Настройка L2TP по IPsec между компьютером Windows 8 и ASA с использованием предварительного общего ключа

Введение

В этом документе описано, как настроить протокол L2TP over IPSec с помощью общего ключа между многофункциональным устройством обеспечения безопасности Cisco ASA и собственным клиентом Windows 8.

L2TP через IPsec предоставляет возможность развернуть и администрировать решение для виртуальной частной сети (VPN) L2TP наряду с IPSec VPN и службами межсетевого экрана на одной платформе.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

• Подключение с помощью IP-адреса с клиентского компьютера к ASA. Для проверки подключения попытайтесь направить эхозапрос на IP-адрес ASA с клиентского оконечного устройства и наоборот
• Убедитесь, что UDP-порт 500 и 4500 и протокол ESP не заблокированы на пути подключения

Ограничения

• L2TP через IPsec поддерживает только IKEv1. IKEv2 не поддерживается.
• L2TP с IPsec на ASA позволяет LNS взаимодействовать с собственными клиентами VPN, встроенными в такие операционные системы, как Windows, MAC OS X, Android и Cisco IOS. Поддерживается только L2TP с IPsec, собственный L2TP не поддерживается на ASA.
• Минимальный срок действия сопоставления безопасности IPSec, поддерживаемый клиентом Windows, составляет 300 секунд. Если установлен срок действия на ASA менее 300 секунд, клиент Windows игнорирует значение и заменяет его 300-секундным сроком действия.
• ASA поддерживает только протокол PAP, протокол PPP и протокол Microsoft CHAP версий 1 и 2 на локальной базе данных. Функционирование протоколов EAP и CHAP обеспечивается прокси-серверами аутентификации. Поэтому, если удаленный пользователь принадлежит к туннельной группе, настроенной с использованием eap-прокси аутентификации или командаутентфикации chap, и ASA настроен для использования локальной базы данных, то данный пользователь не сможет подключиться к сети.

Поддерживаемые типы аутентификации PPP

Подключения L2TP через IPsec на ASA поддерживают только показанные в таблице типы аутентификации PPP 

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• ASA Cisco 5515 Series, функционирующий с версией программного обеспечения 9.4(1)
• Клиент L2TP/IPSec (Windows 8)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если вы используете рабочую сеть, оцените потенциальные последствия применения всех команд.

Родственные продукты

Эта конфигурация может также использоваться с устройством Cisco ASA 5500 series Security Appliance 8.3(1) или более поздней версии.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco

Общие сведения

Протокол L2TP является протоколом туннелирования VPN, который позволяет удаленным клиентам использовать общедоступную IP-сеть для безопасного обмена данными с серверами частной корпоративной сети. L2TP использует PPP через UDP (порт 1701) для туннелирования данных.

Протокол L2TP основывается на модели «клиент/сервер». Функция разделена между L2TP Network Server (LNS) и L2TP Access Concentrator (LAC). LNS обычно функционирует на сетевом шлюзе, таком как ASA в данном случае, а LAC может быть коммутируемым Network Access Server (NAS) или устройством конечной точки с клиентом L2TP, таким как Microsoft Windows, Apple iPhone или Android.

Настройка

В этом разделе предоставлена информация по настройке функций, описанных в этом документе.

Примечание. Чтобы получить дополнительную информацию о применяемых в данном документе командах, используйте Средство поиска команд (только для зарегистрированных пользователей).

Примечание. Схемы IP-адресации, используемые в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Схема сети

Полная конфигурация туннеля

Настройка ASA с использованием диспетчера Adaptive Security Device Manager (ASDM)

Выполните следующие действия:

Шаг 1. Выполните вход в ASDM и перейдите Wizards> VPN Wizards> Ipsec (IKEv1) Remote Access VPN Wizard (Мастера > Мастера VPN > Мастер VPN для удаленного доступа Ipsec (IKEv1)).

