Настройте L2TP через IPsec между Windows 8 PC и ASA Использование предварительного общего ключа
Содержание
Введение
Этот документ описывает, как настроить Протокол туннелирования уровня 2 (L2TP) через IPSec с помощью предварительного общего ключа между устройством адаптивной защиты Cisco собственным клиентом Windows 8 и (ASA).
L2TP по протоколу IPSEC (Internet Protocol Security) (IPsec) предоставляет возможность развернуть и администрировать решение для Виртуальной частной сети (VPN) L2TP вместе с IPSec VPN и сервисами межсетевого экрана в одной платформе.
Предварительные условия
Требования
Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:
- Возможность подключения с помощью IP-адреса от клиентского компьютера до ASA. Для тестирования подключения попытайтесь пропинговать IP-адрес ASA от клиентской оконечной точки и наоборот
- Гарантируйте, что порт 500 и 4500 UDP и протокол Безопасного закрытия полезной нагрузки (ESP) не заблокированы нигде вдоль пути соединения
Ограничения
- L2TP по Поддержкам IPSec только IKEv1. IKEv2 не поддерживается.
- L2TP с IPsec на ASA позволяет LNS взаимодействовать с собственными клиентами VPN, интегрированными в таких операционных системах как Windows, MAC OS X, Android и Cisco IOS. Только L2TP с IPsec поддерживается, сам собственный L2TP не поддерживается на ASA.
- Минимальный срок действия Сопоставления безопасности IPSec, поддерживаемый Windows - клиентом, составляет 300 секунд. Если срок действия на ASA установлен меньше чем в 300 секунд, Windows - клиент игнорирует его и заменяет его 300-секундным сроком действия.
- ASA только поддерживает Протокол аутентификации пароля (PAP) аутентификаций Протокола PPP и Протокол квитирования с аутентификацией Microsoft (CHAP), Версии 1 и 2, на локальной базе данных. Протокол EAP и CHAP выполнены по доверенности серверы проверки подлинности. Поэтому, если удаленный пользователь принадлежит туннельной группе, настроенной с опознавательными или опознавательными командами парня прокси eap, и ASA настроен для использования локальной базы данных, тот пользователь не может соединиться.
Поддерживаемые типы проверки подлинности PPP
L2TP по IP - безопасным соединениям на ASA поддерживает только показанные в таблице типы проверки подлинности PPP
Поддержка AAA-сервера и типы проверки подлинности PPP | |
Тип AAA-сервера | Поддерживаемые типы проверки подлинности PPP |
ЛОКАЛЬНЫЙ | PAP, MSCHAPv1, MSCHAPv2 |
RADIUS | PAP, CHAP, MSCHAPv1, MSCHAPv2, прокси EAP |
TACACS + | PAP, CHAP, MSCHAPv1 |
LDAP | PAP |
NT | PAP |
Kerberos | PAP |
SDI | SDI |
Характеристики типа проверки подлинности PPP | ||
Ключевое слово | Тип проверки подлинности | Характеристики |
парень | CHAP | В ответ на проблему сервера клиент возвращает зашифрованный [проблема плюс пароль] с именем пользователя открытого текста. Этот протокол более безопасен, чем PAP, но это не шифрует данные. |
прокси eap | EAP | Включает EAP, который разрешает устройству безопасности проксировать процесс проверки подлинности PPP к внешнему серверу аутентификации RADIUS. |
v1 парня мс ms-chap-v2 | Microsoft CHAP, версия 1 Microsoft CHAP, версия, 2 | Подобный CHAP, но более безопасный в этом сервер хранит и сравнивает только зашифрованные пароли, а не незашифрованные пароли как в CHAP. Этот протокол также генерирует ключ для шифрования данных MPPE. |
pap | PAP | Имя пользователя и пароль открытого текста проходов во время аутентификации и не безопасно. |
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
- ASA Серии Cisco 5515, который выполняет версию программного обеспечения 9.4 (1)
- Клиент L2TP/IPSec (Windows 8)
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если ваша сеть является оперативной, гарантируйте понимание потенциального воздействия любой команды.
Родственные продукты
Эта конфигурация может также использоваться с Устройством безопасности серии 5500 Cisco ASA 8.3 (1) или позже.
Условные обозначения
Общие сведения
Протокол туннелирования на уровне 2 (L2TP) является протоколом туннелирования VPN, который позволяет удаленным клиентам использовать общедоступную IP - сеть для безопасной передачи с серверами частной корпоративной сети. L2TP использует PPP по UDP (порт 1701) для туннелирования данных.
Протокол L2TP основывается на модели клиент/сервер. Функция разделена между L2TP Network Server (LNS) и Концентратором доступа L2TP (LAC). В то время как LAC может быть Сервер доступа коммутируемой сети (NAS) или оконечное устройство со связанным клиентом L2TP, таким как Microsoft Windows, iPhone Apple или Android, LNS, как правило, работает на сетевом шлюзе, таком как ASA в этом случае.
Настройка
Этому разделу предоставляют информацию по настройке функций, описанную в этом документе.
Схема сети
Полная конфигурация туннеля
Конфигурация ASA Использование менеджера устройств адаптивной безопасности (ASDM) (ASDM)
Выполните следующие действия:
Шаг 1. Войдите к ASDM и перейдите Мастерам> Мастера VPN> Ipsec (IKEv1) Мастер VPN для удаленного доступа.
Шаг 2. Окно настройки VPN для удаленного доступа появляется. От выпадающего списка выберите интерфейс, на котором должен быть завершен VPN-туннель. В данном примере внешний интерфейс связан с глобальной сетью (WAN) и таким образом завершив VPN-туннели на этом интерфейсе. Поддержите коробка Позволяют сеансам входящих подключений IPSec обойти списки доступа к интерфейсам. Групповая политика и списки доступа с авторизацией на уровне пользователя все еще применяются к трафику, проверенному так, чтобы новый список доступа не был настроен на внешнем интерфейсе, чтобы позволить клиентам обращаться к внутренним ресурсам. Нажмите кнопку Next.
Шаг 3. Как показывающий в этом образе, выберите тип клиентской части в качестве клиента Microsoft Windows использование L2TP по IPSec и MSCHAPV1 и MSCHAPV2 как протокол аутентификации PPP, так как PAP не безопасен, и другие типы проверки подлинности не поддерживаются с Локальной базой данных как сервер проверки подлинности и Нажимают Next.
Шаг 4. Выберите метод аутентификации в качестве Предварительного общего ключа и введите предварительный общий ключ, который должен быть тем же на клиентской стороне также и нажать Next, как показано в этом образе.
Шаг 5. Укажите способ аутентификации пользователей, которые пытаются установить соединения L2TP через IPsec. Могут использоваться или внешний сервер аутентификации AAA или его собственная локальная база данных. Выберите Используемую аутентификацию база локальных пользователей , если вы хотите аутентифицировать клиентов против локальной базы данных ASA и Нажать Next.
Шаг 6. Для добавления новых пользователей к локальной базе данных для проверки подлинности пользователя введите имя пользователя и пароль и затем нажмите Add , или иначе существующие учетные записи пользователя в базе данных могут использоваться, как показано в этом образе. Нажмите кнопку Next.
Шаг 7. От выпадающего списка выберите пул адресов, который будет использоваться для присвоения IP-адреса клиентам. Для создания нового пула адресов нажмите New, как показано в этом образе.
Шаг 8. Диалоговое окно Add IPv4 Pool появляется.
- Введите имя нового пула IP-адреса.
- Введите начальный и конечный IP-адреса.
- Введите маску подсети и нажмите OK.
Шаг 9. Проверьте параметры настройки пула и нажмите Next.
Шаг 10. Настройте атрибуты, которые будут выдвинуты клиентам или оставят его пустым и нажмут Next.
Шаг 11: Гарантируйте, что Включают коробку Совершенной передающей тайны (PFS), неконтролируем, поскольку некоторые платформы клиента не поддерживают эту функцию. Позвольте разделенному туннелированию позволить удаленным пользователям иметь одновременный зашифрованный доступ к ресурсам, определенным выше, и дешифрованный доступ к интернет- коробке неконтролируем, что означает, что полное туннелирование включено, в котором весь трафик (включая интернет-трафик) от клиентского компьютера будет передаваться ASA по VPN-туннелю. Нажмите кнопку Next.
Шаг 12. Рассмотрите сводную информацию и затем нажмите Finish.
Конфигурация ASA Использование CLI
Шаг 1. Настройте параметры политики 1-ой фазы протокола IKE.
Эта политика используется для защиты контрольного трафика между узлами (т.е. это защищает предварительный общий ключ и согласования фазы 2),
ciscoasa(config)#crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)#authentication pre-share
ciscoasa(config-ikev1-policy)#encryption 3des
ciscoasa(config-ikev1-policy)#hash sha
ciscoasa(config-ikev1-policy)#group 2
ciscoasa(config-ikev1-policy)#lifetime 86400
ciscoasa(config-ikev1-policy)#exit
Шаг 2. Настройте Transform-set.
Это содержит параметры политики 2-ой фазы протокола IKE, которые используются для защиты трафика данных. Так как Windows L2TP/IPsec client использует транспортный режим IPSec, заставьте режим транспортировать. !--- По умолчанию используется туннельный режим (tunnel)
ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport
Шаг 3. Настройте динамическую схему.
Поскольку Windows - клиенты получают динамический IP - адрес fron сервер ISP или локальный DHCP-сервер (модем в качестве примера), ASA не знает о IP - адресе адресуемом точки, и это излагает проблему в конфигурации статического однорангового узла на конце ASA. Таким образом, к динамическому крипту - настройке нужно приблизиться, в котором не обязательно определены все параметры, и недостающие параметры позже динамично изучены как результат Согласования IPsec от клиента.
ciscoasa(config)#crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA
Шаг 4. Свяжите динамическую схему со статической криптокартой и примените криптокарту и включите IKEv1 на внешнем интерфейсе
Динамическая криптокарта не может быть применена на интерфейс и тем самым связать его со статической криптокартой. Динамические крипто-наборы должны быть криптокартами самый низкого приоритета в наборе криптокарты (т.е. у них должны быть самые высокие порядковые номера) так, чтобы ASA оценил другие криптокарты сначала. Это исследует набор динамической криптокарты только, когда не совпадают другие (статические) элементы схемы.
ciscoasa(config)#crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
ciscoasa(config)#crypto map outside_map interface outside
ciscoasa(config)#crypto ikev1 enable outside
Шаг 5. Создайте пул IP-адреса
Создайте пул адресов, от которых IP-адреса назначены динамично на удаленных клиентов VPN. Проигнорируйте этот шаг для использования существующего пула на ASA.
ciscoasa(config)#ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
Шаг 6. Настройка групповой политики
Определите групповую политику как внутреннюю, что означает, что атрибуты вытягивают от локальной базы данных.
ciscoasa(config)#group-policy L2TP-VPN internal
Настройте атрибуты, такие как протокол туннелирования vpn (в нашем случае, это - l2tp-ipsec), доменное имя, DNS и IP-адрес сервера WINS и учетные записи нового пользователя
ciscoasa(config)#group-policy L2TP-VPN attributes
ciscoasa(config-group-policy)#dns-server value 8.8.8.8 4.4.4.2
ciscoasa(config-group-policy)#vpn-tunnel-protocol l2tp-ipsec
ciscoasa(config-group-policy)#default-domain value cisco.com
Настройте имена пользователя и пароли на устройстве в дополнение к использованию AAA. Если пользователь является клиентом L2TP, который использует версию 1 Microsoft CHAP или версию 2, и ASA настроен для аутентификации против локальной базы данных, mschap ключевое слово должен быть включен. !--- Например, username <имя пользователя> password <пароль> mschap.
