Я пытаюсь работать с другой стороной, чтобы настроить IPsec VPN между нами и ими. Мы находимся за NAT, поэтому нужно, чтобы их Cisco (ASA 5510 на IOS 9.1.7) совпадала с нашим идентификатором IKE (идентификатор ключа на языке Cisco). Проблема в том, что другая сторона заявила, что они могут активировать идентификатор ключа только на глобальном уровне, а не на уровне туннеля, поэтому они не могут этого сделать из-за воздействия на другие VPN.
Это правильно, соответствие идентификатора ключа - это все или ничего? Если он включен, он используется для всех туннелей, а не только для тех, которые в нем нуждаются? Единственная литература, которую я нашел об этом, - из Сама Cisco и, похоже, подразумевает глобальную область действия, но я не эксперт в конфигурации Cisco, поэтому этот вопрос.
Чтобы изменить метод идентификации однорангового узла, введите следующую команду:
крипто-идентификатор isakmp {адрес | имя хоста | идентификатор-ключ-строка | авто}
Есть ли другие альтернативы для правильного сопоставления туннеля IPsec, когда мы подключены к NAT? Мы ограничены IPsec и IKEv1 с помощью PSK. К сожалению, сертификаты не подходят.
В предоставленной вами документации говорится следующее:
«Устройство безопасности использует идентификатор фазы I для отправки одноранговому узлу. Это верно для всех сценариев VPN, кроме соединений LAN-LAN в основном режиме, которые аутентифицируются с помощью предварительных ключей».
Вместо аутентификации по идентификатору ключа я бы использовал Pre-Shared-Keys. Заменить x.x.x.x с вашим всемирно известным IP. z.z.z.z будет их всемирно известный адрес.
Удаленный код ASA будет выглядеть примерно так:
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
ikev1 pre-shared-key 0 secretp@ssw0rd
Если у вас есть маршрутизатор Cisco IOS, ваш код может выглядеть примерно так:
crypto isakmp key 0 secretp@ssw0rd address z.z.z.z
key 0 или pre-shared-key 0 означает, что следующий PSK не зашифрован. Это не уникальное значение, которое должно быть одинаковым с обеих сторон туннеля.