Dit document beschrijft hoe u de Cisco adaptieve security applicatie (ASA) moet configureren om een externe VPN-clientverbinding mogelijk te maken vanaf een LAN-to-LAN (L2L) peer-adres.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op Cisco 5520 Series ASA die software versie 8.4(7) draait.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Hoewel het niet gebruikelijk is om een scenario te ervaren waar een VPN-client probeert een verbinding tot stand te brengen via een L2L-tunnel, zouden beheerders specifieke voorrechten of toegangsbeperkingen aan bepaalde externe gebruikers willen toewijzen en hen kunnen opdragen de softwareclient te gebruiken wanneer toegang tot deze bronnen vereist is.
Cisco bug ID CSCuc75090 heeft een gedragsverandering geïntroduceerd. Eerder, met de Private Internet Exchange (PIX), toen de IPSec-proxy (Internet Protocol Security) geen crypto-map Access Control List (ACL’s) had, bleef deze security in de lijst staan. Dit omvatte overeenkomsten met een dynamische crypto-kaart zonder peer gespecificeerd.
Dit werd gezien als een kwetsbaarheid, omdat afstandsbeheerders toegang konden krijgen tot middelen die de head-end beheerder niet van plan was toen de statische L2L werd geconfigureerd.
Er werd een oplossing gemaakt die een check toevoegde om lucifers met een crypto-kaart ingang zonder een peer te voorkomen toen het al een map ingecheckt die het peer vond. Dit had echter gevolgen voor het scenario dat in dit document wordt besproken. Met name is een externe VPN-client die probeert verbinding te maken met een L2L-peer-adres niet in staat verbinding te maken met het head-end.
Gebruik deze sectie om de ASA te configureren om een externe VPN-clientverbinding toe te staan vanaf een L2L peer-adres.
Om externe VPN-verbindingen van L2L peer-adressen toe te staan, moet u een nieuwe dynamische ingang toevoegen die hetzelfde IP-adres bevat.
Hier is een voorbeeld van de vorige dynamische crypto-kaart werkconfiguratie:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
Hier is de dynamische crypto-kaart configuratie met de nieuwe dynamische ingangsconfiguratie:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto dynamic-map ra-dyn-map 10 set peer 209.165.201.1
crypto dynamic-map ra-dyn-map 20 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-Jun-2014 |
Eerste vrijgave |