Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA y ejemplo androide nativo de la configuración del cliente L2TP-IPSec

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (28 Junio 2012) | Comentarios


Contenido


Introducción

El L2TP sobre el IPSec proporciona la capacidad para desplegar y para administrar una solución de VPN L2TP junto al IPSec VPN y los servicios del Firewall en una plataforma única. El beneficio principal de la configuración del L2TP sobre el IPSec en un escenario del Acceso Remoto es que los usuarios remotos pueden acceder un VPN sobre una red IP pública sin un gateway o una línea dedicada, de los cuales habilita el Acceso Remoto virtualmente dondequiera con los CRISOLES. Un beneficio adicional es que el único requisito del cliente para el acceso VPN es el uso de Windows con el dial-up networking de Microsoft (DUN). No se requiere ningún software de cliente adicional, tal como software de VPN Client de Cisco. Este documento proporciona una configuración de ejemplo del cliente l2tp-IPSec Android nativo. Toma le a través de todos los comandos required necesarios en el ASA, así como las medidas de ser adquirido el dispositivo androide sí mismo.

Nota: Contribuido por Atri Basu y Rahul Govindan, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • El L2TP/IPSec androide requiere la Versión de ASA 8.2.5 o más adelante, 8.3.2.12 o más adelante, 8.4.1 o más adelante.

  • El ASA soporta el soporte de la firma del certificado SHA2 para Microsoft Windows 7 y los clientes VPN Androide-nativos al usar el protocolo L2TP/IPsec.

  • Requisitos para obtener la licencia para el L2TP sobre el IPSec

Componentes Utilizados

La información en este documento se basa en la Versión de ASA 8.2.5 o más adelante, 8.3.2.12 o más adelante, 8.4.1 o más adelante.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

¿Cómo configuro al cliente androide nativo L2TP-IPSec para trabajar con un ASA?

Esta sección describe la información que usted necesita configurar las características descritas en este documento.

Configurar

Configure la conexión del L2TP/IPSec en el androide

Complete estos pasos para configurar la conexión del L2TP/IPSec en el androide:

  1. Abra el menú, y elija las configuraciones.

  2. Elija los controles de la Tecnología inalámbrica y de la red o de la Tecnología inalámbrica. (La opción disponible depende de su versión del androide.)

  3. Elija las configuraciones VPN.

  4. Elija agregan el VPN.

  5. Elija agregan el PSK VPN L2TP/IPsec.

  6. Elija el nombre VPN, y ingrese un nombre descriptivo.

  7. Elija el servidor VPN determinado, y ingrese un nombre descriptivo.

  8. Elija la clave previamente compartida determinada del IPSec.

  9. Desmarque el secreto del permiso L2TP.

  10. Abra el menú, y elija la salvaguardia.

Configure la conexión del L2TP/IPSec en el ASA

Éstas son las configuraciones requeridas de la directiva ASA IKEv1 (ISAKMP) que permiten a los clientes VPN nativos, integradas con el sistema operativo en un punto final, para hacer una conexión VPN al ASA usando el L2TP sobre el Protocolo IPSec:

  • IKEv1 fase 1 — cifrado 3DES con el método del hash SHA1

  • Fase IPSec 2 — 3DES o encripción AES con el método del hash MD5 o SHA

  • Autenticación PPP — PAP, MS-CHAPv1, o MSCHAPv2 (preferido)

  • Clave previamente compartida

Nota: El ASA soporta solamente las autenticaciones PPP PAP y el Microsoft CHAP, las versiones 1 y 2, en las bases de datos locales. El EAP y el CHAP son realizados por servidores de autenticación proxy. Por lo tanto, si un usuario remoto pertenece a un grupo de túnel configurado con el EAP-proxy de la autenticación o los comandos chap de la autenticación, y el ASA se configura para utilizar las bases de datos locales, que el usuario no podrá conectar. Además, el androide no soporta el PAP, y puesto que el LDAP no soporta la GRIETA MS, el LDAP no es un mecanismo de autenticación viable. La única forma alrededor de esto es utilizar el radio. Usted puede referir al bug Cisco CSCtw58945 (clientes registrados solamente) para los detalles con respecto a los problemas con la GRIETA MS y el LDAP.

