Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA et exemple androïde indigène de configuration de client L2TP-IPSec

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (28 juin 2012) | Commentaires


Contenu


Introduction

L2TP au-dessus d'IPSec fournit la capacité pour déployer et gérer une solution VPN L2TP à côté de l'IPSec VPN et des services de Pare-feu dans une plate-forme unique. L'avantage primaire de la configuration de L2TP au-dessus d'IPSec dans un scénario d'Accès à distance est que les utilisateurs distants peuvent accéder à un VPN au-dessus d'un réseau IP public sans passerelle ou ligne dédiée, des lesquelles active l'Accès à distance pratiquement n'importe où avec des POTS. Une allocation complémentaire est que la seule exigence de client pour l'accès VPN est l'utilisation de Windows avec le réseau commuté de Microsoft (DUN). Aucun logiciel client supplémentaire, tel que le logiciel de Client VPN Cisco, n'est exigé. Ce document fournit un exemple de configuration pour le client natif Android l2tp-IPSec. Il prend vous par toutes les commandes nécessaires exigées sur l'ASA, aussi bien que les mesures à prendre sur le périphérique androïde lui-même.

Remarque: Contribué par Atri Basu et Rahul Govindan, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • L2TP/IPSec androïde exige la version 8.2.5 ou ultérieures, le 8.3.2.12 ou plus tard, 8.4.1 ou plus tard ASA.

  • Soutien de signature de certificat des supports SHA2 ASA de Microsoft Windows 7 et des clients vpn Androïde-indigènes en utilisant le protocole L2TP/IPsec.

  • Conditions d'autorisation pour le L2TP sur IPsec

Composants utilisés

Les informations dans ce document sont basées sur la version 8.2.5 ou ultérieures, le 8.3.2.12 ou plus tard, 8.4.1 ou plus tard ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Comment est-ce que je configure le client androïde indigène L2TP-IPSec pour travailler avec une ASA ?

Cette section décrit les informations que vous devez configurer les caractéristiques décrites dans ce document.

Configurez

Configurez la connexion L2TP/IPSec sur l'androïde

Terminez-vous ces étapes afin de configurer la connexion L2TP/IPSec sur l'androïde :

  1. Ouvrez le menu, et le sélectionnez Settings.

  2. Choisissez les contrôles de radio et de réseau ou de radio. (L'option disponible dépend de votre version d'androïde.)

  3. Choisissez les configurations VPN.

  4. Choisissez ajoutent le VPN.

  5. Choisissez ajoutent L2TP/IPsec PSK VPN.

  6. Choisissez le nom VPN, et écrivez un nom descriptif.

  7. Choisissez le serveur VPN réglé, et écrivez un nom descriptif.

  8. Choisissez la clé pré-partagée réglée d'IPSec.

  9. Décochez le secret de l'enable L2TP.

  10. Ouvrez le menu, et choisissez la sauvegarde.

Configurez la connexion L2TP/IPSec sur l'ASA

Ce sont les paramètres de la stratégie exigés ASA IKEv1 (ISAKMP) qui permettent les clients vpn indigènes, intégrés avec le système d'exploitation sur un point final, pour établir une connexion VPN à l'ASA utilisant le protocole de L2TP sur IPsec :

  • IKEv1 phase 1 — cryptage 3DES avec la méthode des informations parasites SHA1

  • Phase 2 d'IPsec — 3DES ou cryptage AES avec la méthode d'informations parasites de MD5 ou de SHA

  • Authentification de PPP — PAP, MS-CHAPv1, ou MSCHAPv2 (préféré)

  • Clé pré-partagée

Remarque: L'ASA prend en charge seulement les authentifications PAP de PPP et le CHAP de Microsoft, des versions 1 et 2, sur la base de données locale. L'EAP et le CHAP sont exécutés par des serveurs d'authentification de proxy. Par conséquent, si un utilisateur distant appartient à un groupe configuré de tunnel avec l'eap-proxy d'authentification ou les ordres de CHAP d'authentification, et l'ASA est configuré pour utiliser la base de données locale, que l'utilisateur ne pourra pas se connecter. En outre, l'androïde ne prend en charge pas le PAP, et puisque le LDAP ne prend en charge pas le CHAP de MS, le LDAP n'est pas un mécanisme d'authentification viable. La seule manière autour de ceci est d'utiliser le rayon. Vous pouvez se référer à la bogue Cisco CSCtw58945 (clients enregistrés seulement) pour des détails concernant des questions avec le CHAP et le LDAP de MS.

