Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.X: Adición de un nuevo túnel o un acceso remoto a una VPN L2L existente

15 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (6 Marzo 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
      Diagrama de la red
Antecedentes
Adicción de un túnel L2L adicional a la configuración
      Instrucciones paso a paso
      Ejemplo de configuración
Adicción de una VPN de acceso remoto a la configuración
      Instrucciones paso a paso
      Ejemplo de configuración
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona los pasos necesarios para la adición de un nuevo túnel de VPN o una VPN de acceso remoto a una configuración de VPN L2L ya existente. Consulte Dispositivos adaptables de seguridad de la serie ASA 5500 de Cisco: Ejemplos de configuración y notas técnicas (en inglés) para obtener más información acerca de cómo crear los túneles de VPN IPSec iniciales y más ejemplos de configuración.

Requisitos previos

Requerimientos

Asegúrese de que ha configurado correctamente el túnel de VPN IPSEC L2L actualmente en funcionamiento antes de intentar esta configuración.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Dos dispositivos de seguridad ASA que ejecutan código 7.x

  • Un dispositivo de seguridad PIX que ejecuta código 7.x

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

addnetworkvpn1.gif

Este resultado es la configuración actualmente en ejecución para el dispositivo de seguridad NY (HUB). En esta configuración existe un túnel L2L IPSec configurado entre NY (HQ) y TN.

Configuración actual de firewall de NY (HQ)

ASA-NY-HQ#show running-config

: Saved
:
ASA Version 7.2(2)
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0
10.10.10.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0
10.10.10.0 255.255.255.0


!--- Output is suppressed.


nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a3aa2afb37dcad447031b7b0c8ea65d3
: end
ASA-NY-HQ#

Antecedentes

Actualmente, existe un túnel L2L configurado entre la oficina NY(HQ) y la TN. Su empresa ha abierto recientemente una nueva oficina en TX. Esta nueva oficina necesita una conectarse a recursos locales ubicados en las oficinas NY y TN. Asimismo, existe un requerimiento adicional que consiste en ofrecer a los empleados la posibilidad de trabajar desde casa y acceder con seguridad de forma remota a los recursos ubicados en la red interna. En este ejemplo, se han configurado un nuevo túnel de VPN y un servidor VPN de acceso remoto que está ubicado en la oficina NY.

En este ejemplo, se utilizan dos comandos para permitir la comunicación entre las redes VPN e identificar el tráfico que se debe tunelizar o cifrar. Esto permite al usuario acceder a Internet sin tener que enviar dicho tráfico a través del túnel de VPN. Para configurar estas dos opciones, ejecute los comandos split-tunnel y same-security-traffic.

La tunelización dividida (split-tunneling) permite a un cliente IPSec de acceso remoto dirigir condicionalmente paquetes a través del túnel IPSec de forma cifrada o a una interfaz de red de forma no cifrada. Cuando la tunelización dividida (split-tunneling) está activada, no es necesario que los paquetes cuyo destino no se encuentra en el otro lado del túnel IPSec se cifren, se envíen a través del túnel, se descifren y a continuación se enruten hacia su destino final. Este comando aplica esta política de tunelización dividida (split-tunneling) a una red específica. La opción predeterminada consiste en tunelizar todo el tráfico. Para establecer una política de tunelización dividida (split-tunneling), ejecute el comando split-tunnel-policy en el modo de configuración de política de grupo. Para eliminar la política de tunelización dividida (split-tunneling) de esta configuración, ejecute la forma no de dicho comando.

El dispositivo de seguridad incluye una característica que permite que un cliente VPN envíe tráfico protegido por IPSec a otros usuarios VPN, dejando que dicho tráfico entre y salga de la misma interfaz. También denominada redireccionamiento, esta característica puede describirse como radios VPN (clientes) que se conectan a través de un hub VPN (dispositivo de seguridad). En otra aplicación, esta característica puede redirigir tráfico VPN entrante de nuevo hacia fuera a través de la misma interfaz como tráfico no cifrado. Esto es útil, por ejemplo, para un cliente VPN que no cuenta con tunelización dividida (split-tunneling) pero que necesita acceder a una VPN y explorar la Web. Para configurar esta característica, ejecute el comando same-security-traffic intra-interface en el modo de configuración global.

Adicción de un túnel L2L adicional a la configuración

El siguiente es el diagrama de red para esta configuración:

addnetworkvpn2.gif

Instrucciones paso a paso

Esta sección proporciona los procedimientos necesarios que deben llevarse a cabo en el dispositivo de seguridad HUB (NY Firewall) Consulte PIX/ASA 7.x: Ejemplo de configuración de un túnel de VPN PIX-a-PIX simple (en inglés) para obtener más información acerca de cómo configurar el cliente radio (TX Firewall).

