我正在尝试设置我们的 Cisco asa 5505 远程 VPN 访问 IKEv1 预共享密钥,以便我可以使用 L2TP/IPsec 隧道通过 Windows 原生 VPN 客户端进行访问。
我们已经设置了 IKEv1 预共享密钥并配置了组 ID,但由于 Windows 不支持组 ID,因此我需要使用 DefaultRA 组。
在添加正确的 IKEv1 策略后,我成功完成了第 1 阶段。但为了修复第 2 阶段的不匹配问题,我发现我需要将 ESP-3DES-SHA-TRANS 传输集添加到动态加密映射中。
问题是:使用 asdm 将正确的转换集 (ESP-3DES-SHA-TRANS) 添加到加密映射后,路由器拒绝让任何流量通过互联网……不仅仅是 VPN 流量,而是所有流量。我试了两次,每次都需要重新启动防火墙才能使其再次运行。
不确定我是否应该发布任何正在运行的配置。我们没有任何高级路由,实际上只有一条静态外部路由。我们有另一个使用静态加密图的站点到站点 VPN。但它不应该有影响。
知道什么可能导致这种行为吗?将该转换集添加到加密映射的 cli 命令是什么?
答案1
Thx hertitu,这很有帮助。
我尝试使用 ASDM --> 网络(客户端)访问 --> 高级 --> IPsec --> Cryptomaps 进行编辑,并将 ESP-3DES-SHA-TRANS 转换集添加到默认动态加密图。
生成了以下命令...
access-list outside_cryptomap_65535.65535 line 1 extended permit ip any4 any4
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 match address outside_cryptomap_65535.65535
感觉不对,我把它们扔掉了,然后手动运行
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 ESP-3DES-SHA-TRANS
相反。现在我成功地用我的 Windows 客户端完成了第 2 阶段!