Terminez-vous ces étapes afin de configurer la connexion L2TP/IPSec sur l'ASA :

  1. Définissez un groupe d'adresse locale ou employez un dhcp-server pour l'appliance de sécurité adaptable pour allouer des adresses IP aux clients pour la stratégie de groupe.

  2. Créez une stratégie de groupe interne.

    1. Définissez le protocole de tunnel pour être l2tp-ipsec.

    2. Configurez un serveur DNS à utiliser par les clients.

  3. Créez un nouveau groupe de tunnel ou modifiez les attributs du DefaultRAGroup existant. (Le nouveau groupe de tunnel peut être utilisé si l'identifiant d'IPSec est placé comme groupe-nom au téléphone ; voir l'étape 10 pour la configuration de téléphone.)

  4. Définissez les attributs généraux du groupe de tunnel qui sont utilisés.

    1. Tracez la stratégie de groupe définie à ce groupe de tunnel.

    2. Tracez le pool d'adresses défini à utiliser par ce groupe de tunnel.

    3. Modifiez le groupe d'authentification-serveur si vous voulez utiliser quelque chose autre que des GENS DU PAYS.

  5. Définissez la clé pré-partagée sous les attributs d'IPSec du groupe de tunnel à utiliser.

  6. Modifiez les attributs de ppp du groupe de tunnel qui sont utilisés de sorte que seulement le CHAP, les ms-chap-v1 et le ms-CHAP v2 soient utilisés.

  7. Créez un jeu de transformations avec un type spécifique de cryptage de l'ESP et le type d'authentification.

  8. Demandez à IPSec pour utiliser le mode de transport plutôt que le tunnel mode.

  9. Définissez une stratégie ISAKMP/IKEv1 utilisant le cryptage 3DES avec la méthode des informations parasites SHA1.

  10. Créez une crypto-carte dynamique, et tracez-la à un crypto map.

  11. Appliquez le crypto map à une interface.

  12. ISAKMP d'enable sur cette interface.

Configurations

Cet exemple affiche les commandes de fichier de configuration qui assurent la compatibilité ASA avec un client vpn indigène sur n'importe quel système d'exploitation :

ASA 8.2.5 ou exemple de configuration plus récente
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans                      
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 ou exemple de configuration plus récente
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

Vérifiez

Connectez

  1. Ouvrez le menu, et le sélectionnez Settings.

  2. Contrôles choisis de radio et de réseau ou de radio. (L'option disponible dépend de votre version d'androïde.)

  3. Sélectionnez la configuration du VPN de la liste.

  4. Saisissez votre nom d'utilisateur et votre mot de passe.

  5. Choisi souvenez-vous le nom d'utilisateur.

  6. Choisi connectez.

Débranchement

  1. Ouvrez le menu, et le sélectionnez Settings.

  2. Contrôles choisis de radio et de réseau ou de radio. (L'option disponible dépend de votre version d'androïde.)

  3. Sélectionnez la configuration du VPN de la liste.

  4. Sélectionnez le débranchement.

Confirmez

Utilisez ces commandes de confirmer que votre connexion fonctionne correctement.

  • affichez le crypto isakmp de passage — Pour la version 8.2.5 ASA

  • affichez le passage ikev1 crypto — Pour la version 8.3.2.12 ou ultérieures ASA

  • affichez VPN-sessiondb ra-ikev1-ipsec — Pour la version 8.3.2.12 ou ultérieures ASA

  • affichez le distant de VPN-sessiondb — Pour la version 8.2.5 ASA

Mises en garde connues

  • CSCtq21535 (clients enregistrés seulement) — Retour arrière ASA en se connectant au client androïde L2TP/IPsec

  • CSCtj57256 (clients enregistrés seulement) — La connexion L2TP/IPSec de l'androïde n'établit pas à l'ASA55xx

  • CSCtw58945 (clients enregistrés seulement) — L2TP au-dessus d'échouer de connexions d'IPSec avec l'autorisation de LDAP et le mschapv2

Communauté de support Cisco - Conversations à l'affiche

La Communauté de support Cisco est un forum où vous pouvez poser vos questions et répondre à d'autres, offrir des conseils et collaborer avec des collègues. Voici quelques séances parmi les plus récentes et importantes présentées dans notre forum.


Informations connexes


Document ID: 113572