Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA и собственный пример конфигурации клиента Android IPSec L2TP

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (28 июня 2012) | Отзыв


Содержание


Введение

L2TP по IPSec предоставляет возможность развернуть и администрировать решение для виртуальный частной сети L2TP рядом с IPSEC VPN и обслуживанием межсетевого экрана в одной платформе. Основное преимущество конфигурации L2TP по IPSec в сценарии удаленного доступа - то, что удаленные пользователи могут обратиться к VPN по общедоступной IP - сети без шлюза или выделенной линии, которая включает удаленный доступ от фактически везде с POTS. Дополнительное преимущество - то, что единственное требование клиента для доступа VPN является использованием Windows с Microsoft Dial-Up Networking (DUN). Дополнительное программное обеспечение такое, как Cisco VPN Сlient software для клиентов не требуется. В этом документе приведен пример конфигурации для клиента l2tp-IPSec, работающего в собственном (native) режиме на платформе Android. Перечислены все команды, которые необходимо выполнить на устройстве ASA, а также действия, выполняемые непосредственно на устройстве Android.

Примечание. Внесенный Atri Basu и Rahul Govindan, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • L2TP/IPSec Android требует версии ASA 8.2.5 или позже, 8.3.2.12 или позже, 8.4.1 или позже.

  • ASA поддерживает поддержку подписи сертификата SHA2 Microsoft Windows 7 и собственные Android клиенты VPN при использовании L2TP/ПРОТОКОЛА IPSEC.

  • Требования при лицензировании для L2TP по IPSec

Используемые компоненты

Сведения в этом документе основываются на версии ASA 8.2.5 или позже, 8.3.2.12 или позже, 8.4.1 или позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Как я настраиваю Собственный клиент Android IPSec L2TP для работы с ASA?

Этот раздел описывает информацию, необходимо настроить функции, описанные в этом документе.

Настройка

Настройте Соединение L2TP/IPSec на Android

Выполните эти шаги, чтобы настроить соединение L2TP/IPSec на Android:

  1. Откройте меню, и выберите Settings.

  2. Выберите Wireless и Network или Wireless Controls. (Доступный параметр зависит от вашей версии Android.)

  3. Выберите VPN Settings.

  4. Выберите Add VPN.

  5. Выберите Add L2TP/IPsec PSK VPN.

  6. Выберите VPN Name, и введите описательное имя.

  7. Выберите Set VPN Server, и введите описательное имя.

  8. Выберите предварительный общий ключ Set IPSec.

  9. Анчек Включают тайну L2TP.

  10. Откройте меню, и выберите Save.

Настройте соединение L2TP/IPSec на ASA

Они - требуемый ASA IKEv1 (ISAKMP) параметры настройки политики, которые позволяют собственным клиентам VPN, интегрированным с операционной системой на оконечном устройстве, для создания VPN-подключения к ASA использование L2TP по Протоколу IPSec:

  • Шифрование фазы 1 — 3DES IKEv1 с SHA1 крошит метод

  • Фаза IPSec 2 — 3DES или шифрование AES с MD5 или SHA крошит метод

  • Проверка подлинности PPP — PAP, MSCHAPv1, или MSCHAPv2 (предпочтены)

  • Pre-shared key

Примечание. ASA поддерживает только PAP проверок подлинности PPP и Microsoft CHAP, версии 1 и 2, на локальной базе данных. EAP и CHAP выполняются с помощью прокси-серверов аутентификации. Поэтому, если удаленный пользователь будет принадлежать туннельной группе, настроенной с опознавательным прокси eap или опознавательными командами парня, и ASA настроен для использования локальной базы данных, то тот пользователь будет неспособен соединиться. Кроме того, Android не поддерживает PAP, и так как LDAP не поддерживает CHAP MS, LDAP не является механизмом допустимой аутентификации. Единственный путь вокруг этого состоит в том, чтобы использовать Радиус. Можно обратиться к ошибке Cisco CSCtw58945 (только зарегистрированные клиенты) для подробных данных относительно проблем с CHAP MS и LDAP.

Выполните эти шаги, чтобы настроить соединение L2TP/IPSec на ASA:

  1. Определите пул локального адреса или используйте dhcp-server для устройства адаптивной защиты для выделения IP-адресов клиентам для групповой политики.

  2. Создайте внутреннюю групповую политику.

    1. Определите протокол туннелирования, чтобы быть l2tp-ipsec.

    2. Настройте сервер DNS, который будет использоваться клиентами.

  3. Или создайте новую туннельную группу или модифицируйте атрибуты существующего DefaultRAGroup. (Новая туннельная группа может использоваться, если идентификатор IPSec установлен как group-name по телефону; см. шаг 10 для конфигурации телефона.)

  4. Определите общие атрибуты туннельной группы, которые используются.

    1. Сопоставьте политику определенной группы с этой туннельной группой.

    2. Сопоставьте определенный пул адресов, который будет использоваться этой туннельной группой.

    3. Модифицируйте группу сервера проверки подлинности, если вы хотите использовать что-то другое, чем ЛОКАЛЬНЫЙ.

  5. Определите предварительный общий ключ под атрибутами IPSec туннельной группы, которая будет использоваться.

  6. Модифицируйте атрибуты ppp туннельной группы, которые используются так, чтобы только использовались парень, v1 парня мс и парень мс v2.

  7. Создайте набор преобразований с определенным ESP тип шифрования и тип проверки подлинности.

  8. Дайте IPSec команду использовать транспортный режим, а не туннельный режим.

  9. Определите политику ISAKMP/IKEv1 используя 3DES шифрование с методом хэша SHA1.

  10. Создайте динамическую криптокарту, и сопоставьте ее с криптокартой.

  11. Примените криптокарту к интерфейсу.

  12. Включите ISAKMP на том интерфейсе.

Конфигурации

Данный пример показывает команды файла конфигурации, которые гарантируют совместимость ASA собственным клиентом VPN на любой операционной системе:

ASA 8.2.5 или Более поздний Пример конфигурации
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans                      
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

ASA 8.3.2.12 или Более поздний Пример конфигурации
Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

Проверка

Connect

  1. Откройте меню, и выберите Settings.

  2. Выберите Wireless и Network или Wireless Controls. (Доступный параметр зависит от вашей версии Android.)

  3. Выберите конфигурацию VPN от списка.

  4. Введите имя пользователя и пароль.

  5. Выберите имя пользователя Remember.

  6. Выберите Connect.

Disconnect

  1. Откройте меню, и выберите Settings.

  2. Выберите Wireless и Network или Wireless Controls. (Доступный параметр зависит от вашей версии Android.)

  3. Выберите конфигурацию VPN от списка.

  4. Выберите Disconnect.

Подтвердить

Используйте эти команды, чтобы подтвердить, что ваше соединение работает должным образом.

  • покажите выполненного crypto isakmp — Для версии ASA 8.2.5

  • покажите выполненный крипто-ikev1 — Для версии ASA 8.3.2.12 или позже

  • vpn-sessiondb показа ra-ikev1-ipsec — Для версии ASA 8.3.2.12 или позже

  • удаленный vpn-sessiondb показа — Для версии ASA 8.2.5

Известные предупреждения

Сообщество Cisco Support - Избранные темы

Сообщество Cisco Support - это форум, на котором вы можете задавать свои вопросы и отвечать на вопросы других, предлагать решения и сотрудничать с коллегами. Вот несколько последних и важных тем, представленных на нашем форуме.


Дополнительные сведения


Document ID: 113572