Cisco ASA多重动态VPN支持(defaultRAGroup-defaultl2lGroup)

Question

问题(简称

)

如何在l2l上设置两个完全不同的动态ASA5506隧道

问题(扩展)

我们有一个思科ASA5506安全装置，我们希望建立2个动态的虚拟专用网设置。

• 适用于各种窗口客户端的隧道；
• 使用DynDNS隧道到具有动态ip的分支机构。

我们可以在没有问题的情况下单独设置隧道，但不能同时让它们同时工作。

VPN 1 (windows客户端)

Cisco ASA5506 config

group-policy l2tp-ipsec_policy internal

group-policy l2tp-ipsec_policy attributes
  dns-server value 10.100.3.1
  vpn-tunnel-protocol l2tp-ipsec            
  default-domain value vbv.local

  banner value U bent nu aangemeld op het netwerk, zet uw VPN verbinding uit wanneer u klaar bent.
  wins-server value 10.100.3.1
  dns-server value 10.100.3.1
  vpn-filter value VBV_VPN_CLIENT_FILTER
  split-tunnel-policy tunnelspecified
  split-tunnel-network-list value VBV_VPN_CLIENTS  
exit

tunnel-group DefaultRAGroup general-attributes
  default-group-policy l2tp-ipsec_policy
  address-pool POOL-VPN_VBVLOCAL        
  authentication-server-group VBV_LDAP LOCAL
  password-management
  strip-realm
exit    

tunnel-group DefaultRAGroup ipsec-attributes
  pre-shared-key *****
exit

tunnel-group DefaultRAGroup ppp-attributes
  authentication pap
  no authentication chap
  no authentication ms-chap-v1
  no authentication ms-chap-v2
exit

crypto ipsec transform-set winClient esp-3des esp-sha-hmac
crypto ipsec transform-set winClient mode transport

crypto dynamic-map dynWinVPN 500 set ikev1 transform-set winClient

crypto map cmap_WAN-GLASVEZEL 500 ipsec-isakmp dynamic dynWinVPN


crypto isakmp enable WAN-GLASVEZEL

crypto isakmp policy 10
  authentication pre-share
  encryption 3des
  hash sha
  group 2
  lifetime 86400
exit

access-list VBV_VPN_CLIENT_FILTER extended permit object-group obj-VBVLOCAL_VPN_AllowedServices any any log notifications
access-list VBV_VPN_CLIENTS extended permit ip object-group obj-VBVLOCAL_VPN_AllowedNetworks any

在上面，我对PAP非常了解，但是原因是LDAP验证。(无法与mschapv2一起工作，这是以后关注的问题)。

VPN 2(从站点到分支机构)

Cisco ASA5506 config

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map ***.dyndns.org 100 set pfs group1
crypto dynamic-map ***.dyndns.org 100 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map ***.dyndns.org 100 set security-association lifetime seconds 86400
crypto dynamic-map ***.dyndns.org 100 set security-association lifetime kilobytes 9216000

crypto map cmap_WAN-GLASVEZEL 100 ipsec-isakmp dynamic ***.dyndns.org

crypto ikev1 policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!

tunnel-group ***.dyndns.org type ipsec-l2l
tunnel-group ***.dyndns.org general-attributes
 default-group-policy grpPol_vbvjb
tunnel-group ***.dyndns.org ipsec-attributes
 ikev1 pre-shared-key *****
 peer-id-validate nocheck
!

Branch office Cisco 881 router

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ****** address ***
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 15
!
crypto ipsec security-association lifetime kilobytes 9216000
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP-***_BACKUP 1 ipsec-isakmp
 description TUNNEL-***_BACKUP_****
 set peer *****
 set transform-set ESP-3DES-SHA
 set pfs group1
 match address 171
!
access-list 171 remark VPN-IPSEC-***_BACKUP
access-list 171 permit ip 192.168.10.0 0.0.0.255 10.100.0.0 0.0.3.255 log
access-list 177 permit icmp any host 10.100.3.1

同样的故事，完全独立工作，但不能结合从上面的设置。

因此，简单地说，我可以设置两个VPN设置并让它们工作，但我不能让它们在一个配置中工作。

键注

• 单独工作，但不使用乙醚；
• 分公司使用dynDNS，因为它没有静态IP；
• Windows客户端使用2l2进行ldap服务器验证；
• 奇怪的是，我看到的是site2site使用defaultRAGroup和客户端defaultl2lgroup。
• 如何检查捕捉正确的密码动态地图？

希望这里有人能帮忙，这样我们就不用打电话给思科TAC了。

Answer 1

尝试将动态条目的密码映射序列号更改为更高的条目(例如>500)，请参见以下说明：

http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html#crypto