Complete estos pasos:

  1. Cree estas dos nuevas listas de acceso que usará el mapa de cifrado para definir el tráfico interesante:

    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
      			 extended permit ip 172.16.1.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
      			 extended permit ip 10.10.10.0 255.255.255.0
          20.20.20.0 255.255.255.0

    Advertencia Advertencia: Para que la comunicación tenga lugar, el otro lado del túnel debe tener la entrada opuesta a la de esta lista de control de acceso (ACL) para esa red en particular.

  2. Agregue estas entradas a la declaración no nat para evitar el proceso nat entre estas redes:

    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 172.16.1.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 10.10.10.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 20.20.20.0 255.255.255.0
          10.10.10.0 255.255.255.0

    Advertencia Advertencia: Para que la comunicación tenga lugar, el otro lado del túnel debe tener la entrada opuesta a la de esta ACL para esa red en particular.

  3. Ejecute este comando para activar un host en la red VPN TX y tener acceso al túnel de VPN TN:

    • ASA-NY-HQ(config)#same-security-traffic permit
      			 intra-interface

    Esto permite que los miembros VPN se comuniquen entre ellos.

  4. Cree la configuración del mapa de cifrado para el nuevo túnel de VPN. Ya que todas las configuraciones de la fase 2 son iguales, utilice el mismo conjunto de transformaciones que se utilizó en la primera configuración VPN.

    • ASA-NY-HQ(config)#crypto map outside_map 30 match
      			 address outside_30_cryptomap
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
      			 peer 192.168.12.2
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
      			 transform-set
      			 ESP-3DES-SHA
  5. Cree el grupo de túneles que se especifica para este túnel junto con los atributos necesarios para conectarlo al host remoto.

    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2 type
      			 ipsec-l2l
    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2
      			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
        				cisco123

        Nota: La clave previamente compartida debe coincidir exactamente en ambas partes del túnel.

  6. Ahora que ya se ha configurado el nuevo túnel, debe enviar tráfico interesante a través del túnel para, de este modo, activarlo. Para llevar a cabo esta operación, ejecute el comando ping para hacer ping al host en la red interna del túnel remoto.

    En este ejemplo, se hace ping a una estación de trabajo del otro lado del túnel con la dirección 20.20.20.16. De este modo, el túnel se activa entre NY y TX. Ahora, existen dos túneles que están conectados a la oficina HQ. Si no tiene acceso a un sistema detrás del túnel, consulte Soluciones más comunes para la resolución de problemas de VPN IPSec (en inglés) para obtener una solución alternativa en relación con el uso de management-accesscomo se indica.

Ejemplo de configuración

Ejemplo de configuración 1

ASA-NY-HQ#show running-config

 : Saved
:
ASA Version 7.2(2)
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username sidney password 3xsopMX9gN5Wnf1W encrypted privilege 15
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.2
crypto map outside_map 30 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:5a184c8e5e6aa30d4108a55ac0ead3ae
: end
ASA-NY-HQ#

Adicción de una VPN de acceso remoto a la configuración

El siguiente es el diagrama de red para esta configuración:

addnetworkvpn3.gif

Instrucciones paso a paso

Esta sección recoge los procedimientos necesarios para agregar capacidad de acceso remoto y permitir que los usuarios remotos accedan a todos los sitios. Consulte PIX/ASA 7.x ASDM: Restricción del acceso a la red a usuarios VPN de acceso remoto (en inglés) para obtener más información acerca de cómo configurar el servidor de acceso remoto y restringir el acceso.

Complete estos pasos:

  1. Cree una agrupación de direcciones IP que se utilizará para clientes que se conecten a través del túnel de VPN. Asimismo, cree un usuario básico para acceder a la VPN una vez que se haya completado la configuración.

    • ASA-NY-HQ(config)#ip local pool Hill-V-IP
      			 10.10.120.10-10.10.120.100 mask 255.255.255.0
    • ASA-NY-HQ(config)#username cisco password
      			 cisco111
  2. Excluya el tráfico del proceso nat.

    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 172.16.1.0
          255.255.255.0 10.10.120.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 10.10.120.0
          255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 10.10.120.0
          255.255.255.0 20.20.20.0 255.255.255.0

    Observe que en este ejemplo se ha excluido la comunicación nat entre los túneles de VPN.