Шаг 2. Появляется окно настройки VPN для удаленного доступа. Из раскрывающегося списка выберите интерфейс, на котором должен быть завершен VPN-туннель. В данном примере внешний интерфейс связан с глобальной сетью (WAN). Таким образом, VPN-туннели завершаются на этом интерфейсе. Должен быть отмечен флажок Enable inbound IPSec sessions to bypass interface access lists. Group policy and per-user authorization access lists still apply to the traffic (Позволить сеансам входящих подключений IPSec обходить списки контроля доступа к интерфейсам, групповую политику и списки авторизации доступа на уровне пользователя, все еще применяемые к трафику), чтобы не требовалось настраивать новый список доступа на внешнем интерфейсе, позволяя клиентам обращаться к внутренним ресурсам. Нажмите кнопку Next.

Шаг 3. Как показано на этом рисунке, выберите тип клиента Microsoft Windows client using L2TP over IPSec (Клиент Microsoft Windows с использованием L2TP через IPSec), а MS-CHAP-V1 и MS-CHAP-V2 в качестве протокола аутентификации PPP, так как PAP небезопасен, а другие типы аутентификации не поддерживаются с ЛОКАЛЬНОЙ базой данных в качестве сервера аутентификации, и щелкните Next.

Шаг 4. . Выберите метод аутентификации Pre-shared-key (Общий ключ) и введите общий ключ, который должен быть таким же на стороне клиента, и нажмите Next, как показано на изображении.

Шаг 5. . Укажите способ аутентификации пользователей, которые пытаются установить соединения L2TP через IPsec. Можно использовать внешний AAA-сервер аутентификации или его собственную локальную базу данных. Выберите Authenticate using the local user database (Аутентификация с использованием локальной базы данных пользователей), если вы хотите аутентифицировать клиентов с использованием локальной базы данных ASA. Нажмите кнопку Next. 

Примечание. См.Configure RADIUS Authentication for VPN users для аутентификации пользователей с использованием внешнего AAA-сервера.

Шаг 6. Для того чтобы добавить новых пользователей к локальной базе данных для аутентификации пользователей, введите имя пользователя и пароль, а затем нажмите Add, иначе могут быть использованы существующие учетные записи пользователя в базе данных, как показано на этом рисунке. Нажмите кнопку Next.

Шаг 7. От раскрывающегося списка выберите пул адресов, который будет использоваться для присвоения IP-адреса клиентам. Для того чтобы создать новый пул адресов, щелкните New, как показано на этом рисунке.

Шаг 8. Появляется диалоговое окно Add IPv4 Pool (Добавление пула IPv4). 

1. Введите имя нового пула IP-адреса.
2. Введите начальный и конечный IP-адреса.
3. Введите маску подсети и нажмите OK.

Шаг 9. Проверьте параметры пула и нажмите Next.

Шаг 10. Настройте атрибуты, которые будут переданы клиентам, или оставьте пустыми и нажмите Next.

Шаг 11: Проверьте, что сброшен флажок Enable Perfect Forwarding Secrecy (PFS) (Включить PFS), поскольку некоторые клиентские платформы не поддерживают эту функцию. Флажок Enable split tunneling to let remote users have simultaneous encrypted access to the resources defined above, and unencrypted access to the internet (Включить разделенное туннелированию, чтобы позволить удаленным пользователям одновременный зашифрованный доступ к ресурсам, определенным выше, и дешифрованный доступ в Интернет) снят. Это означает, что включено полное туннелирование, при котором весь трафик (в том числе Интернет) их клиентского компьютера будет передаваться в ASA по VPN-туннелю. Нажмите кнопку Next.

Шаг 12. Просмотрите итоговую информацию, а затем нажмите Finish.

Настройка ASA с использованием интерфейса командной строки

Шаг 1. Настройте параметры политики 1-й фазы IKE.

 Эта политика используется для защиты трафика управления между одноранговыми узлами (то есть это защищает общий ключ и согласования этапа 2),

ciscoasa(config)#crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)#authentication pre-share
ciscoasa(config-ikev1-policy)#encryption 3des
ciscoasa(config-ikev1-policy)#hash sha
ciscoasa(config-ikev1-policy)#group 2
ciscoasa(config-ikev1-policy)#lifetime 86400
ciscoasa(config-ikev1-policy)#exit 

Шаг 2. Настройка Transform-set.

