はじめに

本ドキュメントは、Identity Services Engine（ISE）とActive Directory（AD）サーバーを用いて、ASAにおける L2TP over IPsec (IKEv1) のVPN認証の設定例と動作確認方法について説明します。本ドキュメントは、Identity Services Engine Virtual 3.3 Patch 1、Adaptive Security Virtual Appliance 9.20(2)21、Adaptive Security Device Manager 7.20(2)、Windows 10にて確認、作成をしております。

 

 

構成例

本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。

本ドキュメントで使用しているドメイン「ad.rem-xxx.com」は、検証環境のテスト用のドメインです。

 

 

ASDM 側の設定

1. VPNウィザードのオープン

「Wizards > VPN Wizards」に移動し、「IPSEC (IKEv1) Remote Access VPN Wizard」ボタンをクリックします。

 

2. VPNトンネルインターフェースの設定

VPNトンネルインターフェースの情報を入力します。

• VPN Tunnel Interface : outside
• Priority : 300

 

3. VPN クライアントタイプの指定

「Microsoft Windows client using L2TP over IPsec」をVPN クライアントタイプとして選択します。

 

4. Authentication 方法の設定

Authentication方法として「Pre-shared key」を選択します。

 

5. クライアント Authentication 方法の設定

クライアント Authentication 方法として「Authenticate using an AAA server group」を選択し、AAA Server Groupの情報を入力します。

• Server Group Name : radius-grp-l2tp
• Authentication Protocol : RADIUS
• Server IP Address : 1.x.x.191
• Interface : inside

 

6. アドレスプールの設定

リモートVPNクライアント用の新しいアドレスプールを追加します。

• Name : vpn-l2tp-pool
• Starting IP Address : 172.16.1.80
• Ending IP Address : 172.16.1.90
• Subnet Mask : 255.255.255.0

 

7. DNS サーバーの設定

DNSサーバーとドメイン名の情報を入力します。

• Primary DNS Server : 1.x.x.57
• Default Domain Name : ad.rem-xxx.com

 

8. NAT 免除の設定

本ドキュメントではNAT免除を利用しませんが、ASAの対象インタフェースでNATが有効になっている場合、VPNトラフィックをNATから免除する必要があります。

 

9. 設定の確認と完了

ASDMでの設定を完了させるために「Finish」ボタンをクリックします。

 

10. ASA側での確認

ASDMでの設定内容をASAにApplyした後、ASAのCLIで、l2tp VPNの設定内容を確認します。

// Defines a pool of addresses
ip local pool vpn-l2tp-pool 172.16.1.80-172.16.1.90 mask 255.255.255.0

// Defines radius server
aaa-server radius-grp-l2tp protocol radius
aaa-server radius-grp-l2tp (inside) host 1.x.x.191
timeout 5
key cisco123

// Defines transform sets that IKEv1 can use
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport

// Configures the crypto map to use the IKEv1 transform-sets
crypto ikev1 enable outside
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 300 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-DES-SHA ESP-AES-128-SHA-TRANS ESP-AES-192-SHA-TRANS ESP-AES-256-SHA-TRANS ESP-DES-SHA-TRANS

// IKEv1 Policies
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 14
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 14
lifetime 86400
crypto ikev1 policy 40
authentication pre-share
encryption aes-192
hash sha
group 14
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 14
lifetime 86400
crypto ikev1 policy 70
authentication pre-share
encryption aes
hash sha
group 14
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 14
lifetime 86400

// Configures the group-policy to allow l2tp connections and defines which Anyconnect profile for the user
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 1.x.x.57
vpn-tunnel-protocol l2tp-ipsec
default-domain value ad.rem-xxx.com

// Ties the pool of addressess to the vpn connection
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-l2tp-pool
authentication-server-group radius-grp-l2tp
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key cisco123
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2

 

Windows サーバー側の設定

VPN認証用のユーザーを追加します。「Active Directory Users and Computers > Users」に移動し、vpnuser をドメインユーザーとして追加します。

追加したドメインユーザー（vpnuser）を「Domain Admins」と「Domain Users」のメンバーに追加します。

 

Windows PC側の設定

「Settings > Network & Internet > VPN」に移動し、「Add a VPN connection」ボタンをクリックします。

l2tp VPN接続用の情報を入力し、「Network and Internet > Network Connections」に移動し、Securityのタブで「Microsoft CHAP Version 2 (MS-CHAP v2)」をチェックします。

• VPN provider : Windows (built-in)
• Connection name : vpn-l2tp
• Server name or address : 192.168.1.1
• VPN type : L2TP/IPsec with pre-shared key

 

ISE側の設定

1. デバイスの追加

「Administration > Network Devices」に移動し、「Add」ボタンをクリックしてASAvデバイスを追加します。

• Name : ASAv
• IP Address : 1.x.x.61

 

2. Active Directoryの追加

「Administration > External Identity Sources > Active Directory」に移動し、「Connection」タブでActive Directoryを追加します。

