セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA およびネイティブ L2TP IPSec Android クライアントの設定例

2015 年 2 月 3 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2014 年 9 月 22 日) | フィードバック

概要

IPSec に よる Layer 2 Tunneling Protocol (L2TP)は IPSec VPN の横の L2TP VPN ソリューションおよび単一 の プラットフォームのファイアウォールサービスを展開し、管理するために機能を提供します。 リモート アクセス シナリオの L2TP Over IPSec の設定の第一の利点はリモートユーザがゲートウェイか一般電話サービス (POTS)の事実上あらゆるインポートからリモート アクセスをイネーブルにする専用線なしでパブリックIPネットワーク上の VPN にアクセスできることです。 追加 の 利点は VPN アクセスのための唯一のクライアント 要件が Microsoft Dial-Up Networking (DUN)の Windows の使用であることです。 追加クライアントソフトウェアが、Cisco VPN Clientソフトウェアのような、必要となりません。

この資料はネイティブ L2TP/IPSec Android クライアントに設定 例を提供したものです。 Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)で必要なすべての必要なコマンドによってそれがあなた、また android な デバイス自体で奪取 されるべきステップを踏みます。

Atri Basu および Rahul Govindan によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

このセクションは情報 1 を必要がありますこの資料に説明がある機能を設定する記述します。

Android の L2TP/IPSec 接続を設定して下さい

このプロシージャは Android の L2TP/IPSec 接続を設定する方法を記述します:

  1. メニューを開き、『Settings』 を選択 して下さい。
  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 利用可能 な オプションは Android のバージョンによって決まります。
  3. 設定を『VPN』 を選択 して下さい。
  4. VPN を『Add』 を選択 して下さい。
  5. L2TP/IPsec PSK VPN を『Add』 を選択 して下さい。
  6. 名前を『VPN』 を選択 し、わかりやすい名前を入力して下さい。
  7. VPN サーバを『Set』 を選択 し、わかりやすい名前を入力して下さい。
  8. IPSec 事前共有キーを『Set』 を選択 して下さい。
  9. イネーブル L2TP シークレットのチェックを外して下さい。
  10. [オプションの] ASA トンネル グループ名前として IPSec 識別子を設定 して下さい。 設定は意味しません ASA の DefaultRAGroup に落ちることを。
  11. メニューを開き、『SAVE』 を選択 して下さい。

ASA の L2TP/IPSec 接続を設定して下さい

これらは必須 ASA インターネット鍵交換バージョン 1 (IKEv1) (Internet Security Association and Key Management Protocol [ISAKMP]です) L2TP Over IPSec プロトコルが使用される場合のネイティブ VPN クライアントを可能にする ASA への VPN 接続をするためにエンドポイントのオペレーティング システムによって統合ポリシー設定:

  • IKEv1 フェーズ 1 - SHA1 ハッシュ方式の Triple Data Encryption Standard(3DES) 暗号化
  • IPSecフェーズ 2 - MD5 (MD5)または SHA ハッシュ方式のトリプル DES か高度暗号化規格(AES) 暗号化
  • PPP authentication password 認証プロトコル(PAP)、Microsoft Challenge Handshake Authentication Protocol バージョン 1 (MS-CHAPv1)、または MS-CHAPv2 (好まれる)
  • 事前共有鍵

: ASA は PPP認証だけ PAP および MS-CHAP サポートします(ローカルデータベースのバージョン 1 および 2)。 Extensible Authentication Protocol(EAP)および CHAP はプロキシ認証サーバによって実行された。 従って、リモートユーザが認証 eap プロキシ認証 chap コマンドで設定されるトンネル グループに属すれば、そしてローカルデータベースを使用するために ASA が設定されればそのユーザは接続することができません。

なお、Android は PAP をサポートしないし、Lightweight Directory Access Protocol(LDAP)が MS-CHAP をサポートしないので、LDAP は実行可能な認証機構ではないです。 唯一の回避策は RADIUS を使用することです。 MS-CHAP および LDAP においての問題に関する更に詳しい情報については LDAP 許可の IPSec接続失敗上の Cisco バグ ID CSCtw58945、"L2TP および mschapv2," を参照して下さい。

このプロシージャは ASA の L2TP/IPSec 接続を設定する方法を記述します:

  1. ローカルアドレス プールを定義するか、または適応性があるセキュリティ アプライアンス モデルのためにグループ ポリシーのためのクライアントに IP アドレスを割り当てるために dhcp サーバを使用して下さい。
  2. 内部グループ ポリシーを作成して下さい。
    1. l2tp-ipsec であるためにトンネルプロトコルを定義して下さい。
    2. Domain Name Server (DNS)をクライアントによって使用されるために設定して下さい。
  3. 新しいトンネル グループを作成するか、または既存の DefaultRAGroup の属性を修正して下さい。 (A 新しいトンネル グループは IPSec 識別子が電話のグループ名として設定 される場合使用することができます; 電話 設定についてはステップ 10 を参照して下さい。)
  4. 使用するトンネル グループの全般属性を定義して下さい。
    1. このトンネル グループに定義されたグループ ポリシーをマッピング して下さい。
    2. このトンネル グループが使用される定義されたアドレス プールをマッピング して下さい。
    3. ローカル以外何かを使用したいと思う場合サーバー グループを修正して下さい。
  5. 使用されるべきトンネル グループの IPSec 属性の下で事前共有キーを定義して下さい。
  6. chap、ms-chap-v1 および ms-chap-v2 だけ使用されるように使用するトンネル グループの PPP 属性を修正して下さい。
  7. 設定 される特定の Encapsulating Security Payload(ESP) 暗号化タイプおよび認証種別でトランスフォームを作成して下さい。
  8. トンネルモードよりもむしろトランスポート モードを使用するように IPSec に指示して下さい。
  9. SHA1 ハッシュ方式のトリプル DES 暗号化を使用して ISAKMP/IKEv1 ポリシーを定義して下さい。
  10. ダイナミック暗号マップを作成し、クリプト マップにマッピング して下さい。
  11. インターフェイスにクリプト マップを加えて下さい。
  12. そのインターフェイスの ISAKMP を有効に して下さい。

ASA 互換性のためのコンフィギュレーション ファイル コマンド

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

この例はあらゆるオペレーティング システムのネイティブ VPN クライアントの ASA 互換性を確保するコンフィギュレーション ファイル コマンドを示したものです。

ASA 8.2.5 またはそれ以降 設定例

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 またはそれ以降 設定例

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

確認

ここでは、設定が正常に動作していることを確認します。

このプロシージャは接続を設定する方法を記述します:

  1. メニューを開き、『Settings』 を選択 して下さい。
  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 (利用可能 な オプションは Android のバージョンによって決まります。)
  3. リストから VPN 設定を選択して下さい。
  4. ユーザ名とパスワードを入力します。
  5. 覚えていますユーザ名を選択して下さい。
  6. 『Connect』 を選択 して下さい。

このプロシージャは切る方法を記述します:

  1. メニューを開き、『Settings』 を選択 して下さい。
  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 (利用可能 な オプションは Android のバージョンによって決まります。)
  3. リストから VPN 設定を選択して下さい。
  4. 『Disconnect』 を選択 して下さい。

接続がきちんとはたらくことを確認するためにこれらのコマンドを使用して下さい。

  • show run 暗号 isakmp - ASA バージョン 8.2.5 に関しては
  • show run 暗号 ikev1 - ASA バージョン 8.3.2.12 または それ 以降に関しては
  • 示して下さい VPNsessiondb ra-ikev1-ipsec を- ASA バージョン 8.3.2.12 または それ 以降に関しては
  • 示して下さい VPNsessiondb 遠隔- ASA バージョン 8.2.5 に関しては

: 特定の show コマンドが、アウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 アウトプット インタープリタ ツールを使用して、show コマンド出力の解析を表示できます。

既知の警告

  • 」android な L2TP/IPsec クライアントと接続する場合の Cisco バグ ID CSCtq21535、「ASA トレースバック
  • Cisco バグ ID CSCtj57256 は ASA55xx" に、Android からの "L2TP/IPSec 接続確立しません
  • Cisco バグ ID CSCtw58945 は LDAP 許可および mschapv2" と、IPSec接続上の "L2TP 失敗します

関連情報

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 113572