Complete estos pasos para configurar la conexión del L2TP/IPSec en el ASA:

  1. Defina un pool de la dirección local o utilice un DHCP-servidor para que el dispositivo de seguridad adaptante afecte un aparato los IP Addresses a los clientes para la directiva del grupo.

  2. Cree una grupo-directiva interna.

    1. Defina el Tunnel Protocol para ser l2tp-ipsec.

    2. Configure un servidor DNS que se utilizará por los clientes.

  3. Cree a un nuevo grupo de túnel o modifique los atributos del DefaultRAGroup existente. (El nuevo grupo de túnel puede ser utilizado si el identificador del IPSec se fija como nombre del grupo en el teléfono; vea el paso 10 para la Configuración del teléfono.)

  4. Defina los atributos generales del grupo de túnel se utilizan que.

    1. Asocie la directiva del grupo definido a este grupo de túnel.

    2. Asocie a la agrupación de direcciones definida que se utilizará por este grupo de túnel.

    3. Modifique el grupo de servidor de autenticación si usted quiere utilizar algo con excepción del LOCAL.

  5. Defina la clave previamente compartida bajo atributos del IPSec del grupo de túnel que se utilizará.

  6. Modifique los atributos ppp del grupo de túnel se utilizan que para solamente utilizar grieta, ms-chap-v1 y el v2 de la ms-grieta.

  7. Cree una transformación fijada con un tipo de encripción específico y el tipo de autenticación ESP.

  8. Dé instrucciones el IPSec para utilizar el modo de transporte bastante que el modo túnel.

  9. Defina una directiva ISAKMP/IKEv1 usando el cifrado 3DES con el método del hash SHA1.

  10. Cree una correspondencia cifrada dinámica, y asocíela a una correspondencia de criptografía.

  11. Aplique la correspondencia de criptografía a una interfaz.

  12. Habilite el ISAKMP en esa interfaz.

Configuraciones

Este ejemplo muestra los comandos del archivo de configuración que aseguran la compatibilidad ASA con un cliente VPN nativo en cualquier sistema operativo:

ASA 8.2.5 o ejemplo de configuración posterior
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans                      
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 o ejemplo de configuración posterior
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

Verificación

Conecte

  1. Abra el menú, y elija las configuraciones.

  2. Seleccione los controles de la Tecnología inalámbrica y de la red o de la Tecnología inalámbrica. (La opción disponible depende de su versión del androide.)

  3. Seleccione la configuración VPN de la lista.

  4. Ingrese su nombre de usuario y contraseña.

  5. Selecto recuerde el nombre de usuario.

  6. Selecto conecte.

Desconecte

  1. Abra el menú, y elija las configuraciones.

  2. Seleccione los controles de la Tecnología inalámbrica y de la red o de la Tecnología inalámbrica. (La opción disponible depende de su versión del androide.)

  3. Seleccione la configuración VPN de la lista.

  4. Seleccione la desconexión.

Confirme

Utilice estos comandos de confirmar que su conexión trabaja correctamente.

  • muestre el isakmp crypto del funcionamiento — Para la Versión de ASA 8.2.5

  • muestre el funcionamiento ikev1 crypto — Para Versión de ASA 8.3.2.12 o más adelante

  • muestre VPN-sessiondb ra-ikev1-ipsec — Para Versión de ASA 8.3.2.12 o más adelante

  • muestre el telecontrol de VPN-sessiondb — Para la Versión de ASA 8.2.5

Advertencias conocidas

Comunidad de Soporte de Cisco - Conversaciones Destacadas

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas. Aquí están algunas de las charlas más importantes presentadas en nuestro foro.


Información Relacionada


Document ID: 113572