Она содержит параметры политики 2-й фазы IKE, которые используются для защиты трафика данных. Так как клиент Windows L2TP/IPsec использует транспортный режим IPSec, назначьте режим transport. !--- По умолчанию используется туннельный режим (tunnel)

ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport

Шаг 3. Настройте динамическую схему.

Поскольку клиенты Windows получают динамический IP-адрес из ISP-сервера или локального DHCP-сервера (пример — модем), ASA не знает об IP-адресе узла, что создает проблему при настройке статического однорангового узла на конце ASA. Таким образом, необходимо работать с динамической конфигурацией шифрования, в которой не обязательно определены все параметры, и недостающие параметры динамически выясняются позднее как результат согласования IPsec от клиента.

ciscoasa(config)#crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA

Шаг 4. . Свяжите динамическую схему со статической криптокартой, примените криптокарту и включите IKEv1 на внешнем интерфейсе

Динамическую криптокарту нельзя применить на интерфейсе и тем самым связать его со статической криптокартой. Динамические криптонаборы должны быть криптокартами с самым низким приоритетом в наборе криптокарт (то есть у них должны быть самые высокие порядковые номера), чтобы сначала ASA оценил другие криптокарты. Набор динамических криптокарт исследуется, только если не совпадают другие (статические) элементы карты.

ciscoasa(config)#crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
ciscoasa(config)#crypto map outside_map interface outside
ciscoasa(config)#crypto ikev1 enable outside

Шаг 5. . Создайте пул IP-адресов

Создайте пул адресов, из которого динамически назначаются IP-адреса удаленным клиентам VPN. Игнорируйте этот шаг для использования существующего пула на ASA.

ciscoasa(config)#ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0

Шаг 6. Настройка групповой политики

Определите групповую политику как внутреннюю. Это означает, что атрибуты извлекаются из локальной базы данных.

ciscoasa(config)#group-policy L2TP-VPN internal

Примечание. Для соединений L2TP/IPsec может быть настроена либо групповая политика по умолчанию (DfltGrpPolicy), либо определяемая пользователем групповая политика. В любом случае групповая политика должна быть настроена для использования протокола туннелирования L2TP/IPSec. настройте l2tp-ipsec в атрибуте протокола VPN в групповой политике по умолчанию, который будет унаследован определяемой пользователем групповой политикой, если в ней не настроен атрибут vpn-protocol.

Настройте атрибуты, такие как протокол туннелирования vpn (в нашем случае это l2tp-ipsec), имя домена, IP-адрес DNS- и WINS-сервера и учетные записи нового пользователя

ciscoasa(config)#group-policy L2TP-VPN attributes
ciscoasa(config-group-policy)#dns-server value 8.8.8.8 4.4.4.2
ciscoasa(config-group-policy)#vpn-tunnel-protocol l2tp-ipsec
ciscoasa(config-group-policy)#default-domain value cisco.com

Настройте имена пользователей и пароли на устройстве в дополнение к использованию AAA. Если пользователь является клиентом L2TP, использующим Microsoft CHAP версии 1 или 2, и ASA настроен для аутентификации с использованием локальной базы данных, необходимо указать ключевое слово mschap. !--- Например, username <имя пользователя> password <пароль> mschap.

ciscoasa(config-group-policy)# username test password test mschap

Шаг 7. Настройка группы туннелирования

Создайте туннельную группу с помощью команды tunnel-group и укажите имя локального пула адресов, используемого для выделения IP-адреса клиенту. Если выполняется аутентификация с общим ключом, именем группы туннелей должно быть DefaultRAGroup, поскольку на клиенте нет варианта для указания группы туннелей и поэтому может быть выбрана только группа туннелей по умолчанию. Свяжите групповую политику с группой туннелей с помощью команды default-group-policy

ciscoasa(config)#tunnel-group DefaultRAGroup general-attributes
ciscoasa(config-tunnel-general)#address-pool Address-pool
ciscoasa(config-tunnel-general)#default-group-policy L2TP-VPN
ciscoasa(config-tunnel-general)#exit 

