Einführung
In diesem Dokument wird beschrieben, wie Sie die Cisco Adaptive Security Appliance (ASA) konfigurieren, um eine Remote-VPN-Clientverbindung von einer Lan-zu-Lan-Peer-Adresse (L2L) zuzulassen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie sich mit diesen Themen auskennen:
- Cisco ASA
- Remotezugriffs-VPNs
- LAN-zu-LAN-VPNs
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der Cisco ASA der Serie 5520, auf der die Softwareversion 8.4 (7) ausgeführt wird.
Die Informationen in diesem Dokument wurden aus den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte begannen mit einer gelöschten (Standard-) Konfiguration. Wenn Ihr Netzwerk aktiv ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
Obwohl es nicht üblich ist, dass ein VPN-Client versucht, eine Verbindung über einen L2L-Tunnel herzustellen, möchten Administratoren bestimmten Remotebenutzern möglicherweise bestimmte Berechtigungen oder Zugriffsbeschränkungen zuweisen und sie anweisen, den Software-Client zu verwenden, wenn der Zugriff auf diese Ressourcen erforderlich ist.
Hinweis: Dieses Szenario hat in der Vergangenheit funktioniert, aber nach einem Upgrade der Headend-ASA auf Version 8.4(6) oder höher kann der VPN-Client die Verbindung nicht mehr herstellen.
Cisco Bug ID CSCuc75090 führte eine Verhaltensänderung ein. Wenn der IPSec-Proxy (Internet Protocol Security) beim privaten Internet Exchange (PIX) zuvor nicht mit einer Crypto-Map-Zugriffssteuerungsliste (ACL) übereinstimmte, überprüfte er weiterhin Einträge weiter unten in der Liste. Dies beinhaltete Übereinstimmungen mit einer dynamischen Kryptokarte ohne angegebenen Peer.
Dies wurde als Sicherheitsanfälligkeit angesehen, da Remoteadministratoren Zugriff auf Ressourcen erhalten konnten, die der Headend-Administrator bei der Konfiguration des statischen L2L nicht beabsichtigt hatte.
Es wurde ein Fix erstellt, der eine Prüfung hinzufügte, um Übereinstimmungen mit einem Kryptokarteneintrag ohne Peer zu verhindern, wenn bereits ein Karteneintrag überprüft wurde, der mit dem Peer übereinstimmt. Dies wirkte sich jedoch auf das in diesem Dokument diskutierte Szenario aus. Insbesondere kann ein Remote-VPN-Client, der versucht, eine Verbindung von einer L2L-Peer-Adresse herzustellen, keine Verbindung zum Headend herstellen.
Konfigurieren
Verwenden Sie diesen Abschnitt, um die ASA so zu konfigurieren, dass eine Remote-VPN-Clientverbindung von einer L2L-Peer-Adresse aus zulässig ist.
Neuen dynamischen Eintrag hinzufügen
Um Remote-VPN-Verbindungen von L2L-Peer-Adressen zuzulassen, müssen Sie einen neuen dynamischen Eintrag hinzufügen, der dieselbe Peer-IP-Adresse enthält.
Hinweis: Sie müssen auch einen anderen dynamischen Eintrag ohne Peer hinterlassen, damit jeder Client aus dem Internet ebenfalls eine Verbindung herstellen kann.
Hier ist ein Beispiel für die vorherige dynamische Crypto-Map-Arbeitskonfiguration:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
Hier ist die dynamische Crypto-Map-Konfiguration mit dem neuen dynamischen Eintrag konfiguriert:
crypto dynamic-map ra-dyn-map 10 set ikev1 transform-set ESP-AES-128-SHA
crypto dynamic-map ra-dyn-map 10 set peer 209.165.201.1
crypto dynamic-map ra-dyn-map 20 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 match address outside_cryptomap_1
crypto map outside_map 1 set peer 209.165.201.1
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic ra-dyn-map
Verify
Für diese Konfiguration ist derzeit kein Verifizierungsverfahren verfügbar.
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.