  3. Permita que se lleve a cabo la comunicación entre los túneles L2L ya creados.

    • ASA-NY-HQ(config)#access-list
      			 outside_20_cryptomap extended permit ip 10.10.120.0
          255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 outside_30_cryptomap extended permit ip 10.10.120.0
          255.255.255.0 20.20.20.0 255.255.255.0

    Esto permite que los usuarios de acceso remoto puedan comunicarse con redes ubicadas detrás de los túneles especificados.

    Advertencia Advertencia: Para que la comunicación tenga lugar, el otro lado del túnel debe tener la entrada opuesta a la de esta ACL para esa red en particular.

  4. Configure el tráfico que se cifrará y envíelo a través del túnel de VPN.

    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 172.16.1.0
          255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 10.10.10.0
          255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 20.20.20.0
          255.255.255.0
  5. Configure la información de política y autenticación local, como los protocolos wins, dns e IPSec, para los clientes VPN.

    • ASA-NY-HQ(config)#group-policy Hillvalley
      			 internal
    • ASA-NY-HQ(config)#group-policy Hillvalley
      			 attributes
      • ASA-NY-HQ(config-group-policy)#wins-server
        				value 10.10.10.20
      • ASA-NY-HQ(config-group-policy)#dns-server value
        				10.10.10.20
      • ASA-NY-HQ(config-group-policy)#vpn-tunnel-protocol
        				IPSec
  6. Establezca los atributos de IPSec y generales, como las claves previamente compartidas y las agrupaciones de direcciones IP, que el túnel de VPN Hillvalley utilizará.

    • ASA-NY-HQ(config)#tunnel-group Hillvalley
      			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
        				cisco1234
    • ASA-NY-HQ(config)#tunnel-group Hillvalley
      			 general-attributes
      • ASA-NY-HQ(config-tunnel-general)#address-pool
        				Hill-V-IP
      • ASA-NY-HQ(config-tunnel-general)#default-group-policy
        				Hillvalley
  7. Cree una política de tunelización dividida (split-tunneling) que utilizará la ACL que se creó en el paso 4 para especificar qué tráfico se cifrará y pasará a través del túnel.

    • ASA-NY-HQ(config)#split-tunnel-policy
      			 tunnelspecified
    • ASA-NY-HQ(config)#split-tunnel-network-list value
      			 Hillvalley_splitunnel
  8. Configure la información del mapa de cifrado necesaria para la creación del túnel de VPN.

    • ASA-NY-HQ(config)#crypto ipsec transform-set
      			 Hill-trans esp-3des esp-sha-hmac
    • ASA-NY-HQ(config)#crypto dynamic-map
      			 outside_dyn_map 20 set transform-set
      			 Hill-trans
    • ASA-NY-HQ(config)#crypto dynamic-map dyn_map 20
      			 set reverse-route
    • ASA-NY-HQ(config)#crypto map outside_map 65535
      			 ipsec-isakmp dynamic
      			 outside_dyn_map

Ejemplo de configuración

Ejemplo de configuración 2

ASA-NY-HQ#show running-config

 : Saved

hostname ASA-NY-HQ
ASA Version 7.2(2)

enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface


!--- This is required for communication between VPN peers.


access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.120.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list Hillvalley_splitunnel standard permit 172.16.1.0 255.255.255.0
access-list Hillvalley_splitunnel standard permit 10.10.10.0 255.255.255.0
access-list Hillvalley_splitunnel standard permit 20.20.20.0 255.255.255.0 
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
ip local pool Hill-V-IP 10.10.120.10-10.10.120.100 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Hillvalley internal
group-policy Hillvalley attributes
 wins-server value 10.10.10.20
 dns-server value 10.10.10.20
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Hillvalley_splitunnel
 default-domain value corp.com
username cisco password dZBmhhbNIN5q6rGK encrypted 
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set Hill-trans esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set Hill-trans
crypto dynamic-map dyn_map 20 set reverse-route
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.1
crypto map outside_map 30 set transform-set ESP-3DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
tunnel-group Hillvalley type ipsec-ra
tunnel-group Hillvalley general-attributes
 address-pool Hill-V-IP
 default-group-policy Hillvalley
tunnel-group Hillvalley ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:62dc631d157fb7e91217cb82dc161a48
ASA-NY-HQ#

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (Intérprete de resultados) (OIT) (sólo para clientes registrados) admite determinados comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • ping inside x.x.x.x (dirección IP del host en el otro lado del túnel): este comando permite enviar tráfico a través del túnel mediante la dirección de origen de la interfaz interna.

Resolución de problemas

Consulte los siguientes documentos para obtener información de ayuda para solucionar problemas con su configuración:


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82020