ciscoasa(config-group-policy)# username test password test mschap
Шаг 7. Настройка группы туннелирования
Создайте туннельную группу с командой tunnel-group и укажите, что имя пула локального адреса использовало выделять IP-адрес клиенту. Если метод аутентификации является предварительным общим ключом, именем группы туннелей должен быть DefaultRAGroup, поскольку нет никакой опции на клиенте для определения туннельной группы и таким образом, это приземляется на ту туннельную группу только. Свяжите групповую политику с туннельной группой с помощью команды default-group-policy
ciscoasa(config)#tunnel-group DefaultRAGroup general-attributes
ciscoasa(config-tunnel-general)#address-pool Address-pool
ciscoasa(config-tunnel-general)#default-group-policy L2TP-VPN
ciscoasa(config-tunnel-general)#exit
Используйте команду tunnel-group ipsec-attributes для ввода режима конфигурации атрибута IPSec для установки предварительного общего ключа.
ciscoasa(config)# tunnel-group DefaultRAGroup ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key C!sc0@123
ciscoasa(config-tunnel-ipsec)#exit
Настройте протокол аутентификации PPP с командой типа проверки подлинности от режима атрибутов ppp туннельной группы. Отключите CHAP, который включен по умолчанию, поскольку он не поддерживается, если AAA-сервер настроен как локальная база данных.
ciscoasa(config)#tunnel-group DefaultRAGroup ppp-attributes
ciscoasa(config-ppp)#no authentication chap
ciscoasa(config-ppp)#authentication ms-chap-v2
ciscoasa(config-ppp)#exit
Шаг 8. Настройте освобождение NAT
Настройте Освобождение NAT так, чтобы клиенты могли обратиться к внутренним ресурсам, связанным с внутренними интерфейсами (В данном примере, внутренние ресурсы связаны с внутренним интерфейсом).
ciscoasa(config)#object network L2TP-Pool
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)#exit
ciscoasa(config)# nat (inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp route-lookup
Конфигурация полной выборки
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
exit
crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport
crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto ikev1 enable outside
ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
group-policy L2TP-VPN internal
group-policy L2TP-VPN attributes
vpn-tunnel-protocol l2tp-ipsec
default-domain value cisco.com
username test password test mschap
exit
tunnel-group DefaultRAGroup general-attributes
address-pool Address-pool
default-group-policy L2TP-VPN
exit
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key C!sc0@123
exit
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
exit
object network L2TP-Pool
subnet 192.168.1.0 255.255.255.0
exit
nat(inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp route-lookup
Windows 8 L2TP/IPsec Client Configuration
1. Открытая Панель управления и выбирает центр Sharing и Network.
2. Выберите Set up новое соединение или параметр Network.
3. Выберите Connect к опции рабочего места и нажмите Next.
4. Нажмите Use моя опция (VPN) Интернет-соединения.
5. Введите IP-адрес Интерфейса WAN или FQDN ASA и любого названия для адаптера VPN, который является локально значительным, и нажмите Create.
6. В Сети и Совместном использовании Центра, выберите параметр настройки адаптера Change на левой панели окна.
7. Щелкните правой кнопкой по недавно созданной adapterfor VPN L2TP и выберите Properties.
8. Перейдите к Вкладке Безопасность , выберите Type of VPN в качестве Протокола туннелирования Уровня 2 с IPsec (L2TP/IPsec) и затем щелкните по Расширенным настройкам.
9. Введите общий ключ как то же, упомянутое в туннельной группе DefaultRAGroup , и нажмите OK. В данном примере, C! sc0@123 используется в качестве предварительного общего ключа.
10. Выберите метод аутентификации, как Позволяют эти протоколы и гарантируют, что только "Версия 2 Microsoft CHAP (MS-CHAP v2) флажок проверен, и нажмите OK.
11. При сетевых подключениях щелкните правой кнопкой по L2TP VPN adapter и выберите Connect/Disconnect.
