Tôi gặp sự cố với hỗn hợp truy cập từ xa, L2L và đường hầm L2L động trên ASA5540 chạy 8.2
Đây là một snip của cấu hình có liên quan: -
crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 201 match address outside-crypto-map-201
crypto map outside-crypto-map 201 set peer X.X.X.X
crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 202 match address outside-crypto-map-202
crypto map outside-crypto-map 202 set peer Y.Y.Y.Y
crypto map outside-crypto-map 202 set transform-set ESP-AES256-SHA
crypto map outside-crypto-map 65535 ipsec-isakmp dynamic outside-crypto-dynamic-map
crypto map outside-crypto-map interface outside
Tôi có một số trang web từ xa sử dụng IP động. Các mạng con LAN cho các mạng này nằm trong ACL "bên ngoài tiền điện tử-động-ánh xạ-10".
Những trận đấu tốt dựa trên dòng này: -
crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
Tôi có các đường hầm L2L "tĩnh" khác hoạt động tốt vào năm 201 và 202 trong cấu hình ở trên.
Với người dùng truy cập từ xa (Cisco VPN Client) của tôi, trừ khi tôi có dòng sau, họ sẽ không kết nối: -
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
Nếu tôi cố gắng thêm câu lệnh "khớp địa chỉ" vào chuỗi đó (như bên dưới), thì truy cập từ xa sẽ ngừng hoạt động (trong đó "vpc-client-subnet" là một ACL chứa mạng con từ nhóm IP được sử dụng cho các máy khách truy cập từ xa) vì nó không thể tìm thấy một địa phương / từ xa phù hợp.
crypto dynamic-map outside-crypto-dynamic-map 20 match address vpc-client-subnet
Vấn đề là tôi có một số điểm cuối L2L ngoài đó (tôi không còn muốn kết nối nhưng không có quyền kiểm soát) vẫn được định cấu hình (ở đầu từ xa) với PSK được sử dụng bởi các đồng nghiệp L2L động. Tôi đã xóa mạng con LAN của họ khỏi "bên ngoài crypto-Dynamic-map-10" (vì tôi không muốn chúng kết nối nữa) để chúng không khớp với seq 10 trên bản đồ động nữa, tuy nhiên chúng vẫn có thể để hoàn thành thành công giai đoạn 2 chống lại "bên ngoài crypto-Dynamic-map 20" và dường như kết thúc này chỉ chấp nhận bất cứ điều gì mà điều khiển từ xa đề xuất là cục bộ / từ xa cho SA.
Tôi không ở vị trí để thay đổi PSK. Tôi không thể thêm "địa chỉ trùng khớp" vào "bản đồ điện tử bên ngoài 20" vì nó sẽ ngăn khách hàng truy cập từ xa kết nối, tuy nhiên nếu tôi không, thì nó hoạt động như một điểm thu hút đối với các đồng nghiệp khác nếu không thì biết PSK.
Lý tưởng nhất là tôi có thể thêm "địa chỉ trùng khớp" vào seq 20, để người dùng truy cập từ xa sẽ khớp với nó, nhưng các đồng nghiệp seq 10 "cũ" thì không. Ngoài ra, có cách nào để ngăn ASA chấp nhận ý tưởng đồng nghiệp từ xa về địa phương / từ xa cho SA khi nó khớp với bản đồ không có tuyên bố "địa chỉ trùng khớp" không?
BIÊN TẬP:
Cấu hình nhóm đường hầm có liên quan: -
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *****
peer-id-validate nocheck
isakmp keepalive threshold 30 retry 5
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *****
isakmp keepalive threshold 30 retry 5
tunnel-group ravpn type remote-access
tunnel-group ravpn general-attributes
address-pool ip-pool-ravpn
authentication-server-group Edirectory
default-group-policy ravpn
tunnel-group ravpn ipsec-attributes
pre-shared-key *****
isakmp keepalive threshold 30 retry 2
tunnel-group-map default-group DefaultL2LGroup
Có nhiều nhóm đường hầm cho các đường hầm "tĩnh" (theo ví dụ xxxx ở trên). Người dùng truy cập từ xa nhấn vào nhóm đường hầm "ravpn" và tất cả những người năng động đều khớp với "DefaultL2Lgroup". PSK không giống nhau giữa những điều này.