Cisco ASA VPN Windows 7 Bordmitteln

Posted on Veröffentlicht in Cisco - ASA No Comments Tagged with , ,

Cisco ASA VPN Windows 7 Bordmitteln

Mit dieser Befehlssammlung kann auf der Cisco ASA das VPN so einstellen, das man mit den Windows 7  Bordmitteln ein L2TP/IPSec VPN aufbauen kann.

VPN IP Pool anlegen, dies muss noch als Network Objekt angelegt werden für das NAT

ip local pool VPN_POOL 10.242.3.0-10.242.3.255 mask 255.255.255.0

Netzwerk Objekt anlegen für die NAT Regel

object network VPN_POOL
 subnet 10.242.3.0 255.255.255.0

NAT Regel anlegen

nat (inside,outside) source static any any destination static VPN_POOL VPN_POOL no-proxy-arp route-lookup

Crypto Regel Definieren (Default Regeln)

crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac

Crypto Regel Definieren (Für Windows7)

crypto ipsec ikev1 transform-set WIN7_TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set WIN7_TRANS_ESP_3DES_SHA mode transport

Crypto Dynamic Map anlegen (Für Windows)

crypto dynamic-map WIN7_CRYPTO_MAP 20 set transform-set WIN7_TRANS_ESP_3DES_SHA
crypto map outside_map 20 ipsec-isakmp dynamic WIN7_CRYPTO_MAP

Crypto Dynamic Map anlegen (Default)

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP

crypto map outside_map interface outside
crypto isakmp nat-traversal 10
crypto ikev1 enable outside

Crypto IKEV1 anlegen (Für Windows)

crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
 
crypto ikev1 policy 20
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

So und jetzt das Wichtige
Die group-policy und tunnel-group MÜSSEN DefaultRAGroup heißen sonst funktioniert VPN nicht.

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.0.1 8.8.8.8
 vpn-tunnel-protocol l2tp-ipsec

tunnel-group DefaultRAGroup general-attributes
 address-pool VPN_POOL
 default-group-policy DefaultRAGroup

tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key test
 isakmp keepalive disable

tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 no authentication ms-chap-v1
 authentication ms-chap-v2

group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev2 ssl-clientless

Das war es schon

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*