web-dev-qa-db-ja.com

これは、ASA 8.4のリモートアクセスVPNの正しい設定ですか?

初めてリモートアクセスVPNを8.3/8.4に設定したので、NATとVPNコマンドは私にとって少し異なります。

以下は、VPN構成と対応するNAT to NO NAT IPスペースです。誰かがそれを調べて、不足している場合はお知らせください。ネットワークは192.0.0.0/ 24 haであり、タイプミスではありません。

crypto ikev1 enable outside

crypto ikev1 policy 10
encryption 3des
authentication pre-share
hash sha

access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
access-list SPLIT-TUNNEL-VPN standard permit 192.0.0.0 255.255.255.0

group-policy REMOTE-VPN-GP internal
group-policy REMOTE-VPN-GP attributes
vpn-tunnel-protocol ikev1
address-pools value REMOTE-VPN-POOL
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL-VPN
dns-server value 192.0.0.201

tunnel-group REMOTE-VPN-TG type remote-access
tunnel-group REMOTE-VPN-TG general-attributes
default-group-policy REMOTE-VPN-GP
authentication-server-group LOCAL

tunnel-group REMOTE-VPN-TG ipsec-attributes
ikev1 pre-shared-key **********

ip local pool REMOTE-VPN-POOL 192.0.1.1-192.0.1.100 mask 255.255.255.0

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map OUTSIDE-DYNMAP 65535 set ikev1 transform-set ESP-3DES-SHA

crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic OUTSIDE-DYNMAP
crypto map OUTSIDE_MAP interface outside

//いいえNATサブネット

object network INSIDE_LAN
subnet 192.0.0.0 255.255.255.0

object network VPN_LAN
subnet 192.0.1.0 255.255.255.0

nat (inside,outside) source static INSIDE_LAN INSIDE_LAN  destination static VPN_LAN VPN_LAN

または、これをNATなしで実行しますか?

nat (inside,outside) 1 source static any any destination static VPN_LAN VPN_LAN

私のNATは現在次のように設定されています:

object network LAN_NAT
subnet 192.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
vpnconfigurationnatcisco-asa
1
evolvd

192.0.0.0/24内部インターフェイス/ LANの場合、192.0.1.0/24とは何ですか?

VPN_LANサブネットに192.0.1.0/24のオブジェクト名を付けましたか?ただし、リモートアクセスVPNアドレスプールを10.1.2.140-10.1.2.145として定義します。クライアントVPNアダプターに割り当てられるアドレスは、10.1.2.140-10.1.2.145の範囲になります。

192.0.1.0/24は不要であり、inside192.0.0.0/24であり、VPNクライアントアダプターのIPは10.1.2.140-10.1.2.145プールから取得されると想定します-これを10.1.2.0/ 24にしたいだけかもしれませんが、既存のプールを引き続き使用します。

insideアウトバウンドダイナミックインターフェイスPAT設定は、次のように設定できます。動的インターフェイスPATをLAN_NATオブジェクトで直接定義できる場合は、別のINSIDE_LANオブジェクトを作成しました。これらは構成の2つの異なる部分(サブネット定義とオブジェクトNAT)に表示されますが、(および可能です) )同じオブジェクトでまだ定義されています。

object network INSIDE_LAN
 subnet 192.0.0.0 255.255.255.0
 nat (inside,outside) dynamic interface

以下は、プールであるIPブロックを表す作成されたネットワークオブジェクトです。 ip local poolであるため、プール自体を再定義しません。

object network RAVPN_POOL
 subnet 10.1.2.0 255.255.255.0   ! adjust this and pool itself to meet needs

ID NAT(natなし)を次のように構成します-オブジェクトではなく、2回のNATです。

nat (inside,outside) source INSIDE_LAN INSIDE_LAN destination static RAVPN_POOL RAVPN_POOL description [[ Inside to RA Identity NAT ]]

セットアップを理解していると仮定すると、LAN_NATオブジェクトとVPN_LANオブジェクト、および192.0.1.0/24ACLのSPLIT-TUNNEL-VPNエントリを削除できます。

no access-list SPLIT-TUNNEL-VPN standard permit 192.0.1.0 255.255.255.0
no object network LAN_NAT
no object network VPN_LAN

P1/IKEポリシーでも考慮すべき追加事項がいくつかあります。P2を3DES/SHAとして定義している場合、P1の3DES/MD5は問題ありませんが、少し奇妙です。

1
Weaver