セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA およびネイティブ L2TP IPSec Android クライアントの設定例

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2012 年 6 月 28 日) | フィードバック


目次


概要

L2TP Over IPSec は IPSec VPN の横の L2TP VPN ソリューションおよび単一 の プラットフォームのファイアウォールサービスを展開し、管理するために機能を提供します。 リモート アクセス シナリオの L2TP Over IPSec の設定の第一の利点はリモートユーザが POTS のリモート アクセスを事実上どこでもイネーブルにする専用線アクセスできることですかゲートウェイなしでパブリックIPネットワーク上の VPN に。 追加 の 利点は VPN アクセスのための唯一のクライアント 要件が Microsoft Dial-Up Networking (DUN)の Windows の使用であることです。 追加クライアントソフトウェアが、Cisco VPN Clientソフトウェアのような、必要となりません。 このドキュメントでは、ネイティブの l2tp-IPSec Android クライアントの設定例を紹介します。 ASA で必要なすべての必要なコマンドによってそれがあなた、また Android な デバイス自体で奪取 されるべきステップを踏みます。

注: Atri Basu および Rahul Govindan によって貢献される、Cisco TAC エンジニア。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Android L2TP/IPSec は ASA バージョン 8.2.5 または それ 以降を、8.3.2.12 またはそれ以降、8.4.1 またはそれ以降必要とします。

  • ASA は L2TP/IPsec プロトコルを使用するとき Microsoft Windows 7 および Android ネイティブ VPN クライアントのための SHA2 認証 シグニチャ サポートをサポートします。

  • L2TP Over IPSec のためのライセンス の 必要条件

使用するコンポーネント

この文書に記載されている情報は ASA バージョン 8.2.5 または それ 以降に、8.3.2.12 またはそれ以降、8.4.1 またはそれ以降基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネイティブ L2TP-IPSec Android な クライアントを ASA を使用するために設定する方法

このセクションはこの資料に説明がある機能を設定する必要がある情報を記述します。

設定

Android の L2TP/IPSec 接続を設定して下さい

Android の L2TP/IPSec 接続を設定するためにこれらのステップを完了して下さい:

  1. メニューを開き、『Settings』 を選択 して下さい。

  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 (利用可能 な オプションは Android のバージョンによって決まります。)

  3. 設定を『VPN』 を選択 して下さい。

  4. VPN を『Add』 を選択 して下さい。

  5. L2TP/IPsec PSK VPN を『Add』 を選択 して下さい。

  6. 名前を『VPN』 を選択 し、わかりやすい名前を入力して下さい。

  7. VPN サーバを『Set』 を選択 し、わかりやすい名前を入力して下さい。

  8. IPSec 事前共有キーを『Set』 を選択 して下さい。

  9. イネーブル L2TP シークレットのチェックを外して下さい。

  10. メニューを開き、『SAVE』 を選択 して下さい。

ASA の L2TP/IPSec 接続を設定して下さい

これらはネイティブ VPN クライアントを可能にする L2TP Over IPSec プロトコルを使用して ASA への VPN 接続をするためにエンドポイントのオペレーティング・ システムによって統合必須 ASA IKEv1 (ISAKMP)ポリシー設定です:

  • IKEv1 フェーズ 1 — SHA1 ハッシュ方式のトリプル DES 暗号化

  • IPSecフェーズ 2 — MD5 または SHA ハッシュ方式のトリプル DES か AES 暗号化

  • Ppp authentication pap、MS-CHAPv1、または MSCHAPv2 (好まれる)

  • 事前共有鍵

注: ASA は PPP認証 PAP および Microsoft CHAP だけ、ローカルデータベースのバージョン 1 および 2、サポートします。 EAP と CHAP は、プロキシ認証サーバで実行されます。 従ってリモートユーザが認証 eap プロキシ認証 chap コマンドで設定されるトンネル グループに属すればおよび ASA ローカルデータベースを使用するために設定されますユーザが接続することができないこと。 なお、Android は PAP をサポートしないし、LDAP が MS CHAP をサポートしないので、LDAP は実行可能な認証機構ではないです。 これのまわりの唯一の方法は Radius を使用することです。 MS CHAP および LDAP においての問題に関する詳細については Ciscoバグ CSCtw58945登録 ユーザだけ)を参照できます。