Примечание. Профиль подключения по умолчанию (группа туннелей) DefaultRAGroup должен быть настроен, если выполняется аутентификация на основе общего ключа. Если выполняется аутентификация на основе сертификата, определяемый пользователем профиль подключения можно выбрать на основе идентификаторов сертификата

Используйте команду tunnel-group ipsec-attributes, чтобы войти в режим конфигурации ipsec-attribute для установки общего ключа.

ciscoasa(config)# tunnel-group DefaultRAGroup ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key C!sc0@123
ciscoasa(config-tunnel-ipsec)#exit 

Настройте протокол аутентификации PPP с командой authentication type из режима ppp-attributes группы туннелей. Отключите протокол CHAP, включенный по умолчанию, поскольку он не поддерживается, если AAA-сервер настроен как локальная база данных.

ciscoasa(config)#tunnel-group DefaultRAGroup ppp-attributes
ciscoasa(config-ppp)#no authentication chap
ciscoasa(config-ppp)#authentication ms-chap-v2
ciscoasa(config-ppp)#exit 

Шаг 8. Настройте NAT-Exemption

Настройте NAT-Exemption, чтобы клиенты могли обратиться к внутренним ресурсам, подключенным к внутренним интерфейсам (в данном примере внутренние ресурсы связаны с внутренним интерфейсом).

ciscoasa(config)#object network L2TP-Pool
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)#exit
ciscoasa(config)# nat (inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp route-lookup

Пример полной конфигурации

crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
 exit

crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport

crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto ikev1 enable outside

ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0

group-policy L2TP-VPN internal
group-policy L2TP-VPN attributes
 vpn-tunnel-protocol l2tp-ipsec
 default-domain value cisco.com
 username test password test mschap
 exit

tunnel-group DefaultRAGroup general-attributes
 address-pool Address-pool
 default-group-policy L2TP-VPN
 exit

tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key C!sc0@123
 exit

tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
 exit

object network L2TP-Pool
 subnet 192.168.1.0 255.255.255.0
 exit
nat(inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp route-lookup

Настройка клиента L2TP/IPSEC Windows 8

1. Откройте панель управления и выберите Центр управления сетями и общим доступом.

2. Выберите вариант Set up a new connection or network (Создание и настройка нового подключения или сети).

3. Выберите вариант Connect to a workplace (Подключение к рабочему месту) и щелкните Next (Далее). 

 4. Нажмите Use my Internet connection (VPN) (Использовать мое подключение к Интернету (VPN)).

5. Введите IP-адрес интерфейса WAN или полностью квалифицированное имя домена ASA и любое имя для адаптера VPN, который является локально значимым, и щелкните Create (Создать).

6. В Центре управления сетями и общим доступом выберите параметр Change adapter settings (Изменение параметров адаптера) на левой панели окна. 

7. 7. Щелкните правой кнопкой по недавно созданному адаптеру для VPN L2TP и выберите Properties (Свойства).

8. Перейдите на вкладку Security (Безопасность), выберите Type of VPN (Тип VPN) в качестве Layer 2 Tunneling Protocol with IPsec (L2TP/IPsec) (Протокол L2TP/IPsec), а затем щелкните Advanced settings (Дополнительные настройки). 

9. Введите такой же общий ключ, как упомянутый в tunnel-group DefaultRAGroup, и нажмите OK. В данном примере C!sc0@123 используется в качестве общего ключа.

10. Выберите в качестве метода аутентификации Allow these protocols (Разрешить следующие протоколы) и убедитесь, что установлен только флажок "Microsoft CHAP Version 2 (MS-CHAP v2) (Протокол MS-CHAP, версия 2), и щелкните OK. 

11. В разделе сетевых подключений щелкните правой кнопкой мыши по адаптеру L2TP VPN и выберите Connect/Disconnect (Подключить/отключить).

12. Появится пиктограмма «Сети». Щелкните Connect (Подключить) на соединении L2TP VPN.

13. Введите учетные данные пользователя и нажмите OK.

Если необходимые параметры совпадают на обеих сторонах, то соединение L2TP/IPsec будет установлено.

Настройка раздельного туннелирования

Раздельное туннелирование — это функция, с помощью которой можно определить трафик для подсетей или хостов, который должен шифроваться. Сюда входит настройка списка контроля доступа (ACL), который связан с этой функцией. Трафик подсетей или хостов, который определен этим ACL, зашифрован в туннеле с клиентской стороны, и маршруты для этих подсетей устанавливаются в таблице маршрутизации ПК. ASA перехватывает сообщение DHCPINFORM от клиента и отвечает маской подсети, именем домена и бесклассовыми статическими маршрутами.

Настройка на ASA

ciscoasa(config)# access-list SPLIT standard permit 10.1.1.0 255.255.255.0

ciscoasa(config)# group-policy DefaultRAGroup attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value SPLIT
ciscoasa(config-group-policy)# intercept-dhcp 255.255.255.255 enable 

Настройка на клиенте L2TP/IPSEC

1. Щелкните правой кнопкой мыши адаптер VPN L2TP и выберите Properties (Свойства).

 2. Перейдите на вкладку Networking (Сеть), выберите Internet Protocol Version 4 (TCP/IPv4), а затем щелкните Properties (Свойства).

3. Щелкните пункт Advanced (Дополнительно).

 4. Снимите флажок Use default gateway on remote network (Использовать шлюз по умолчанию в удаленной сети) и нажмите OK. 

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Примечание. Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show.  Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

• show crypto ikev1 sa показывает все текущие SA IKE в узле.

ciscoasa# show crypto ikev1 sa

IKEv1 SAs:

  Active SA: 1
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1  IKE Peer: 

10.1.1.2

   Type   : user           Role   : responder
   Rekey  : no             

State  : MM_ACTIVE

• show crypto ipsec sa — отображает все текущие ассоциации безопасности (SA) IPsec узла.

ciscoasa# show crypto ipsec sa
interface: outside
   Crypto map tag: 

outside_dyn_map

, seq num: 10, local addr: 172.16.1.2

     local ident (addr/mask/prot/port): (172.16.1.2/255.255.255.255/

17/1701

)
     remote ident (addr/mask/prot/port): (10.1.1.2/255.255.255.255/

17/1701

)
     

current_peer: 10.1.1.2, username: test

dynamic allocated peer ip: 192.168.1.1

     dynamic allocated peer ip(ipv6): 0.0.0.0

     

#pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29

     #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118

     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 29, #pkts comp failed: 0, #pkts decomp failed: 0
     #post-frag successes: 0, #post-frag failures: 0, #fragments created: 0
     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
     #TFC rcvd: 0, #TFC sent: 0
     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
     #send errors: 0, #recv errors: 0

     local crypto endpt.: 172.16.1.2/0, remote crypto endpt.: 10.1.1.2/0
     path mtu 1500, ipsec overhead 58(36), media mtu 1500
     PMTU time remaining (sec): 0, DF policy: copy-df
     ICMP error validation: disabled, TFC packets: disabled
     current outbound spi: E8AF927A
     current inbound spi : 71F346AB

   inbound esp sas:
     spi: 0x71F346AB (1911768747)
        transform: esp-3des esp-sha-hmac no compression
        in use settings ={RA, Transport, IKEv1, }
        slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
        sa timing: remaining key lifetime (kB/sec): (237303/3541)
        IV size: 8 bytes
        replay detection support: Y
        Anti replay bitmap:
         0x00000000 0x00000003
   outbound esp sas:
     spi: 0xE8AF927A (3903820410)
        transform: esp-3des esp-sha-hmac no compression
        in use settings ={RA, Transport, IKEv1, }
        slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
        sa timing: remaining key lifetime (kB/sec): (237303/3541)
        IV size: 8 bytes
        replay detection support: Y
        Anti replay bitmap:
         0x00000000 0x00000001

• show vpn-sessiondb detail ra-ikev1-ipsec filter protocol l2tpOverIpSec показывает подробные сведения о соединениях L2TP over IPsec.
  

ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec filter protocol l2tpOverIpSec

Session Type: IKEv1 IPsec Detailed

Username    : test

                  Index       : 1

Assigned IP : 192.168.1.1           Public IP   : 10.1.1.2

Protocol    : IKEv1 IPsec L2TPOverIPsec
License     : Other VPN
Encryption  : IKEv1: (1)3DES IPsec: (1)3DES L2TPOverIPsec: (1)none
Hashing     : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx    : 1574                  Bytes Rx    : 12752
Pkts Tx     : 29                    Pkts Rx     : 118
Pkts Tx Drop : 0                     Pkts Rx Drop : 0

Group Policy : L2TP-VPN              Tunnel Group : DefaultRAGroup

Login Time  : 23:32:48 UTC Sat May 16 2015
Duration    : 0h:04m:05s
Inactivity  : 0h:00m:00s
VLAN Mapping : N/A                   VLAN        : none
Audt Sess ID : 0a6a2577000010005557d3a0
Security Grp : none

IKEv1 Tunnels: 1
IPsec Tunnels: 1
L2TPOverIPsec Tunnels: 1

IKEv1:

 Tunnel ID   : 1.1
 UDP Src Port : 500                   UDP Dst Port : 500
 IKE Neg Mode : Main                  Auth Mode   : preSharedKeys
 Encryption  : 3DES                  Hashing     : SHA1
 Rekey Int (T): 28800 Seconds         Rekey Left(T): 28555 Seconds
 D/H Group   : 2
 Filter Name :

IPsec:

 Tunnel ID   : 1.2
 Local Addr  : 172.16.1.2/255.255.255.255/17/1701
 Remote Addr : 10.1.1.2/255.255.255.255/17/1701
 Encryption  : 3DES                  Hashing     : SHA1
 Encapsulation: Transport
 Rekey Int (T): 3600 Seconds          Rekey Left(T): 3576 Seconds
 Rekey Int (D): 250000 K-Bytes        Rekey Left(D): 250000 K-Bytes
 Idle Time Out: 30 Minutes            Idle TO Left : 29 Minutes
 Bytes Tx    : 1574                  Bytes Rx    : 12752
 Pkts Tx     : 29                    Pkts Rx     : 118

L2TPOverIPsec:

 Tunnel ID   : 1.3

 Username    : test

 Assigned IP : 192.168.1.1

Public IP   : 10.1.1.2

 Encryption  : none                  Hashing     : none

 Auth Mode   : msCHAPV2

 Idle Time Out: 30 Minutes            Idle TO Left : 27 Minutes
 Client OS   : Microsoft
 Client OS Ver: 6.2
 Bytes Tx    : 475                   Bytes Rx    : 9093
 Pkts Tx     : 18                    Pkts Rx     : 105

 На ASDM в разделе Monitoring > VPN > VPN Statistics > Sessions (Мониторинг > VPN > Статистика VPN > Сеансы) показана общая информация о сеансе VPN. Сеансы L2TP over IPSec можно фильтровать по IPsec (IKEv1) Remote Access > Protocol > L2TP Over IPsec (Удаленный доступ IPsec (IKEv1) > Протокол > L2TP Over IPsec).

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Примечание.Перед использованием команд debug обратитесь к документу Важные сведения о командах отладки.

Внимание.  : На ASA можно установить различные уровни отладки; по умолчанию используется уровень 1. При изменении уровня детализация отладки может увеличиться. Делайте это осторожно, особенно в производственных средах!