• Join Point Name : AD_Join_Point
• Active Directory Domain : ad.rem-xxx.com

「Groups」タブでドロップダウンリストから「Select Groups From Directory」を選択します。

「Retrieve Groups」をクリックしてから、ad.rem-xxx.com/Users/Domain Computers と ad.rem-xxx.com/Users/Domain Users をチェックして、「OK」をクリックします。

 

3. Identity Source Sequencesの追加

「Administration > Identity Source Sequences」に移動し、Identity Source Sequenceを追加します。

• Name : Identity_AD
• Authentication Search List : AD_Join_Point

 

4. Policy Set の追加

「Policy > Policy Sets」に移動し、「+」をクリックし、policy setを追加します。

• Policy Set Name : VPN_Test
• Conditions : DEVICE Device Type EQUALS All Device Types
• Allowed Protocols / Server Sequence : Default Network Access

 

5. Authentication Policy の追加

「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthentication policyを追加します。

• Rule Name : VPN_Authentication
• Conditions : Network Access Device IP Address EQUALS 1.x.x.61
• Use : Identity_AD

 

6. Authorization Policy の追加

「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthorization policyを追加します。

• Rule Name : VPN_Authorization
• Conditions : Network_Access_Authentication_Passed
• Results : PermitAccess

 

7. 許可されたプロトコルの追加

「Policy > Results > Default Network Access」に移動し、「Allow MS-CHAPv2」をチェックします。

 

 

動作確認例

1. VPNの接続

エンドポイントで l2tp VPN 接続を実行し、ユーザー名とパスワードを入力します。VPN接続が成功したことを確認します。

 

2. VPN セッションの確認

「show vpn-sessiondb detail ra-ikev1-ipsec」コマンドを実行して、VPN セッションを確認します。

ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec

Session Type: IKEv1 IPsec Detailed

Username : vpnuser Index : 5
Assigned IP : 172.16.1.80 Public IP : 192.168.1.11
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsec: (1)AES128 L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 781 Bytes Rx : 21368
Pkts Tx : 20 Pkts Rx : 119
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DefaultRAGroup Tunnel Group : DefaultRAGroup
Login Time : 11:47:22 UTC Thu May 30 2024
Duration : 0h:00m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 01aa003d000050006658674a
Security Grp : none

IKEv1 Tunnels: 1
IPsec Tunnels: 1
L2TPOverIPsec Tunnels: 1

IKEv1:
Tunnel ID : 5.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 28800 Seconds Rekey Left(T): 28751 Seconds
D/H Group : 14
Filter Name :

IPsec:
Tunnel ID : 5.2
Local Addr : 192.168.1.1/255.255.255.255/17/1701
Remote Addr : 192.168.1.11/255.255.255.255/17/1701
Encryption : AES128 Hashing : SHA1
Encapsulation: Transport
Rekey Int (T): 3600 Seconds Rekey Left(T): 3596 Seconds
Rekey Int (D): 250000 K-Bytes Rekey Left(D): 250000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Bytes Tx : 781 Bytes Rx : 21608
Pkts Tx : 20 Pkts Rx : 121

L2TPOverIPsec:
Tunnel ID : 5.3
Username : vpnuser
Assigned IP : 172.16.1.80 Public IP : 192.168.1.11
Encryption : none Hashing : none
Auth Mode : msCHAPV2
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Microsoft
Client OS Ver: 10.0
Bytes Tx : 422 Bytes Rx : 16054
Pkts Tx : 15 Pkts Rx : 114

 

3. ASA システムログの確認

ASAのシステムログで、AAAユーザー認証が成功したことを確認します。

%ASA-5-713119: Group = DefaultRAGroup, IP = 192.168.1.11, PHASE 1 COMPLETED
%ASA-5-713120: Group = DefaultRAGroup, IP = 192.168.1.11, PHASE 2 COMPLETED (msgid=00000001)
%ASA-6-113004: AAA user authentication Successful : server = 1.x.x.191 : user = vpnuser
%ASA-6-603106: L2TP Tunnel created, tunnel_id is 5, remote_peer_ip is 192.168.1.11, ppp_virtual_interface_id is 1, client_dynamic_ip is 172.16.1.80, username is *****

 

4. Radius Live Log の確認

ISE GUIの「Operations > RADIUS > Live Logs」に移動し、VPN認証のlive logを確認します。

VPN認証の詳細なログを確認します。

 

 

トラブルシューティング

これらのデバッグログはASA側での認証において詳細な動作を確認するのに役立ちます。

• debug crypto ikev1 127
• debug crypto ipsec 127
• debug crypto ike-common 127
• debug l2tp packet 127
• debug l2tp event 127
• debug l2tp error 127
• debug l2tp data 127

 

 

参考情報

Configure L2TP Over IPsec Between Windows 8 PC and ASA Using Pre-shared Key