12. Значок сетей появится и нажмет Connect on L2TP VPN connection.
13. Введите учетные данные пользователя и нажмите OK.
Если с необходимыми параметрами совпадут на обоих концы, то L2TP/IP - БЕЗОПАСНОЕ СОЕДИНЕНИЕ будет установлен.
Конфигурация разделения туннеля
Разделенное туннелирование является функцией, которую можно использовать для определения трафика для подсетей или хостов, которые должны быть зашифрованы. Это включает конфигурацию Списка контроля доступа (ACL), который привязан к этой функции. Трафик для подсетей или хостов, который определен на этом ACL, зашифрован по туннелю от клиентской стороны, и маршруты для этих подсетей установлены на таблице маршрутизации ПК. ASA перехватывает сообщение DHCPINFORM от клиента и отвечает маской подсети, доменным именем и бесклассовыми статическими маршрутами.
Конфигурация на ASA
ciscoasa(config)# access-list SPLIT standard permit 10.1.1.0 255.255.255.0
ciscoasa(config)# group-policy DefaultRAGroup attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value SPLIT
ciscoasa(config-group-policy)# intercept-dhcp 255.255.255.255 enable
Конфигурация на L2TP/КЛИЕНТЕ IPSEC
1. Щелкните правой кнопкой по адаптеру VPN L2TP и выберите Properties.
2. Перейдите к Вкладке Сеть, выберите Internet Protocol Version 4 (TCP/IPv4) и затем щелкните по Properties.
3. Нажмите Расширенную настройку.
4. Анчек шлюз по умолчанию Использования на опции удаленной сети и нажмите OK.
Проверка
Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.
- покажите, что крипто-ikev1 sa - Показывает все текущие SA IKE в узле.
ciscoasa# show crypto ikev1 sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer:
10.1.1.2
Type : user Role : responder
Rekey : no
State : MM_ACTIVE
- show crypto ipsec sa — отображает все текущие ассоциации безопасности (SA) IPsec узла.
ciscoasa# show crypto ipsec sa
interface: outside
Crypto map tag:
outside_dyn_map
, seq num: 10, local addr: 172.16.1.2
local ident (addr/mask/prot/port): (172.16.1.2/255.255.255.255/
17/1701
)
remote ident (addr/mask/prot/port): (10.1.1.2/255.255.255.255/
17/1701
)
current_peer: 10.1.1.2, username: test
dynamic allocated peer ip: 192.168.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 29, #pkts comp failed: 0, #pkts decomp failed: 0
#post-frag successes: 0, #post-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.16.1.2/0, remote crypto endpt.: 10.1.1.2/0
path mtu 1500, ipsec overhead 58(36), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: E8AF927A
current inbound spi : 71F346AB
inbound esp sas:
spi: 0x71F346AB (1911768747)
transform: esp-3des esp-sha-hmac no compression
in use settings ={RA, Transport, IKEv1, }
slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
sa timing: remaining key lifetime (kB/sec): (237303/3541)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000003
outbound esp sas:
spi: 0xE8AF927A (3903820410)
transform: esp-3des esp-sha-hmac no compression
in use settings ={RA, Transport, IKEv1, }
slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
sa timing: remaining key lifetime (kB/sec): (237303/3541)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
- подробность покажите vpn-sessiondb ra-ikev1-ipsec протокол l2tpOverIpSec фильтра - Показывает подробные сведения о L2TP по IP - безопасным соединениям.
ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec filter protocol l2tpOverIpSec
Session Type: IKEv1 IPsec Detailed
Username : test
Index : 1
Assigned IP : 192.168.1.1 Public IP : 10.1.1.2
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (1)3DES L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 1574 Bytes Rx : 12752
Pkts Tx : 29 Pkts Rx : 118
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : L2TP-VPN Tunnel Group : DefaultRAGroup
Login Time : 23:32:48 UTC Sat May 16 2015
Duration : 0h:04m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2577000010005557d3a0
Security Grp : none
IKEv1 Tunnels: 1
IPsec Tunnels: 1
L2TPOverIPsec Tunnels: 1
IKEv1:
Tunnel ID : 1.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : 3DES Hashing : SHA1
Rekey Int (T): 28800 Seconds Rekey Left(T): 28555 Seconds
D/H Group : 2
Filter Name :
IPsec:
Tunnel ID : 1.2
Local Addr : 172.16.1.2/255.255.255.255/17/1701
Remote Addr : 10.1.1.2/255.255.255.255/17/1701
Encryption : 3DES Hashing : SHA1
Encapsulation: Transport
Rekey Int (T): 3600 Seconds Rekey Left(T): 3576 Seconds
Rekey Int (D): 250000 K-Bytes Rekey Left(D): 250000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 1574 Bytes Rx : 12752
Pkts Tx : 29 Pkts Rx : 118
L2TPOverIPsec:
Tunnel ID : 1.3
Username : test
Assigned IP : 192.168.1.1
Public IP : 10.1.1.2
Encryption : none Hashing : none
Auth Mode : msCHAPV2
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client OS : Microsoft
Client OS Ver: 6.2
Bytes Tx : 475 Bytes Rx : 9093
Pkts Tx : 18 Pkts Rx : 105
На ASDM при Мониторинге> VPN> Статистика VPN> Сеансы может быть замечена общая информация относительно сеанса VPN. L2TP по Сеансам IPSec может фильтроваться IPsec (IKEv1) Удаленный доступ> Протокол> L2TP По IPsec.
Устранение неполадок
Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.
Используйте следующие команды отладки с осторожностью для устренения проблем с VPN-туннелем
- debug crypto ikev1 - отображает данные отладки о IKE
- debug crypto ipsec- отображает данные отладки о IPsec
Вот выходные данные отладки для успешного L2TP по IP - безопасному соединению:
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 408
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Oakley proposal is acceptable
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal RFC VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal ver 02 VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received Fragmentation VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing IKE SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2,
IKE SA Proposal # 1, Transform # 5 acceptable Matches global IKE entry # 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ISAKMP SA payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Traversal VID ver RFC payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Fragmentation VID + extended capabilities payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 260
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ISA_KE payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Cisco Unity VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing xauth V6 VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send IOS VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1]IP = 10.1.1.2,
Connection landed on tunnel_group DefaultRAGroup
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating keys for Responder...
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NONE (0) total length : 64
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing ID payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing dpd vid payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 84
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
PHASE 1 COMPLETED
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alive type for this connection: None
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alives configured on but peer does not support keep-alives (type = None)
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P1 rekey timer: 21600 seconds.
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1 DECODE]IP = 10.1.1.2, IKE Responder starting QM: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 300
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
Received remote Proxy Host data in ID Payload: Address 10.1.1.2, Protocol 17, Port 1701
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
172.16.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
Received local Proxy Host data in ID Payload: Address 172.16.1.2, Protocol 17, Port 1701
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
L2TP/IPSec session detected.
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, QM IsRekeyed old sa not found by addr
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
Static Crypto Map check, map outside_dyn_map, seq = 10 is a successful match
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Remote Peer configured for crypto map: outside_dyn_map
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing IPSec SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, I
PSec SA Proposal # 2, Transform # 1 acceptable
Matches global IPSec SA entry # 10
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE: requesting SPI!