ASA の L2TP/IPSec 接続を設定するためにこれらのステップを完了して下さい:

  1. 適応性があるセキュリティ アプライアンス モデルがグループ ポリシーのためのクライアントに IP アドレスを割り当てることができるようにローカルアドレス プールを定義するか、または dhcp サーバを使用して下さい。

  2. 内部グループ ポリシーを作成して下さい。

    1. l2tp-ipsec であるためにトンネルプロトコルを定義して下さい。

    2. DNSサーバをクライアントによって使用されるために設定して下さい。

  3. 新しいトンネル グループを作成するか、または既存の DefaultRAGroup の属性を修正して下さい。 (新しいトンネル グループは IPSec 識別子が電話のグループ名として設定 される場合使用することができます; 電話 設定についてはステップ 10 を参照して下さい。)

  4. 使用するトンネル グループの全般属性を定義して下さい。

    1. このトンネル グループに定義されたグループ ポリシーをマッピング して下さい。

    2. このトンネル グループが使用される定義されたアドレス・ プールをマッピング して下さい。

    3. ローカル以外何かを使用したいと思う場合サーバー グループを修正して下さい。

  5. 使用されるべきトンネル グループの IPSec 属性の下で事前共有キーを定義して下さい。

  6. chap、ms-chap-v1 および ms chap だけ v2 使用されるように使用するトンネル グループの ppp 属性を修正して下さい。

  7. 設定 される仕様 ESP 暗号化タイプおよび認証種別でトランスフォームを作成して下さい。

  8. トンネルモードよりもむしろトランスポート モードを使用するように IPSec に指示して下さい。

  9. SHA1 ハッシュ方式のトリプル DES 暗号化を使用して ISAKMP/IKEv1 ポリシーを定義して下さい。

  10. ダイナミック暗号マップを作成し、クリプト マップにマッピング して下さい。

  11. インターフェイスにクリプト マップを加えて下さい。

  12. そのインターフェイスの ISAKMP を有効に して下さい。

設定

この例はあらゆるオペレーティング・ システムのネイティブ VPN クライアントの ASA 互換性を確保するコンフィギュレーション・ ファイル コマンドを示したものです:

ASA 8.2.5 またはそれ以降 設定例
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans                      
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 またはそれ以降 設定例
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

確認

接続応答

  1. メニューを開き、『Settings』 を選択 して下さい

  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 (利用可能 な オプションは Android のバージョンによって決まります。)

  3. リストから VPN 設定を選択して下さい。

  4. ユーザ名とパスワードを入力します。

  5. 覚えていますユーザ名を選択して下さい。

  6. 『Connect』 を選択 して下さい。

接続解除

  1. メニューを開き、『Settings』 を選択 して下さい。

  2. ネットワークワイヤレス制御『Wireless』 を選択 すれば。 (利用可能 な オプションは Android のバージョンによって決まります。)

  3. リストから VPN 設定を選択して下さい。

  4. 『Disconnect』 を選択 して下さい。

確認して下さい

接続がきちんとはたらくことを確認するこれらのコマンドを使用して下さい。

  • ASA バージョン 8.2.5 のために isakmp — 暗号 show run

  • show run 暗号 ikev1 — ASA バージョン 8.3.2.12 または それ 以降に関しては

  • 示して下さい VPNsessiondb ra-ikev1-ipsec を— ASA バージョン 8.3.2.12 または それ 以降に関しては

  • ASA バージョン 8.2.5 のための VPNsessiondb を remote —示して下さい

既知の警告

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報


Document ID: 113572