Используйте следующие команды отладки с осторожностью для устранения проблем с VPN-туннелем

• debug crypto ikev1 - отображает данные отладки о IKE
• debug crypto ipsec- отображает данные отладки об IPsec

Выходные данные отладки для успешного соединения L2TP over IPSec:

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 408
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Oakley proposal is acceptable
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal RFC VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal ver 02 VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received Fragmentation VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing IKE SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, 

IKE SA Proposal # 1, Transform # 5 acceptable Matches global IKE entry # 2

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ISAKMP SA payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Traversal VID ver RFC payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Fragmentation VID + extended capabilities payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 260
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ISA_KE payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Cisco Unity VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing xauth V6 VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send IOS VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, 

Connection landed on tunnel_group DefaultRAGroup

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating keys for Responder...
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NONE (0) total length : 64
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

Automatic NAT Detection Status:    Remote end is NOT behind a NAT device    This  end is NOT behind a NAT device

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing ID payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing dpd vid payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 84
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

PHASE 1 COMPLETED

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alive type for this connection: None
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alives configured on but peer does not support keep-alives (type = None)
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P1 rekey timer: 21600 seconds.
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1 DECODE]IP = 10.1.1.2, IKE Responder starting QM: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 300
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

Received remote Proxy Host data in ID Payload: Address 10.1.1.2, Protocol 17, Port 1701

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
172.16.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

Received local Proxy Host data in ID Payload: Address 172.16.1.2, Protocol 17, Port 1701

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

L2TP/IPSec session detected.

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, QM IsRekeyed old sa not found by addr
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

Static Crypto Map check, map outside_dyn_map, seq = 10 is a successful match

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Remote Peer configured for crypto map: outside_dyn_map
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing IPSec SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, I

PSec SA Proposal # 2, Transform # 1 acceptable

 Matches global IPSec SA entry # 10
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE: requesting SPI!
IPSEC: New embryonic SA created @ 0x00007fffe13ab260, 
   SCB: 0xE1C00540, 
   Direction: inbound
   SPI     : 0x7AD72E0D
   Session ID: 0x00001000
   VPIF num : 0x00000002
   Tunnel type: ra
   Protocol  : esp
   Lifetime  : 240 seconds
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got SPI from key engine: SPI = 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, oakley constucting quick mode
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing blank hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec nonce payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing proxy ID
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, 

Transmitting Proxy Id:

 Remote host: 10.1.1.2 Protocol 17 Port 1701

 Local host: 172.16.1.2 Protocol 17 Port 1701

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing qm hash payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Responder sending 2nd QM pkt: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=1) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 160
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR + HASH (8) + NONE (0) total length : 52
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, loading all IPSEC SAs
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0; encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x00007fffe1c75c00, 
   SCB: 0xE13ABD20, 
   Direction: outbound
   SPI     : 0x8C14FD70
   Session ID: 0x00001000
   VPIF num : 0x00000002
   Tunnel type: ra
   Protocol  : esp
   Lifetime  : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x8C14FD70
IPSEC: Creating outbound VPN context, SPI 0x8C14FD70
   Flags: 0x00000205
   SA  : 0x00007fffe1c75c00
   SPI : 0x8C14FD70
   MTU : 1500 bytes
   VCID : 0x00000000
   Peer : 0x00000000
   SCB : 0x0AC609F9
   Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
   VPN handle: 0x00000000000028d4
IPSEC: New outbound encrypt rule, SPI 0x8C14FD70
   Src addr: 172.16.1.2
   Src mask: 255.255.255.255
   Dst addr: 10.1.1.2
   Dst mask: 255.255.255.255

