Я пытаюсь установить новый ASA5505 в нашей сети (ранее мы использовали IPCop), и у меня возникла небольшая проблема с работой VPN. Я запустил мастер IPSec VPN в ASDM (6.3) на ASA (8.3) и выбрал второй вариант, L2TP через IPSec. После включения L2TP / IPSec и IPSec в профиле я могу подключаться к следующим клиентам:
Я пытаюсь заставить наших клиентов Windows подключиться, но использование клиента Cisco VPN, к сожалению, не вариант для нас, так как большинство из нас работает с 64-разрядной версией Windows 7, но ASA поставляется с версией 5.0.06 клиента VPN, но 5.0.07 была версией, в которой была представлена 64-битная поддержка.
Я пытаюсь использовать встроенный клиент L2TP / IPSec в Windows 7 для подключения к VPN, но вот цепочка событий, которые я вижу на мониторе (установленном на уровне отладки) при подключении:
Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status: Remote end IS behind a NAT device This end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
(IP-адрес заменен на x.x.x.x)
В этот момент клиент Windows просто сидит и сидит, и в конечном итоге время ожидания истекает.
Кто-нибудь знает, что мне может потребоваться изменить, чтобы это работало для обоих клиентов, которые уже работают и Windows?
У меня еще нет большого опыта работы с оборудованием Cisco, поэтому я прошу прощения, если есть какая-либо отладочная или дополнительная информация для ведения журнала, которую я должен был включить. Не стесняйтесь спрашивать, и я исправлю свой вопрос.
Еще одно небольшое примечание: если у вас несколько динамических криптокарт, вам нужно сделать так, чтобы ваша криптокарта L2TP имела более высокий приоритет, чем другие. Из-за этой проблемы вы часто увидите «Все предложения IPSec SA признаны неприемлемыми».
Прежде всего дважды проверьте свои настройки.
Все предложения IPSec SA признаны неприемлемыми!
...
Сессия сносится. Причина: несоответствие фазы 2
Это, скорее всего, означает несоответствие настроек. К сожалению, я не использовал встроенный клиент Windows и не знаю о каких-либо проблемах совместимости.
Во-вторых, если вы не можете получить последнюю версию VPN-клиента Cisco, например, у вашего продавца, cisco.com и т. Д., Я предлагаю вам попробовать этот клиент. http://www.shrew.net/software. Это то, что мы использовали до того, как Cisco решила 64-битную проблему со своим клиентом.
Возможно, в Windows используется другое шифрование.
Вы настроили VPN с помощью 3DES-MD5 или 3DES-SHA?
Просто убедитесь, что это то, что использует Windows.
крипто-ipsec transform-set myset esp-3des esp-sha-hmac
крипто-ipsec transform-set myset mode transport
крипто-динамическая карта mydynamapp 20 набор преобразований myset
крипто isakmp policy 10 аутентификация pre-share шифрование 3des hash sha group 2
туннельная группа DefaultRAGroup ppp-attributes без аутентификации аутентификация главы ms-chap-v2
имя пользователя пароль cisco cisco chap имя пользователя атрибуты cisco
оставьте другую конфигурацию минимальной, она должна работать.