policy l2tp-ipsec_policy internal

group-policy l2tp-ipsec_policy attributes
  dns-server value 10.100.3.1
  vpn-tunnel-protocol l2tp-ipsec            
  default-domain value vbv.local

  banner value U bent nu aangemeld op het netwerk, zet uw VPN verbinding uit wanneer u klaar bent.
  wins-server value 10.100.3.1
  dns-server value 10.100.3.1
  vpn-filter value VBV_VPN_CLIENT_FILTER
  split-tunnel-policy tunnelspecified
  split-tunnel-network-list value VBV_VPN_CLIENTS  
exit

tunnel-group DefaultRAGroup general-attributes
  default-group-policy l2tp-ipsec_policy
  address-pool POOL-VPN_VBVLOCAL        
  authentication-server-group VBV_LDAP LOCAL
  password-management
  strip-realm
exit    

tunnel-group DefaultRAGroup ipsec-attributes
  pre-shared-key *****
exit

tunnel-group DefaultRAGroup ppp-attributes
  authentication pap
  no authentication chap
  no authentication ms-chap-v1
  no authentication ms-chap-v2
exit

crypto ipsec transform-set winClient esp-3des esp-sha-hmac
crypto ipsec transform-set winClient mode transport

crypto dynamic-map dynWinVPN 500 set ikev1 transform-set winClient

crypto map cmap_WAN-GLASVEZEL 500 ipsec-isakmp dynamic dynWinVPN


crypto isakmp enable WAN-GLASVEZEL

crypto isakmp policy 10
  authentication pre-share
  encryption 3des
  hash sha
  group 2
  lifetime 86400
exit

access-list VBV_VPN_CLIENT_FILTER extended permit object-group obj-VBVLOCAL_VPN_AllowedServices any any log notifications
access-list VBV_VPN_CLIENTS extended permit ip object-group obj-VBVLOCAL_VPN_AllowedNetworks any

以上本身运行良好,我知道 PAP 身份验证,但原因是 LDAP 验证。(无法与 mschapv2 一起使用,这是后来关注的问题)。

VPN 2(站点到站点到分支机构)

Cisco ASA5506 config

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map ***.dyndns.org 100 set pfs group1
crypto dynamic-map ***.dyndns.org 100 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map ***.dyndns.org 100 set security-association lifetime seconds 86400
crypto dynamic-map ***.dyndns.org 100 set security-association lifetime kilobytes 9216000

crypto map cmap_WAN-GLASVEZEL 100 ipsec-isakmp dynamic ***.dyndns.org

crypto ikev1 policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!

tunnel-group ***.dyndns.org type ipsec-l2l
tunnel-group ***.dyndns.org general-attributes
 default-group-policy grpPol_vbvjb
tunnel-group ***.dyndns.org ipsec-attributes
 ikev1 pre-shared-key *****
 peer-id-validate nocheck
!

Branch office Cisco 881 router

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ****** address ***
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 15
!
crypto ipsec security-association lifetime kilobytes 9216000
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP-***_BACKUP 1 ipsec-isakmp
 description TUNNEL-***_BACKUP_****
 set peer *****
 set transform-set ESP-3DES-SHA
 set pfs group1
 match address 171
!
access-list 171 remark VPN-IPSEC-***_BACKUP
access-list 171 permit ip 192.168.10.0 0.0.0.255 10.100.0.0 0.0.3.255 log
access-list 177 permit icmp any host 10.100.3.1

同样的故事,完全独立工作,但不能与上面的设置相结合。

简而言之,我可以设置两个 VPN 设置并使它们工作,但我无法让它们在一种配置中工作。

主题演讲

  • 单独工作但不能一起工作;
  • 分支机构使用 dynDNS,因为它没有静态 IP;
  • Windows VPN 客户端使用 2l2 和 ldap 服务器验证;
  • 奇怪的是,我看到 site2site 使用 defaultRAGroup 和客户端 defaultl2lgroup。
  • 如何检查捕获正确的加密动态映射?

希望这里有人可以提供帮助,这样我们就不必致电 Cisco TAC。

1个回答

尝试将动态条目的加密映射序列号更改为更高的序列号(例如 >500),请参阅此注释:

http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html#crypto

其它你可能感兴趣的问题
上一篇什么是“usec”和“delay”的度量? 下一篇Cisco 6500 系列和安全港测试