   Src ports

     Upper: 1701

     Lower: 1701

     Op  : equal

   Dst ports

     Upper: 1701

     Lower: 1701

     Op  : equal
  

 Protocol: 17

   Use protocol: true
   SPI: 0x00000000
   Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0x8C14FD70
   Rule ID: 0x00007fffe1c763d0
IPSEC: New outbound permit rule, SPI 0x8C14FD70
   Src addr: 172.16.1.2
   Src mask: 255.255.255.255
   Dst addr: 10.1.1.2
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x8C14FD70
   Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x8C14FD70
   Rule ID: 0x00007fffe1c76a00
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0; encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Security negotiation complete for User () Responder, Inbound SPI = 0x7ad72e0d, Outbound SPI = 0x8c14fd70
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got a KEY_ADD msg for SA: SPI = 0x8c14fd70
IPSEC: New embryonic SA created @ 0x00007fffe13ab260, 
   SCB: 0xE1C00540, 
   Direction: inbound
   SPI     : 0x7AD72E0D
   Session ID: 0x00001000
   VPIF num : 0x00000002
   Tunnel type: ra
   Protocol  : esp
   Lifetime  : 240 seconds
IPSEC: Completed host IBSA update, SPI 0x7AD72E0D
IPSEC: Creating inbound VPN context, SPI 0x7AD72E0D
   Flags: 0x00000206
   SA  : 0x00007fffe13ab260
   SPI : 0x7AD72E0D
   MTU : 0 bytes
   VCID : 0x00000000
   Peer : 0x000028D4
   SCB : 0x0AC5BD5B
   Channel: 0x00007fffed817200
IPSEC: Completed inbound VPN context, SPI 0x7AD72E0D
   VPN handle: 0x0000000000004174
IPSEC: Updating outbound VPN context 0x000028D4, SPI 0x8C14FD70
   Flags: 0x00000205
   SA  : 0x00007fffe1c75c00
   SPI : 0x8C14FD70
   MTU : 1500 bytes
   VCID : 0x00000000
   Peer : 0x00004174
   SCB : 0x0AC609F9
   Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
   VPN handle: 0x00000000000028d4
IPSEC: Completed outbound inner rule, SPI 0x8C14FD70
   Rule ID: 0x00007fffe1c763d0
IPSEC: Completed outbound outer SPD rule, SPI 0x8C14FD70
   Rule ID: 0x00007fffe1c76a00
IPSEC: New inbound tunnel flow rule, SPI 0x7AD72E0D
   Src addr: 10.1.1.2
   Src mask: 255.255.255.255
   Dst addr: 172.16.1.2
   Dst mask: 255.255.255.255
   Src ports
     Upper: 1701
     Lower: 1701
     Op  : equal
   Dst ports
     Upper: 1701
     Lower: 1701
     Op  : equal
   Protocol: 17
   Use protocol: true
   SPI: 0x00000000
   Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x7AD72E0D
   Rule ID: 0x00007fffe13aba90
IPSEC: New inbound decrypt rule, SPI 0x7AD72E0D
   Src addr: 10.1.1.2
   Src mask: 255.255.255.255
   Dst addr: 172.16.1.2
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x7AD72E0D
   Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x7AD72E0D
   Rule ID: 0x00007fffe1c77420
IPSEC: New inbound permit rule, SPI 0x7AD72E0D
   Src addr: 10.1.1.2
   Src mask: 255.255.255.255
   Dst addr: 172.16.1.2
   Dst mask: 255.255.255.255
   Src ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Dst ports
     Upper: 0
     Lower: 0
     Op  : ignore
   Protocol: 50
   Use protocol: true
   SPI: 0x7AD72E0D
   Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x7AD72E0D
   Rule ID: 0x00007fffe13abb80
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Pitcher: received KEY_UPDATE, spi 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P2 rekey timer: 3420 seconds.
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, 

PHASE 2 COMPLETED

 (msgid=00000001)
May 18 04:17:18 [IKEv1]IKEQM_Active() Add L2TP classification rules: ip <10.1.1.2> mask <0xFFFFFFFF> port <1701> 
May 18 04:17:21 [IKEv1]Group = DefaultRAGroup, 

Username = test, IP = 10.1.1.2, Adding static route for client address: 192.168.1.1

 Некоторые типичные ошибки, относящиеся к VPN, на клиенте Windows показаны в этой таблице

Дополнительные сведения

• CISCO ASA 5500 SERIES ADAPTIVE SECURITY APPLIANCES
• Устранение наиболее распространенных неполадок удаленных VPN-подключений и VPN-туннелей ЛВС-ЛВС на базе протокола IPSec
• Cisco Systems – техническая поддержка и документация