Vpn

這是適用於 ASA 8.4 的遠端訪問 VPN 的正確配置嗎?

  • November 3, 2011

第一次為 8.3 / 8.4 配置遠端訪問 VPN,所以 NAT 和 VPN 命令對我來說有點不同。

下面是 VPN 配置和對應的 NAT 到 NO NAT IP 空間。如果有人可以查看它並讓我知道我是否遺漏了什麼。網路是 192.0.0.0 / 24 ha,不是錯字。


crypto ikev1 enable outside

crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha

access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0

group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201

tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL

tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********

ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA

crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside

//無NAT子網

object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0

object network VPN_LAN
subnet 192.0.1.0 255.255.255.0

nat (inside,outside) source static INSIDE_LAN INSIDE_LAN  destination static VPN_LAN VPN_LAN

還是我會為 no nat 這樣做:

nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN

我的 NAT 目前設置為:

object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface

如果192.0.0.0/24是您的內部介面/LAN,那麼是什麼192.0.1.0/24

VPN_LAN您已經給192.0.1.0/24子網的對象名稱了嗎?但是,您將遠端訪問 VPN 地址池定義為10.1.2.140-10.1.2.145. 分配給客戶端 VPN 適配器的地址將在10.1.2.140-10.1.2.145.

我將假設這192.0.1.0/24不是必需的,並且您的內部192.0.0.0/24並且您的 VPN 客戶端適配器將從10.1.2.140-10.1.2.145池中提取 IP - 您可能只想製作這個 10.1.2.0/24 - 但是我將繼續使用您現有的池.

您可以使用以下內容配置內部出站動態介面 PAT 設置。LAN_NAT當您可以在對像中定義動態介面 PAT 時,您已經創建了另一個對象INSIDE_LAN——它們出現在配置的兩個不同部分(子網定義和對象 NAT)中,但仍然(並且可以)在同一個對像中定義。

object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface

下面是一個創建的網路對象,它代表作為池的 IP 塊。不按原樣重新定義池本身ip local pool

object network RAVPN_POOL
subnet 10.1.2.0 255.255.255.0   ! adjust this and pool itself to meet needs

如下配置您的身份 NAT(無 nat)——不是在對像中,而是兩次 NAT。

nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]

假設我了解您的設置,您就可以擺脫ACL中的LAN_NATandVPN_LAN對象和192.0.1.0/24條目。SPLIT-TUNNEL-VPN

no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN

在您的 P1/IKE 策略中還需要考慮一些額外的事情——當您將 P2 定義為 3DES/SHA 時,P1 中的 3DES/MD5 很好,但有點奇怪。

引用自:https://serverfault.com/questions/327266