如何通过 IPSEC 从 Windows Server 2012 连接到 Cisco ASA5540?

如何通过 IPSEC 从 Windows Server 2012 连接到 Cisco ASA5540?

给定一个 Windows Server 2012 客户端(我对其拥有完全管理员控制权)和一个外部 Cisco ASA5540 路由器(我没有),我想连接到路由器以通过 ipsec VPN 访问他们的内部网络。

连接详细信息如下:

IKE 阶段 1:加密方案:IKE
密钥交换方法:3DES
散列算法:MD5
身份验证方法:预共享密钥激进模式支持:无
Diffie Helmen 阶段 1 组:组 2(首选)IKE SA(阶段 1)生命周期:1440 秒

IKE 阶段 2:加密方案:IKE
转换(IPSec 协议):ESP 加密算法 3DES 数据完整性:MD5 使用完美前向保密 (PFS):否
PFS 的 Diffie Helmen 组:第 2 组(首选)
IPSEC SA(阶段 2)生命周期 28800 秒子网密钥交换:是

加密域:192.168.113.0/24 安全策略规则:源:10.135.1.80/32 -> 目标:192.168.251.32/32

(我无法更改路由器的配置)

使用任何客户端或方法连接到该路由器的具体步骤是什么?

答案1

阻力最小的路径是向管理目标防火墙的人员索取 Cisco IPSEC VPN 客户端的副本或者使用 SSL AnyConnect VPN 进行访问。看看他们能否提供PCF 配置文件给你。

答案2

(IPSEC VPN 客户端不可用,并且对其配置也没有任何用处)

我们的解决方案是,让其他人也能解决这个问题,而不用花三天时间去摸索:

conn vpc-to-asa
  type=tunnel
  forceencaps=yes
  authby=secret
  compress=no
  disablearrivalcheck=no
  left=myip.myip.myip.myip
  leftid=myip.myip.myip.myip
  leftsubnets={10.135.1.80/32}
  leftsourceip=10.135.1.80
  right=a.b.c.d
  rightsubnets={192.168.251.32/32}
  rightsourceip=192.168.251.32
  keyexchange=ike
  ike=3des-md5
  salifetime=28800s
  pfs=no
  auto=start
  dpdaction=restart
  phase2=esp
  esp=3des-md5
  • 编辑 \etc\ipsec.secrets 以添加交换密钥

  • 服务 ipsec 启动 应该会调出新界面

  • 调试工具:

监控通过端口 4500 的所有流量:

sudo tcpdump -i eth0 udp port 4500

当前 ipsec 绑定状态:

ipsec auto --status

当前可通过 ipsec 获得的所有路由:

ipsec look
  • 一旦一切都通过 ipsec 顺利完成,你可以为基于 Windows VPN 的连接添加 L2TP,或者简单地通过 SSH 隧道连接相关端口

相关内容