ASA VPN-clientverbinding via een L2L-tunnelconfiguratievoorbeeld

Downloadopties

  • PDF     (168.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (109.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (95.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 juni 2014
Document-id:117730

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de Cisco adaptieve security applicatie (ASA) moet configureren om een externe VPN-clientverbinding mogelijk te maken vanaf een LAN-to-LAN (L2L) peer-adres.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco 5520 Series ASA die software versie 8.4(7) draait.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Hoewel het niet gebruikelijk is om een scenario te ervaren waar een VPN-client probeert een verbinding tot stand te brengen via een L2L-tunnel, zouden beheerders specifieke voorrechten of toegangsbeperkingen aan bepaalde externe gebruikers willen toewijzen en hen kunnen opdragen de softwareclient te gebruiken wanneer toegang tot deze bronnen vereist is.

Opmerking: Dit scenario werkte in het verleden, maar na een upgrade van de head-end ASA naar versie 8.4(6) of later kan de VPN-client de verbinding niet langer opzetten.

 

Cisco bug ID CSCuc75090 heeft een gedragsverandering geïntroduceerd. Eerder, met de Private Internet Exchange (PIX), toen de IPSec-proxy (Internet Protocol Security) geen crypto-map Access Control List (ACL’s) had, bleef deze security in de lijst staan. Dit omvatte overeenkomsten met een dynamische crypto-kaart zonder peer gespecificeerd.

Dit werd gezien als een kwetsbaarheid, omdat afstandsbeheerders toegang konden krijgen tot middelen die de head-end beheerder niet van plan was toen de statische L2L werd geconfigureerd.

Er werd een oplossing gemaakt die een check toevoegde om lucifers met een crypto-kaart ingang zonder een peer te voorkomen toen het al een map ingecheckt die het peer vond. Dit had echter gevolgen voor het scenario dat in dit document wordt besproken. Met name is een externe VPN-client die probeert verbinding te maken met een L2L-peer-adres niet in staat verbinding te maken met het head-end.

Configureren

Gebruik deze sectie om de ASA te configureren om een externe VPN-clientverbinding toe te staan vanaf een L2L peer-adres.

Voeg een nieuw Dynamisch Begin toe

Om externe VPN-verbindingen van L2L peer-adressen toe te staan, moet u een nieuwe dynamische ingang toevoegen die hetzelfde IP-adres bevat.

Opmerking: U moet ook een andere dynamische ingang zonder peer verlaten zodat elke cliënt van het internet ook kan verbinden.

Hier is een voorbeeld van de vorige dynamische crypto-kaart werkconfiguratie:

crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA

crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map

Hier is de dynamische crypto-kaart configuratie met de nieuwe dynamische ingangsconfiguratie:

crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto dynamic-map ra-dyn-map 10 set peer 209.165.201.1
crypto dynamic-map ra-dyn-map 20 set ikev1 transform-set ESP-AES-128-SHA

crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
16-Jun-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Gustavo Medina and Hamzah Kardame
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten