Cisco ASA VPN Windows 7 Bordmitteln
Cisco ASA VPN Windows 7 Bordmitteln
Mit dieser Befehlssammlung kann auf der Cisco ASA das VPN so einstellen, das man mit den Windows 7 Bordmitteln ein L2TP/IPSec VPN aufbauen kann.
VPN IP Pool anlegen, dies muss noch als Network Objekt angelegt werden für das NAT
ip local pool VPN_POOL 10.242.3.0-10.242.3.255 mask 255.255.255.0
Netzwerk Objekt anlegen für die NAT Regel
object network VPN_POOL subnet 10.242.3.0 255.255.255.0
NAT Regel anlegen
nat (inside,outside) source static any any destination static VPN_POOL VPN_POOL no-proxy-arp route-lookup
Crypto Regel Definieren (Default Regeln)
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
Crypto Regel Definieren (Für Windows7)
crypto ipsec ikev1 transform-set WIN7_TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set WIN7_TRANS_ESP_3DES_SHA mode transport
Crypto Dynamic Map anlegen (Für Windows)
crypto dynamic-map WIN7_CRYPTO_MAP 20 set transform-set WIN7_TRANS_ESP_3DES_SHA crypto map outside_map 20 ipsec-isakmp dynamic WIN7_CRYPTO_MAP
Crypto Dynamic Map anlegen (Default)
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto isakmp nat-traversal 10 crypto ikev1 enable outside
Crypto IKEV1 anlegen (Für Windows)
crypto ikev1 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400
So und jetzt das Wichtige
Die group-policy und tunnel-group MÜSSEN DefaultRAGroup heißen sonst funktioniert VPN nicht.
group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes dns-server value 192.168.0.1 8.8.8.8 vpn-tunnel-protocol l2tp-ipsec tunnel-group DefaultRAGroup general-attributes address-pool VPN_POOL default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes ikev1 pre-shared-key test isakmp keepalive disable tunnel-group DefaultRAGroup ppp-attributes no authentication chap no authentication ms-chap-v1 authentication ms-chap-v2
group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev2 ssl-clientless
Das war es schon
Schreibe einen Kommentar