Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA и собственный пример конфигурации клиента Android IPSec L2TP

16 ноября 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (29 октября 2013) | Отзыв

Введение

Туннельный протокол уровня 2 (L2TP) через IPSec предоставляет возможность развернуть и администрировать решение для виртуальный частной сети L2TP рядом с IPSEC VPN и обслуживанием межсетевого экрана в одной платформе. Основное преимущество конфигурации L2TP по IPSec в сценарии удаленного доступа - то, что удаленные пользователи могут обратиться к VPN по общедоступной IP - сети без шлюза или выделенной линии, которая включает удаленный доступ от фактически любого места с PlainOld Telephone Service (POTS) (обычная телефонная сеть). Дополнительное преимущество - то, что единственное требование клиента для доступа VPN является использованием Windows с Microsoft Dial-Up Networking (DUN). Никакие дополнительные клиентские программные обеспечения, такие как По Сisco VPN Client, не требуются.

Этот документ предоставляет пример конфигурации для собственного клиента Android L2TP/IPSec. Это берет вас посредством всех необходимых команд, требуемых на Устройстве защиты CiscoAdaptive (ASA), а также шаги, которые будут взяты на устройстве Android непосредственно.

Внесенный Atri Basu и Rahul Govindan, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Настройка

Этот раздел описывает информацию, которой можно было бы требовать, чтобы настроить функции, описанные в этом документе.

Настройте Соединение L2TP/IPSec на Android

Эта процедура описывает, как настроить соединение L2TP/IPSec на Android:

  1. Откройте меню, и выберите Settings.
  2. Выберите Wireless и Network или Wireless Controls. Доступный параметр зависит от вашей версии Android.
  3. Выберите VPN Settings.
  4. Выберите Add VPN.
  5. Выберите Add L2TP/IPsec PSK VPN.
  6. Выберите VPN Name, и введите описательное имя.
  7. Выберите Set VPN Server, и введите описательное имя.
  8. Выберите предварительный общий ключ Set IPSec.
  9. Анчек Включают тайну L2TP.
  10. [Дополнительный] Набор идентификатор IPSec как название туннельной группы ASA. Никакая установка не означает, что это попадет в DefaultRAGroup на ASA.
  11. Откройте меню, и выберите Save.

Настройте Соединение L2TP/IPSec на ASA

Они - требуемая Версия 1 (IKEv1) Обмена ключами между сетями ASA (Ассоциация защиты в сети Интернет и Протокол управления ключами [ISAKMP]) параметры настройки политики, которые позволяют собственным клиентам VPN, интегрированным с операционной системой на оконечном устройстве, для создания VPN-подключения к ASA, когда используется L2TP по Протоколу IPSec:

  • Фаза 1 IKEv1 - Triple Data Encryption Standard (3DES) шифрование с SHA1 крошит метод
  • Фаза IPSec 2 - 3DES или шифрование Advanced Encryption Standard (AES) с Профилем сообщения 5 (MD5) или SHA крошит метод
  • Аутентификация по протоколу PPP Протокол проверки пароля (PAP), Версия протокола 1 квитирования с аутентификацией Microsoft (MSCHAPv1), или MSCHAPv2 (предпочтен)
  • Pre-shared key

Примечание. ASA поддерживает только PAP проверок подлинности PPP и MS-CHAP (версии 1 и 2) на локальной базе данных. Расширяемый протокол аутентификации (EAP) и CHAP выполнены по доверенности серверы проверки подлинности. Поэтому, если удаленный пользователь будет принадлежать туннельной группе, настроенной с опознавательным прокси eap или опознавательными командами парня и если ASA будет настроен для использования локальной базы данных, то тот пользователь будет неспособен соединиться.

Кроме того, Android не поддерживает PAP и, потому что Lightweight Directory Access Protocol (LDAP) не поддерживает MS-CHAP, LDAP не является механизмом допустимой аутентификации. Единственное временное решение должно использовать RADIUS. См. идентификатор ошибки Cisco CSCtw58945, "L2TP по IP - безопасным соединениям отказывает с авторизацией ldap и mschapv2," для получения дальнейшей информации по проблемам с MS-CHAP и LDAP.