IPSEC: New embryonic SA created @ 0x00007fffe13ab260,
SCB: 0xE1C00540,
Direction: inbound
SPI : 0x7AD72E0D
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got SPI from key engine: SPI = 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, oakley constucting quick mode
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing blank hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec nonce payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing proxy ID
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2,
Transmitting Proxy Id:
Remote host: 10.1.1.2 Protocol 17 Port 1701
Local host: 172.16.1.2 Protocol 17 Port 1701
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing qm hash payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Responder sending 2nd QM pkt: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=1) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 160
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR + HASH (8) + NONE (0) total length : 52
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, loading all IPSEC SAs
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0; encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x00007fffe1c75c00,
SCB: 0xE13ABD20,
Direction: outbound
SPI : 0x8C14FD70
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x8C14FD70
IPSEC: Creating outbound VPN context, SPI 0x8C14FD70
Flags: 0x00000205
SA : 0x00007fffe1c75c00
SPI : 0x8C14FD70
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x0AC609F9
Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
VPN handle: 0x00000000000028d4
IPSEC: New outbound encrypt rule, SPI 0x8C14FD70
Src addr: 172.16.1.2
Src mask: 255.255.255.255
Dst addr: 10.1.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 1701
Lower: 1701
Op : equal
Dst ports
Upper: 1701
Lower: 1701
Op : equal
Protocol: 17
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c763d0
IPSEC: New outbound permit rule, SPI 0x8C14FD70
Src addr: 172.16.1.2
Src mask: 255.255.255.255
Dst addr: 10.1.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x8C14FD70
Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c76a00
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0; encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Security negotiation complete for User () Responder, Inbound SPI = 0x7ad72e0d, Outbound SPI = 0x8c14fd70
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got a KEY_ADD msg for SA: SPI = 0x8c14fd70
IPSEC: New embryonic SA created @ 0x00007fffe13ab260,
SCB: 0xE1C00540,
Direction: inbound
SPI : 0x7AD72E0D
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host IBSA update, SPI 0x7AD72E0D
IPSEC: Creating inbound VPN context, SPI 0x7AD72E0D
Flags: 0x00000206
SA : 0x00007fffe13ab260
SPI : 0x7AD72E0D
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x000028D4
SCB : 0x0AC5BD5B
Channel: 0x00007fffed817200
IPSEC: Completed inbound VPN context, SPI 0x7AD72E0D
VPN handle: 0x0000000000004174
IPSEC: Updating outbound VPN context 0x000028D4, SPI 0x8C14FD70
Flags: 0x00000205
SA : 0x00007fffe1c75c00
SPI : 0x8C14FD70
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00004174
SCB : 0x0AC609F9
Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
VPN handle: 0x00000000000028d4
IPSEC: Completed outbound inner rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c763d0
IPSEC: Completed outbound outer SPD rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c76a00
IPSEC: New inbound tunnel flow rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 1701
Lower: 1701
Op : equal
Dst ports
Upper: 1701
Lower: 1701
Op : equal
Protocol: 17
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe13aba90
IPSEC: New inbound decrypt rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x7AD72E0D
Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe1c77420
IPSEC: New inbound permit rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x7AD72E0D
Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe13abb80
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Pitcher: received KEY_UPDATE, spi 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P2 rekey timer: 3420 seconds.
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2,
PHASE 2 COMPLETED
(msgid=00000001)
May 18 04:17:18 [IKEv1]IKEQM_Active() Add L2TP classification rules: ip <10.1.1.2> mask <0xFFFFFFFF> port <1701>
May 18 04:17:21 [IKEv1]Group = DefaultRAGroup,
Username = test, IP = 10.1.1.2, Adding static route for client address: 192.168.1.1
Некоторые обычно замечаемые связанные ошибки VPN на Windows - клиенте показывают в этой таблице
| Код ошибки | Возможное решение |
| 691 | Гарантируйте, что введенное имя пользователя и пароль было корректно |
| 789,835 | Гарантируйте, что предварительный общий ключ, настроенный на клиентском компьютере, был тем же как на ASA |
| 800 | 1. Удостоверьтесь, что тип VPN установлен в "протокол туннелирования на уровне 2 (L2TP)" 2. Гарантируйте, что предварительный общий ключ был настроен правильно настроенный |
| 809 | Удостоверьтесь порт 500, 4500 UDP (в случае, если или клиент или сервер находятся позади устройства NAT), и ESP трафик не был заблокирован |
Дополнительные сведения
Обратная связь