我正在尝试通过 Cisco VPN 客户端连接到另一个 ASA。我自己使用的是 ASA 5505,我正在尝试通过 VPN 连接到 5510。
我收到消息:
客户端本地终止安全 VPN 连接。原因 412:远程对等端不再响应。
如果我使用普通廉价的 Linksys,我可以连接到其他 ASA。
这是我的 ASA 的版本:
命令结果:“sh ver”
Cisco 自适应安全设备软件版本 8.4(1)
任何帮助都将非常有帮助。
谢谢
运行配置
:已保存 :由 enable_15 于 2011 年 7 月 1 日星期五 23:12:32.378 UTC 撰写 ! ASA 版本 8.4(1) ! 主机名 aaaasa 域名aaa.local 启用密码 xxxxxxxxxxxxxxx 加密 passwd xxxxxxxxxxxxxxxxx 加密 名称 ! 接口 Vlan1 nameif 内部 安全级别 100 IP地址 192.168.1.254 255.255.255.0 ! 接口 Vlan2 nameif 外部 安全级别 0 IP 地址 xxx.xxx.xxx.xxx 255.255.254.0 ! 接口 Vlan5 无名称 安全级别 50 IP地址 172.16.0.254 255.255.255.0 ! 接口Vlan500 无名称 安全级别 100 IP 地址 10.10.10.1 255.255.255.0 ! 接口以太网0/0 交换机端口访问 VLAN 2 ! 接口Ethernet0/1 ! 接口Ethernet0/2 ! 接口Ethernet0/3 ! 接口Ethernet0/4 ! 接口Ethernet0/5 ! 接口Ethernet0/6 ! 接口以太网0/7 ! 启动系统disk0:/asa841-k8.bin ftp 模式被动 dns 域名查找内部 dns 域查询外部 dns 服务器组 DefaultDNS 名称服务器 4.2.2.2 域名aaa.local 相同安全流量许可接口 相同安全流量允许接口内 对象网络 obj_any 子网 0.0.0.0 0.0.0.0 对象网络 A_93.97.168.1 主机 93.97.168.1 对象网络 rdp 主机 192.168.1.2 对象网络 NETWORK_OBJ_192.168.1.0_24 子网 192.168.1.0 255.255.255.0 访问列表 101 扩展允许 tcp 任何主机 192.168.1.2 eq 3389 访问列表 101 扩展允许 icmp any any echo-reply 访问列表 101 扩展允许 icmp any any 源抑制 访问列表 101 扩展允许 icmp any any 时间超出 访问列表 101 扩展允许 icmp 任何任何不可达 访问列表 102 扩展允许 ip any any 传呼机线路 24 启用日志记录 记录 asdm 信息 mtu 1500 以内 mtu 外部 1492 ip 本地池 VPNPool 192.168.2.200-192.168.2.210 掩码 255.255.255.0 icmp 不可达速率限制 1 突发大小 1 asdm 映像 disk0:/asdm-641.bin 没有启用 asdm 历史记录 arp 超时 14400 ! 对象网络 rdp nat(内部,外部)静态接口服务 tcp 3389 3389 ! nat (内部、外部) after-auto 源动态任何接口 接口外部的访问组 101 访问组 102 出接口外部 ! 路由器 ospf 1 网络 192.168.1.0 255.255.255.0 区域 0 对数调整变化 ! 外部路由 0.0.0.0 0.0.0.0 93.97.168.1 1 超时 xlate 3:00:00 超时连接 1:00:00 半封闭 0:10:00 udp 0:02:00 icmp 0:00:02 超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 超时 sip-provisional-media 0:02:00 uauth 0:05:00 绝对 超时 tcp-代理重组 0:01:00 动态访问策略记录 DfltAccessPolicy http 服务器启用 http 192.168.1.0 255.255.255.0 内部 没有 snmp 服务器位置 没有 snmp 服务器联系 snmp-server 启用陷阱 snmp 身份验证 linkup linkdown coldstart 加密 ipsec ikev2 ipsec 提案 DES 协议 esp 加密 des 协议 esp 完整性 sha-1 md5 加密 ipsec ikev2 ipsec 提案 3DES 协议 esp 加密 3des 协议 esp 完整性 sha-1 md5 加密 ipsec ikev2 ipsec 提案 AES 协议 esp 加密 aes 协议 esp 完整性 sha-1 md5 加密 ipsec ikev2 ipsec 提案 AES192 协议 ESP 加密 AES-192 协议 esp 完整性 sha-1 md5 加密 ipsec ikev2 ipsec 提案 AES256 协议 ESP 加密 AES-256 协议 esp 完整性 sha-1 md5 加密动态映射SYSTEM_DEFAULT_CRYPTO_MAP 65535设置ikev2 ipsec提案AES256 AES192 AES 3DES DES 加密映射 outside_map 65535 ipsec-isakmp 动态 SYSTEM_DEFAULT_CRYPTO_MAP 加密映射 outside_map 接口外部 加密 CA 信任点 ASDM_TrustPoint0 自行报名 主题名称 CN=ciscoasa 代理 LDC 发行人 crl 配置 加密 CA 证书链 ASDM_TrustPoint0 证书 8877d64d 30820248 308201b1 a0030201 02020488 77d64d30 0d06092a 864886f7 0d010105 05003036 3111300f 06035504 03130863 6973636f 61736131 21301f06 092a8648 86f70d01 09021612 63697363 6f617361 2e6e6a64 2e6c6f63 616c301e 170d3131 30353231 30383533 34325a17 0d323130 35313830 38353334 325a3036 3111300f 06035504 03130863 6973636f 61736131 21301f06 092a8648 86f70d01 09021612 63697363 6f617361 2e6e6a64 2e6c6f63 616c3081 9f300d06 092a8648 86f70d01 01010500 03818d00 30818902 818100ea 1aa95141 480e616c efee6816 a96d6511 313b6776 cd3dd57b cd84b4d2 5e108aee 7c980086 4d92e2eb b6c7bf66 4585af0a ccbf153a db9270be c6f5c67b db9dd8d1 2f78d033 3348b056 df4be0da 70e08953 53adf294 9db6c020 597d250f bf448b43 b90179c8 ff0b15d8 744632d9 31c1945f 0b11e258 b4c1d224 692efff4 7b2f5102 03010001 a3633061 300f0603 551d1301 01ff0405 30030101 ff300e06 03551d0f 0101ff04 04030201 86301f06 03551d23 04183016 8014493c 19db183a ab1af9e9 b1e44ad4 2a408b3c 89d1301d 0603551d 0e041604 14493c19 db183aab 1af9e9b1 e44ad42a 408b3c89 d1300d06 092a8648 86f70d01 01050500 03818100 1dd1760a fdd15941 4803fb9a cd6f44a7 2e275854 a1c0fbe1 d19f2cc9 182d43ef a547f854 8df96d15 3ea79c62 cf3fcb1c 5820360b c607dbfc 4de8bb16 19f727e9 b928a085 665816d8 138e4a35 ed610950 7910dd4a 0b1a9dd9 0e26f1c8 b78bc0cc cbf19eb2 4c4c3931 45199ea5 249e3266 661e44fd 7a00d376 dcfc6e4e d43f10b8 辞职 加密 isakmp nat-traversal 30 加密 ikev2 策略 1 加密 aes-256 诚信沙 第 5 组 prf sha 终生秒数 86400 加密 ikev2 策略 10 加密 aes-192 诚信沙 第 5 组 prf sha 终生秒数 86400 加密 ikev2 策略 20 加密AES 诚信沙 第 5 组 prf sha 终生秒数 86400 加密 ikev2 策略 30 加密3des 诚信沙 第 5 组 prf sha 终生秒数 86400 加密 ikev2 策略 40 加密设计 诚信沙 第 5 组 prf sha 终生秒数 86400 crypto ikev2 启用外部客户端服务端口 443 加密 ikev2 远程访问信任点 ASDM_TrustPoint0 telnet 超时 5 ssh 192.168.1.0 255.255.255.0 内部 ssh 超时 5 控制台超时 0 dhcpd auto_config 外部 ! dhcpd 地址 192.168.1.5-192.168.1.36 内部 dhcpd dns 4.2.2.2 接口内部 dhcpd 内部启用 ! 威胁检测 基本威胁 威胁检测统计主机速率 3 威胁检测统计端口 威胁检测统计协议 威胁检测统计访问列表 威胁检测统计 tcp 拦截速率间隔 30 突发速率 400 平均速率 200 ntp 服务器 82.219.4.31 源外部优先 ssl 信任点 ASDM_TrustPoint0 外部 网络虚拟专用网 启用外部 anyconnect 映像 disk0:/anyconnect-win-2.4.1012-k9.pkg 1 anyconnect 配置文件 AnyConnectVPN_client_profile disk0:/AnyConnectVPN_client_profile.xml anyconnect 配置文件 SSLAnyConnectVPN_client_profile disk0:/SSLAnyConnectVPN_client_profile.xml anyconnect 启用 隧道组列表启用 组策略 GroupPolicy_AnyConnectVPN 内部 组策略 GroupPolicy_AnyConnectVPN 属性 wins-服务器无 dns 服务器值 4.2.2.2 VPN 隧道协议 ikev2 ssl 客户端 ssl 无客户端 默认域值aaa.local 网络虚拟专用网 url 列表 none anyconnect 配置文件值 AnyConnectVPN_client_profile 类型用户 组策略 GroupPolicy_SSLAnyConnectVPN 内部 组策略 GroupPolicy_SSLAnyConnectVPN 属性 wins-服务器无 dns 服务器值 4.2.2.2 vpn 隧道协议 ikev2 ssl 客户端 默认域值aaa.local 网络虚拟专用网 anyconnect 配置文件值 SSLAnyConnectVPN_client_profile 类型用户 用户名 testuser 密码 xxxxxxxxxxxxxxxxx 加密权限 0 用户名 testuser 属性 vpn 组策略 GroupPolicy_AnyConnectVPN 隧道组 SSLPOL 类型远程访问 隧道组 SSLPOL 常规属性 默认组策略 GroupPolicy_AnyConnectVPN 隧道组 SSLAnyConnectVPN 类型远程访问 隧道组 SSLAnyConnectVPN 常规属性 地址池 VPNPool 默认组策略 GroupPolicy_SSLAnyConnectVPN 隧道组 SSLAnyConnectVPN webvpn 属性 组别名 SSLAnyConnectVPN 启用 ! 类映射检查默认 匹配默认检查流量 ! ! 策略映射类型检查 DNS preset_dns_map 参数 消息长度最大为 512 策略图 global_policy 检查类_默认 检查 DNS preset_dns_map 检查 esmtp 检查 ftp 检查 h323 h225 检查 h323 ras 检查 ip 选项 检查 netbios 检查 rsh 检查 rtsp 检查 SIP 检查瘦 检查 sqlnet 检查 sunrpc 检查 tftp 检查 xdmcp ! 服务策略 global_policy 全局 提示主机名上下文 回电 简介 CiscoTAC-1 无活动 目标地址 http https://tools.cisco.com/its/service/oddce/services/DDCEService 目标地址电子邮件[电子邮件保护] 目标传输方法 http 订阅警报组诊断 订阅警报组环境 订阅警报组库存定期每月 订阅警报组配置定期每月 订阅警报组遥测定期每日 加密校验和:94a65341aa27d3929d5e92a32ba22120 : 结尾
答案1
这很可能是 NAT 问题。您需要在 5510 上配置 NAT 穿越。请按如下方式操作:
加密 isakmp nat-traversal 30
如果这不起作用,您能否向我们提供在两种设备上运行的演示?
答案2
我假设您的工作站位于 192.168.1.0/24 网络上 ASA5505 的内部接口后面。您的工作站(IKE/IPSec 发起者)正在连接到 ASA5505 外部接口(互联网)上的远程 ASA5510(IKE/IPSec 响应者)。当您的工作站的流量从内部跨越到外部时,您的工作站会进行动态 PAT。
如果看不到远程 ASA5510 配置和其他调试输出,就很难确定问题。 相反,我将描述使 IKE/IPSec 跨 NAT/PAT 边界工作的三种可能方法。 下面每一个都是完整的解决方案。
以下 ASA 配置条目对 ASA 8.4 有效。
1. 在响应方 (ASA5510) 上启用 IKE NAT 穿越 (IKE NAT-T)和配置 Cisco VPN 客户端以使用 IPSec over UDP/NAT-T。IKE NAT-T 不应与 STUN 等一般 NAT 遍历相混淆。IKE NAT-T 在 RFC3947 中定义,并在许多发起方和响应方(软件和硬件)中受支持。IKE NAT-T 也称为 IPSec over UDP,并在响应方上使用 UDP/500 和 UDP/4500(通常)。确保发起方可以通过 UDP/500 和 UDP/4500 连接到响应方。
crypto isakmp nat-traversal 30
2. 在响应方 (ASA5510) 上启用 IPSec over TCP和配置 Cisco VPN 客户端以使用 IPSec over TCP。使用 IPSec over TCP,IKE 和 IPSec 连接和会话仅使用指定的 TCP 端口。TCP/10000 为默认值。确保发起方可以在所选 TCP 端口上连接到响应方。
crypto ikev1 ipsec-over-tcp 10000
3. 为工作站/启动器配置静态 NAT - 而不是动态 PAT 或静态 PAT -和在发起方 (您的) ASA 上启用检查 ipsec-pass-thru ALG/检查。根据 ASA 8.4 (及以下) 文档,ASA 的 ipsec-pass-thru ALG 仅在静态 NAT (传统 NAT) 和非 NAT 流量上受支持,在 PAT 流量上不受支持。
object network hst-192.168.1.100
description WS01
host 192.168.1.100
nat (inside,outside) static 1.2.3.4
class-map default_inspection_class
match default-inspection-traffic
policy-map example_policy
class default_inspection_class
inspect ipsec-pass-thru
据我所知,这些是使 IPSec 通过 NAT 工作的唯一已知方法——无论是 PAT 还是 NAT。看看您的 ASA、远程 ASA 的情况,然后做出选择。
·韦弗
答案3
也许您需要允许通过 IPSEC 流量。
以下是一个配置示例:
PIX 7.X and up Configuration:
interface Ethernet0
nameif outside
security-level 0
ip address 10.99.99.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
access-list acl-out permit esp host 10.99.99.2 host 10.99.99.12
access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq isakmp
access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq 4500
access-group acl-out in interface outside