Эта процедура описывает, как настроить соединение L2TP/IPSec на ASA:

  1. Определите пул локального адреса или используйте dhcp-server для устройства адаптивной защиты, чтобы выделить IP-адреса клиентам для групповой политики.
  2. Создайте внутреннюю групповую политику.
    1. Определите протокол туннелирования, чтобы быть l2tp-ipsec.
    2. Настройте Domain Name Server (DNS), который будет использоваться клиентами.
  3. Создайте новую туннельную группу или модифицируйте атрибуты существующего DefaultRAGroup. (Новая туннельная группа может использоваться, если идентификатор IPSec установлен как group-name по телефону; см. шаг 10 для конфигурации телефона.)
  4. Определите общие атрибуты туннельной группы, которые используются.
    1. Сопоставьте политику определенной группы с этой туннельной группой.
    2. Сопоставьте определенный пул адресов, который будет использоваться этой туннельной группой.
    3. Модифицируйте группу сервера проверки подлинности, если вы хотите использовать что-то другое, чем ЛОКАЛЬНЫЙ.
  5. Определите предварительный общий ключ под атрибутами IPSec туннельной группы, которая будет использоваться.
  6. Модифицируйте атрибуты PPP туннельной группы, которые используются так, чтобы только использовались парень, v1 парня мс и ms-chap-v2.
  7. Создайте набор преобразований с определенным типом шифрования безопасного закрытия содержания (ESP) и типом проверки подлинности.
  8. Дайте IPSec команду использовать транспортный режим, а не туннельный режим.
  9. Определите политику ISAKMP/IKEv1 используя 3DES шифрование с методом хэша SHA1.
  10. Создайте динамическую криптокарту, и сопоставьте ее с криптокартой.
  11. Примените криптокарту к интерфейсу.
  12. Включите ISAKMP на том интерфейсе.

Команды файла конфигурации для совместимости ASA

Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Данный пример показывает команды файла конфигурации, которые гарантируют совместимость ASA собственным клиентом VPN на любой операционной системе.

ASA 8.2.5 или Более поздний Пример конфигурации

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
           dns-server value <dns_server>
           vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
           default-group-policy l2tp-ipsec_policy
           address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
           pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
           no authentication pap
           authentication chap
           authentication ms-chap-v1
           authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
           authentication pre-share
           encryption 3des
           hash sha
           group 2
           lifetime 86400

ASA 8.3.2.12 или Более поздний Пример конфигурации

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
           dns-server value <dns_server>
           vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
           default-group-policy l2tp-ipsec_policy
           address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
           pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
           no authentication pap
           authentication chap
           authentication ms-chap-v1
           authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
           authentication pre-share
           encryption 3des
           hash sha
           group 2
           lifetime 86400

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Эта процедура описывает, как установить соединение:

  1. Откройте меню, и выберите Settings.
  2. Выберите Wireless и Network или Wireless Controls. (Доступный параметр зависит от вашей версии Android.)
  3. Выберите конфигурацию VPN от списка.
  4. Введите ваше имя пользователя и пароль.
  5. Выберите имя пользователя Remember.
  6. Выберите Connect.

Эта процедура описывает, как разъединить:

  1. Откройте меню, и выберите Settings.
  2. Выберите Wireless и Network или Wireless Controls. (Доступный параметр зависит от вашей версии Android.)
  3. Выберите конфигурацию VPN от списка.
  4. Выберите Disconnect.

Используйте эти команды, чтобы подтвердить, что ваше соединение работает должным образом.

  • покажите выполненного crypto isakmp - Для версии ASA 8.2.5
  • покажите выполненный крипто-ikev1 - Для версии ASA 8.3.2.12 или позже
  • vpn-sessiondb показа ra-ikev1-ipsec - Для версии ASA 8.3.2.12 или позже
  • удаленный vpn-sessiondb показа - Для версии ASA 8.2.5

Примечание. Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть аналитику выходных данных команды show.

Известные предупреждения

  • Идентификатор ошибки Cisco CSCtq21535, "обратная трассировка ASA при соединении с L2TP/КЛИЕНТОМ IPSEC Android"
  • CSCtj57256 идентификатора ошибки Cisco, "соединение L2TP/IPSec от Android не устанавливает к ASA55xx"
  • CSCtw58945 идентификатора ошибки Cisco, "L2TP по IP - безопасным соединениям отказывает с авторизацией ldap и mschapv2"

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 113572