Cisco VPN动态加密图

Cisco VPN动态加密图

我正在尝试设置我们的 Cisco asa 5505 远程 VPN 访问 IKEv1 预共享密钥,以便我可以使用 L2TP/IPsec 隧道通过 Windows 原生 VPN 客户端进行访问。

我们已经设置了 IKEv1 预共享密钥并配置了组 ID,但由于 Windows 不支持组 ID,因此我需要使用 DefaultRA 组。

在添加正确的 IKEv1 策略后,我成功完成了第 1 阶段。但为了修复第 2 阶段的不匹配问题,我发现我需要将 ESP-3DES-SHA-TRANS 传输集添加到动态加密映射中。

问题是:使用 asdm 将正确的转换集 (ESP-3DES-SHA-TRANS) 添加到加密映射后,路由器拒绝让任何流量通过互联网……不仅仅是 VPN 流量,而是所有流量。我试了两次,每次都需要重新启动防火墙才能使其再次运行。

不确定我是否应该发布任何正在运行的配置。我们没有任何高级路由,实际上只有一条静态外部路由。我们有另一个使用静态加密图的站点到站点 VPN。但它不应该有影响。

知道什么可能导致这种行为吗?将该转换集添加到加密映射的 cli 命令是什么?

答案1

Thx hertitu,这很有帮助。

我尝试使用 ASDM --> 网络(客户端)访问 --> 高级 --> IPsec --> Cryptomaps 进行编辑,并将 ESP-3DES-SHA-TRANS 转换集添加到默认动态加密图。

生成了以下命令...

 access-list outside_cryptomap_65535.65535 line 1 extended permit ip any4 any4 
      crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 match address outside_cryptomap_65535.65535

感觉不对,我把它们扔掉了,然后手动运行

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 ESP-3DES-SHA-TRANS

相反。现在我成功地用我的 Windows 客户端完成了第 2 阶段!

相关内容