Sự cố với truy cập từ xa, L2L cố định và L2L IPSEC động hoạt động cùng nhau trên ASA 5540 8.2

Tôi gặp sự cố với hỗn hợp truy cập từ xa, L2L và đường hầm L2L động trên ASA5540 chạy 8.2

Đây là một snip của cấu hình có liên quan: -

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 201 match address outside-crypto-map-201
crypto map outside-crypto-map 201 set peer X.X.X.X
crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 202 match address outside-crypto-map-202
crypto map outside-crypto-map 202 set peer Y.Y.Y.Y
crypto map outside-crypto-map 202 set transform-set ESP-AES256-SHA
crypto map outside-crypto-map 65535 ipsec-isakmp dynamic outside-crypto-dynamic-map
crypto map outside-crypto-map interface outside

Tôi có một số trang web từ xa sử dụng IP động. Các mạng con LAN cho các mạng này nằm trong ACL "bên ngoài tiền điện tử-động-ánh xạ-10".

Những trận đấu tốt dựa trên dòng này: -

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10

Tôi có các đường hầm L2L "tĩnh" khác hoạt động tốt vào năm 201 và 202 trong cấu hình ở trên.

Với người dùng truy cập từ xa (Cisco VPN Client) của tôi, trừ khi tôi có dòng sau, họ sẽ không kết nối: -

crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5

Nếu tôi cố gắng thêm câu lệnh "khớp địa chỉ" vào chuỗi đó (như bên dưới), thì truy cập từ xa sẽ ngừng hoạt động (trong đó "vpc-client-subnet" là một ACL chứa mạng con từ nhóm IP được sử dụng cho các máy khách truy cập từ xa) vì nó không thể tìm thấy một địa phương / từ xa phù hợp.

crypto dynamic-map outside-crypto-dynamic-map 20 match address vpc-client-subnet

Vấn đề là tôi có một số điểm cuối L2L ngoài đó (tôi không còn muốn kết nối nhưng không có quyền kiểm soát) vẫn được định cấu hình (ở đầu từ xa) với PSK được sử dụng bởi các đồng nghiệp L2L động. Tôi đã xóa mạng con LAN của họ khỏi "bên ngoài crypto-Dynamic-map-10" (vì tôi không muốn chúng kết nối nữa) để chúng không khớp với seq 10 trên bản đồ động nữa, tuy nhiên chúng vẫn có thể để hoàn thành thành công giai đoạn 2 chống lại "bên ngoài crypto-Dynamic-map 20" và dường như kết thúc này chỉ chấp nhận bất cứ điều gì mà điều khiển từ xa đề xuất là cục bộ / từ xa cho SA.

Tôi không ở vị trí để thay đổi PSK. Tôi không thể thêm "địa chỉ trùng khớp" vào "bản đồ điện tử bên ngoài 20" vì nó sẽ ngăn khách hàng truy cập từ xa kết nối, tuy nhiên nếu tôi không, thì nó hoạt động như một điểm thu hút đối với các đồng nghiệp khác nếu không thì biết PSK.

Lý tưởng nhất là tôi có thể thêm "địa chỉ trùng khớp" vào seq 20, để người dùng truy cập từ xa sẽ khớp với nó, nhưng các đồng nghiệp seq 10 "cũ" thì không. Ngoài ra, có cách nào để ngăn ASA chấp nhận ý tưởng đồng nghiệp từ xa về địa phương / từ xa cho SA khi nó khớp với bản đồ không có tuyên bố "địa chỉ trùng khớp" không?

BIÊN TẬP:

Cấu hình nhóm đường hầm có liên quan: -

tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *****
 peer-id-validate nocheck
 isakmp keepalive threshold 30 retry 5

tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 5

tunnel-group ravpn type remote-access
tunnel-group ravpn general-attributes
 address-pool ip-pool-ravpn
 authentication-server-group Edirectory
 default-group-policy ravpn
tunnel-group ravpn ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 2

tunnel-group-map default-group DefaultL2LGroup

Có nhiều nhóm đường hầm cho các đường hầm "tĩnh" (theo ví dụ xxxx ở trên). Người dùng truy cập từ xa nhấn vào nhóm đường hầm "ravpn" và tất cả những người năng động đều khớp với "DefaultL2Lgroup". PSK không giống nhau giữa những điều này.

Tôi sẽ đề nghị tạo một nhóm đường hầm Truy cập từ xa thứ 2 cho tất cả người dùng truy cập từ xa của bạn. Bắt đầu di chuyển chúng, từng cái một và khi bạn hoàn thành, bạn có thể xóa Nhóm L2L mặc định hiện có hoặc bạn có thể thay đổi PSK.

Nếu bạn gặp phải một số người dùng không muốn thay đổi, bạn có thể thực thi phiên bản Máy khách VPN cụ thể và thông báo cho họ biết bạn đang thực hiện cập nhật bảo mật lớn.

Thông thường, người dùng VPN từ xa của bạn chỉ cần một vài dòng trong bản đồ mật mã động cho phép họ kết nối đúng cách. Một cái gì đó như thế này:

bản đồ động điện tử DYN_CRY_MAP 65535 thiết lập bộ biến đổi ESP-AES-128-SHA

bản đồ mật mã OUTSIDE_map 65535 ipsec-isakmp động DYN_CRY_MAP

Điều này là giả sử bạn có bộ biến đổi phù hợp đã được chỉ định.

Các mạng con VPN người dùng từ xa của bạn không cần phải được chỉ định trong bản đồ mật mã vì chúng là các điểm cuối động. ASA biết điều này và điều chỉnh các bảng tiền điện tử phù hợp. Điểm cuối L2L động của bạn cũng không cần phải được chỉ định trong bản đồ mật mã và sẽ hoạt động theo cùng một cách. Ngoài ra, một "tính năng" là dòng cuối cùng trong hai dòng trên PHẢI được áp dụng ở cuối bản đồ mật mã của bạn. Bạn đã có nó ở đó, nhưng chỉ muốn cho bạn biết.

Dòng này là thứ cho phép Giai đoạn 1 kết nối từ điểm cuối L2L động:

nhóm đường hầm DefaultL2Lgroup ipsec-thuộc tính

 khóa chia sẻ trước *****

 kiểm tra ngang hàng id-id

 ngưỡng giữ isakmp 30 thử lại 5

Giai đoạn 2 được xử lý bởi các mục nhập bản đồ mật mã của bạn.

Tôi sợ rằng cách dễ nhất và hiệu quả nhất để làm điều này là thay đổi PSK trên nhóm đường hầm DefaultL2Lgroup và sau đó thay đổi nó trên tất cả các thiết bị mà bạn vẫn muốn kết nối. Vì chúng là điểm cuối động, bạn thực sự không thể lọc IP trên giao diện bên ngoài và bạn không có quyền kiểm soát chúng khi thiết lập đường hầm nếu chúng biết PSK.

Nếu bạn có bất kỳ câu hỏi nào, xin đừng ngần ngại hỏi.

Ian

.... Điều này có thể không ngăn được thiết lập Giai đoạn 2, nhưng chắc chắn sẽ không cho phép lưu lượng truy cập đi qua. Chỉ là một suy nghĩ (tôi đã chạy qua câu hỏi này trong khi googling cho một vấn đề khác).