2024-07-18 04:09 PM 2024-07-28 11:57 AM 更新
本ドキュメントは、Identity Services Engine(ISE)とActive Directory(AD)サーバーを用いて、ASAにおける L2TP over IPsec (IKEv1) のVPN認証の設定例と動作確認方法について説明します。本ドキュメントは、Identity Services Engine Virtual 3.3 Patch 1、Adaptive Security Virtual Appliance 9.20(2)21、Adaptive Security Device Manager 7.20(2)、Windows 10にて確認、作成をしております。
「Wizards > VPN Wizards」に移動し、「IPSEC (IKEv1) Remote Access VPN Wizard」ボタンをクリックします。
VPNトンネルインターフェースの情報を入力します。
「Microsoft Windows client using L2TP over IPsec」をVPN クライアントタイプとして選択します。
Authentication方法として「Pre-shared key」を選択します。
クライアント Authentication 方法として「Authenticate using an AAA server group」を選択し、AAA Server Groupの情報を入力します。
リモートVPNクライアント用の新しいアドレスプールを追加します。
DNSサーバーとドメイン名の情報を入力します。
本ドキュメントではNAT免除を利用しませんが、ASAの対象インタフェースでNATが有効になっている場合、VPNトラフィックをNATから免除する必要があります。
ASDMでの設定を完了させるために「Finish」ボタンをクリックします。
ASDMでの設定内容をASAにApplyした後、ASAのCLIで、l2tp VPNの設定内容を確認します。
// Defines a pool of addresses
ip local pool vpn-l2tp-pool 172.16.1.80-172.16.1.90 mask 255.255.255.0
// Defines radius server
aaa-server radius-grp-l2tp protocol radius
aaa-server radius-grp-l2tp (inside) host 1.x.x.191
timeout 5
key cisco123
// Defines transform sets that IKEv1 can use
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
// Configures the crypto map to use the IKEv1 transform-sets
crypto ikev1 enable outside
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 300 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-DES-SHA ESP-AES-128-SHA-TRANS ESP-AES-192-SHA-TRANS ESP-AES-256-SHA-TRANS ESP-DES-SHA-TRANS
// IKEv1 Policies
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 14
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 14
lifetime 86400
crypto ikev1 policy 40
authentication pre-share
encryption aes-192
hash sha
group 14
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 14
lifetime 86400
crypto ikev1 policy 70
authentication pre-share
encryption aes
hash sha
group 14
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 14
lifetime 86400
// Configures the group-policy to allow l2tp connections and defines which Anyconnect profile for the user
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 1.x.x.57
vpn-tunnel-protocol l2tp-ipsec
default-domain value ad.rem-xxx.com
// Ties the pool of addressess to the vpn connection
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-l2tp-pool
authentication-server-group radius-grp-l2tp
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key cisco123
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
VPN認証用のユーザーを追加します。「Active Directory Users and Computers > Users」に移動し、vpnuser をドメインユーザーとして追加します。
追加したドメインユーザー(vpnuser)を「Domain Admins」と「Domain Users」のメンバーに追加します。
「Settings > Network & Internet > VPN」に移動し、「Add a VPN connection」ボタンをクリックします。
l2tp VPN接続用の情報を入力し、「Network and Internet > Network Connections」に移動し、Securityのタブで「Microsoft CHAP Version 2 (MS-CHAP v2)」をチェックします。
「Administration > Network Devices」に移動し、「Add」ボタンをクリックしてASAvデバイスを追加します。
「Administration > External Identity Sources > Active Directory」に移動し、「Connection」タブでActive Directoryを追加します。
「Groups」タブでドロップダウンリストから「Select Groups From Directory」を選択します。
「Retrieve Groups」をクリックしてから、ad.rem-xxx.com/Users/Domain Computers と ad.rem-xxx.com/Users/Domain Users をチェックして、「OK」をクリックします。
「Administration > Identity Source Sequences」に移動し、Identity Source Sequenceを追加します。
「Policy > Policy Sets」に移動し、「+」をクリックし、policy setを追加します。
「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthentication policyを追加します。
「Policy > Policy Sets」に移動し、「VPN_Test」をクリックし、policy setに新しいauthorization policyを追加します。
「Policy > Results > Default Network Access」に移動し、「Allow MS-CHAPv2」をチェックします。
エンドポイントで l2tp VPN 接続を実行し、ユーザー名とパスワードを入力します。VPN接続が成功したことを確認します。
「show vpn-sessiondb detail ra-ikev1-ipsec」コマンドを実行して、VPN セッションを確認します。
ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec
Session Type: IKEv1 IPsec Detailed
Username : vpnuser Index : 5
Assigned IP : 172.16.1.80 Public IP : 192.168.1.11
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsec: (1)AES128 L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 781 Bytes Rx : 21368
Pkts Tx : 20 Pkts Rx : 119
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DefaultRAGroup Tunnel Group : DefaultRAGroup
Login Time : 11:47:22 UTC Thu May 30 2024
Duration : 0h:00m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 01aa003d000050006658674a
Security Grp : none
IKEv1 Tunnels: 1
IPsec Tunnels: 1
L2TPOverIPsec Tunnels: 1
IKEv1:
Tunnel ID : 5.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 28800 Seconds Rekey Left(T): 28751 Seconds
D/H Group : 14
Filter Name :
IPsec:
Tunnel ID : 5.2
Local Addr : 192.168.1.1/255.255.255.255/17/1701
Remote Addr : 192.168.1.11/255.255.255.255/17/1701
Encryption : AES128 Hashing : SHA1
Encapsulation: Transport
Rekey Int (T): 3600 Seconds Rekey Left(T): 3596 Seconds
Rekey Int (D): 250000 K-Bytes Rekey Left(D): 250000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Bytes Tx : 781 Bytes Rx : 21608
Pkts Tx : 20 Pkts Rx : 121
L2TPOverIPsec:
Tunnel ID : 5.3
Username : vpnuser
Assigned IP : 172.16.1.80 Public IP : 192.168.1.11
Encryption : none Hashing : none
Auth Mode : msCHAPV2
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Microsoft
Client OS Ver: 10.0
Bytes Tx : 422 Bytes Rx : 16054
Pkts Tx : 15 Pkts Rx : 114
ASAのシステムログで、AAAユーザー認証が成功したことを確認します。
%ASA-5-713119: Group = DefaultRAGroup, IP = 192.168.1.11, PHASE 1 COMPLETED
%ASA-5-713120: Group = DefaultRAGroup, IP = 192.168.1.11, PHASE 2 COMPLETED (msgid=00000001)
%ASA-6-113004: AAA user authentication Successful : server = 1.x.x.191 : user = vpnuser
%ASA-6-603106: L2TP Tunnel created, tunnel_id is 5, remote_peer_ip is 192.168.1.11, ppp_virtual_interface_id is 1, client_dynamic_ip is 172.16.1.80, username is *****
ISE GUIの「Operations > RADIUS > Live Logs」に移動し、VPN認証のlive logを確認します。
VPN認証の詳細なログを確認します。
これらのデバッグログはASA側での認証において詳細な動作を確認するのに役立ちます。
Configure L2TP Over IPsec Between Windows 8 PC and ASA Using Pre-shared Key
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます