Configuración L2TP sobre el IPSec entreWindows 8 PC y ASA usando la clavepreviamente compartida Contenido

IntroducciónprerrequisitosRequisitosRestriccionesComponentes UtilizadosConvencionesAntecedentesConfigurarDiagrama de la redConfiguración del túnel completaConfiguración ASA usando el Administrador de dispositivos de seguridad adaptante (ASDM)Configuración ASA usando el CLIConfiguración del cliente de Windows 8 L2TP/IPsecConfiguración del túnel divididoConfiguración en el ASAConfiguración en el cliente L2TP/IPsecVerificaciónTroubleshootingInformación Relacionada

Introducción

Este documento describe cómo configurar el Protocolo de tunelización de la capa 2 (L2TP) porIPSec usando la clave previamente compartida entre el cliente original adaptante del dispositivode seguridad (ASA) y de Windows 8 de Cisco.

El L2TP sobre la seguridad de protocolos en Internet (IPSec) proporciona la capacidad paradesplegar y para administrar una solución del Red privada virtual (VPN) L2TP junto al IPSec VPNy los servicios del Firewall en una plataforma única.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Conectividad del IP de la máquina del cliente al ASA. Para probar la Conectividad, intente●

hacer ping la dirección IP del ASA del punto final del cliente y vice versaAsegúrese de que el puerto 500 y 4500 y protocolo UDP del Encapsulating Security Payload(ESP) no esté bloqueado dondequiera a lo largo de la trayectoria de la conexión

●

  

Restricciones

L2TP sobre los soportes para IPSec solamente IKEv1. IKEv2 no se soporta.●

El L2TP con el IPSec en el ASA permite que el LNS interopere con los clientes VPN nativosintegrados en los sistemas operativos tales como Windows, MAC OS X, el androide, y elCisco IOS. Solamente el L2TP con el IPSec se soporta, L2TP nativo sí mismo no se soportaen el ASA.

●

El curso de la vida mínimo de la asociación de seguridad IPSec soportado por el cliente deWindows es 300 segundos. Si el curso de la vida en el ASA se fija a menos de 300 segundos,el cliente de Windows lo ignora y lo substituye por un segundo curso de la vida 300.

●

El ASA soporta solamente el protocolo password authentication de las autenticaciones delPoint-to-Point Protocol (PPP) (PAP) y Microsoft Challenge Handshake Authentication Protocol(GRIETA), las versiones 1 y 2, en la base de datos local. El Protocolo de AutenticaciónExtensible (EAP) y la GRIETA son realizados por los servidores de la autenticación derepresentación. Por lo tanto, si un usuario remoto pertenece a un grupo de túnel configuradocon el EAP-proxy de la autenticación o los comandos chap de la autenticación, y el ASA seconfigura para utilizar la base de datos local, que el usuario no puede conectar.

●

Tipos soportados de la autenticación PPP

L2TP sobre las conexiones del IPSec en el soporte ASA solamente los tipos de la autenticaciónPPP mostrados en la tabla 

        Tipos del soporte y de la autenticación PPP del servidor de AAATipo de servidor de AAA Tipos soportados de la autenticación PPP

LOCAL PAP, MSCHAPv1, MSCHAPv2RADIUS PAP, GRIETA, MSCHAPv1, MSCHAPv2, EAP-proxy

TACACS+ PAP, GRIETA, MSCHAPv1LDAP PAP

NT PAPKerberos PAP

SDI SDICaracterísticas del tipo de la autenticación PPP

Palabraclave

Tipo deautenticación Características

grieta GRIETAEn respuesta al desafío del servidor, el cliente vuelve el [challenge pluspassword] cifrado con un nombre de usuario del texto claro. Este protocolo esmás seguro que el PAP, pero no cifra los datos.

EAP-proxy EAP Habilita el EAP que permite el dispositivo de seguridad al proxy el proceso deautenticación PPP a un servidor de autenticación de RADIUS externo.

ms-chap-v1ms-chap-v2

MicrosoftCHAP,

versión 1MicrosoftCHAP,

versión, 2

Similar PARA AGRIETAR pero más seguro en eso que el servidor salva y quecompara solamente las contraseñas encriptadas bastante que lascontraseñas de texto sin cifrar como en la GRIETA. Este protocolo tambiéngenera una clave para la encripción de datos por el MPPE.

pap PAP Pasa el nombre de usuario y contraseña del texto claro durante laautenticación y no es seguro.

Componentes Utilizados

    

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Cisco 5515 Series ASA que funcionan con la versión de software 9.4(1)●

Cliente del L2TP/IPSec (Windows 8)●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúresede que usted entienda el impacto potencial del comando any.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad de las 5500 Series deCisco ASA 8.3(1) o más adelante.

Convenciones

Refiera a los convenios de los consejos técnicos de Cisco para más información sobre lasconvenciones sobre documentos

Antecedentes

El protocolo Layer 2 Tunneling Protocol (L2TP) es un Tunneling Protocol VPN que permite que losclientes remotos utilicen la red IP pública para comunicar con seguridad con los servidores de redcorporativa privada. El L2TP utiliza el PPP sobre UDP (puerto 1701) para hacer un túnel losdatos.

El protocolo L2TP se basa en el modelo cliente/servidor. La función se divide entre el L2TPNetwork Server (LNS), y el L2TP Access Concentrator (LAC). El LNS se ejecuta típicamente enun gateway de la red tal como el ASA en este caso, mientras que el LAC puede ser servidor deacceso de la red de dial up (NAS) o un dispositivo de punto final con un cliente unido L2TP talcomo Microsoft Windows, iPhone de Apple, o Android.

Configurar

Esta sección se presenta con la información para configurar las características descritas en estedocumento.

Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) paraencontrar más información sobre los comandos usados en este documento.

Nota: Los esquemas de direccionamiento IP usados en esta configuración no sonlegalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en unentorno de laboratorio.

Diagrama de la red

Configuración del túnel completa

Configuración ASA usando el Administrador de dispositivos de seguridad adaptante (ASDM)

Complete estos pasos:

Paso 1. Inicie sesión al ASDM, y navegue a los Asisitente > a los Asistentes VPN > al Asisitentedel VPN de acceso remoto del IPSec (IKEv1).

Paso 2. Una ventana de la configuración del VPN de acceso remoto aparece. De la listadesplegable, elija la interfaz en la cual el túnel VPN tiene que ser terminado. En este ejemplo lainterfaz exterior está conectada con WAN y tan terminando el VPN los túneles en estointerconectan. Guarde las sesiones del permiso del cuadro IPSec entrante para desviar las Listasde acceso de la interfaz. Agrupe la directiva y por usuario las Listas de acceso de la autorizacióntodavía se aplican al tráfico marcado de modo que la nueva lista de acceso no necesite serconfigurada en la interfaz exterior para permitir que los clientes accedan a los recursos internos.Haga clic en Next (Siguiente).

Paso 3. Como showin en esta imagen, elija el tipo de cliente como cliente de Microsoft Windowsque usa el L2TP sobre el IPSec y MS-CHAP-V1 y MS-CHAP-V2 como protocolo de autenticaciónPPP puesto que el PAP no es seguro y no soportan con la base de datos local como servidor deautenticación y hacen clic a otros tipos de autenticación después.

Paso 4. Elija el método de autentificación como clave previamente compartida y teclee la clavepreviamente compartida que debe ser lo mismo en el lado del cliente también y hacer clicdespués, tal y como se muestra en de esta imagen.

Paso 5. Especifique un método para autenticar a los usuarios que intentan el L2TP sobre lasconexiones del IPSec. Un servidor externo de la autenticación AAA o su propia base de datoslocal puede ser utilizado. Elija autentican usando la base de datos de usuarios locales si ustedquiere autenticar a los clientes contra la base de datos local del ASA y hacer clic después.

Nota: Refiera por favor la autenticación de RADIUS de la configuración para que losusuarios de VPN autentiquen a los usuarios que usan al servidor de AAA externo.

Paso 6. Para agregar a los usuarios nuevos a la base de datos local para la autenticación deusuario, ingrese el nombre de usuario y contraseña y después haga clic AGREGAN o bien lascuentas de usuario existentes en la base de datos se pueden utilizar, tal y como se muestra en deesta imagen. Haga clic en Next (Siguiente).

Paso 7. De la lista desplegable, elija a la agrupación de direcciones que se utilizará para asignarla dirección IP a los clientes. Para crear a la nueva agrupación de direcciones, haga clic nuevo, taly como se muestra en de esta imagen.

Paso 8. El cuadro de diálogo del pool del IPv4 del agregar aparece.

Ingrese el nombre del nuevo pool de dirección IP.1.Ingrese las direcciones IP de inicio y de finalización.2.Ingrese la máscara de subred y haga clic en Aceptar.3.

Paso 9. Verifique las configuraciones del pool y haga clic después.

Paso 10. Configure los atributos que se avanzarán a los clientes o deje los vacío y el tecleodespués.

Paso 11: Asegúrese de que el cuadro perfecto del secreto de la expedición del permiso (PFS)esté desmarcado pues algunas plataformas del cliente no soportan esta característica. El Túneldividido del permiso para dejar a los usuarios remotos tener acceso encriptado simultáneo a losrecursos definidos arriba, y el acceso unencrypted al cuadro de Internet se desmarca que significaque el Tunelización lleno está habilitado en el cual todo el tráfico (tráfico de Internet incluyendo)de la máquina del cliente será enviado al ASA sobre el túnel VPN. Haga clic en Next (Siguiente).

Paso 12. Revise la información de resumen y entonces el clic en Finalizar.

Configuración ASA usando el CLI

Paso 1. Parámetros de la directiva de la fase 1 de la configuración IKE.

Esta directiva se utiliza para proteger el tráfico de control entre los pares (es decir, protege laclave previamente compartida y las negociaciones de la fase 2)

ciscoasa(config)#crypto ikev1 policy 10

ciscoasa(config-ikev1-policy)#authentication pre-share

ciscoasa(config-ikev1-policy)#encryption 3des

ciscoasa(config-ikev1-policy)#hash sha

ciscoasa(config-ikev1-policy)#group 2

ciscoasa(config-ikev1-policy)#lifetime 86400

ciscoasa(config-ikev1-policy)#exitPaso 2. Transforme el conjunto de la configuración.

Contiene los parámetros de la directiva de la fase 2 IKE que se utilizan para proteger el tráfico dedatos. Puesto que el cliente de Windows L2TP/IPsec utiliza al modo de transporte de IPSec, fije elmodo para transportar. El valor por defecto es modo túnel

ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac

ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transportPaso 3. Mapa dinámico de la configuración.

Mientras que los clientes de Windows consiguen el fron ISP del IP Address dinámico o al servidorDHCP local (módem del ejemplo), el ASA no es consciente sobre el IP Address de Peer y ésteplantea un problema en la configuración de un peer estático en el extremo ASA. La configuración

de criptografía tan dinámica tiene que ser acercada en la cual todos los parámetros no se definennecesariamente y los parámetros que falta son dinámicamente doctos posterior, como resultadodel IPSec Negotiation del cliente.

ciscoasa(config)#crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-

SHAPaso 4. Ate el mapa dinámico a la correspondencia de criptografía estática y aplique la correspondencia de criptografía y habilite IKEv1 en la interfaz exterior

La correspondencia cifrada dinámica no se puede aplicar en una interfaz y así que átela a lacorrespondencia de criptografía estática. Los conjuntos crypto dinámicos deben ser lascorrespondencias de criptografía de la prioridad más baja de la correspondencia de criptografíafijada (es decir, deben tener los números de secuencia más altos) de modo que el ASA evalúeotras correspondencias de criptografía primero. Examina la correspondencia cifrada dinámicafijada solamente cuando las otras entradas de mapeo (de los parásitos atmosféricos) no hacenjuego.

ciscoasa(config)#crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

ciscoasa(config)#crypto map outside_map interface outside

ciscoasa(config)#crypto ikev1 enable outsidePaso 5. Cree el pool de la dirección IP

Cree a una agrupación de direcciones de quien los IP Addresses se asignen dinámicamente a losclientes VPN remotos. Ignore este paso para utilizar el pool existente en el ASA.

ciscoasa(config)#ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0Paso 6. Grupo-directiva de la configuración

Identifique la directiva del grupo mientras que interno que significa los atributos se tira de la basede datos local.

ciscoasa(config)#group-policy L2TP-VPN internal

Nota: Las conexiones L2TP/IPsec se pueden configurar con la directiva del grupopredeterminado (DfltGrpPolicy) o una directiva definida por el usario del grupo. En amboscasos, la directiva del grupo se debe configurar para utilizar el Tunneling ProtocolL2TP/IPsec. la configuración l2tp-ipsec en el atributo del protocolo VPN en la grupo-directivapredeterminada que conseguirá heredó a la directiva definida por el usario del grupo si elatributo del VPN-protocolo no se configura en él.

Configure los atributos tales como Tunnel Protocol del vpn (en nuestro caso, es l2tp-ipsec),Domain Name, DNS y GANA el dirección IP del servidor y las cuentas de usuario nuevo

ciscoasa(config)#group-policy L2TP-VPN attributes

ciscoasa(config-group-policy)#dns-server value 8.8.8.8 4.4.4.2

ciscoasa(config-group-policy)#vpn-tunnel-protocol l2tp-ipsec

ciscoasa(config-group-policy)#default-domain value cisco.com

Configure los nombres de usuario y contraseña en el dispositivo además de usar el AAA. Si elusuario es un cliente L2TP que utiliza la versión 1 o la versión 2 del Microsoft CHAP, y el ASA seconfigura para autenticar contra la base de datos local, la palabra clave del mschap debe serincluida. Por ejemplo, mschap del <password> de la contraseña del <username> del nombre deusuario.

ciscoasa(config-group-policy)# username test password test mschapPaso 7. Grupo de túnel de la configuración

Cree a un grupo de túnel con el comando del grupo de túnel, y especifique el nombre del pool de

la dirección local usado para afectar un aparato la dirección IP al cliente. Si el método deautentificación es clave previamente compartida, el nombre de grupo de túnel debe serDefaultRAGroup pues no hay opción en el cliente para especificar al grupo de túnel y aterriza tanen el grupo de túnel predeterminado solamente. Ate la directiva del grupo al grupo de túnel queusa el comando de la valor por defecto-grupo-directiva

ciscoasa(config)#tunnel-group DefaultRAGroup general-attributes

ciscoasa(config-tunnel-general)#address-pool Address-pool

ciscoasa(config-tunnel-general)#default-group-policy L2TP-VPN

ciscoasa(config-tunnel-general)#exit

Nota: El perfil de la conexión predeterminado (grupo de túnel), DefaultRAGroup tiene queser configurado, si se realiza la autenticación basada clave previamente compartida. Si serealiza la autenticación basada en el certificado, un perfil de la conexión definido por elusario se puede elegir basó en los identificadores del certificado

Utilice al grupo de túnel que los IPSec-atributos ordenan para ingresar al modo de configuracióndel IPSec-atributo para fijar la clave previamente compartida.

ciscoasa(config)# tunnel-group DefaultRAGroup ipsec-attributes

ciscoasa(config-tunnel-ipsec)#  ikev1 pre-shared-key C!sc0@123

ciscoasa(config-tunnel-ipsec)#exit

Configure el protocolo de autenticación PPP con el comando del tipo de autenticación del modode los PPP-atributos del grupo de túnel. Inhabilite la GRIETA que se habilita por abandono puesno se soporta si configuran al servidor de AAA como base de datos local.

ciscoasa(config)#tunnel-group DefaultRAGroup ppp-attributes

ciscoasa(config-ppp)#no authentication chap

ciscoasa(config-ppp)#authentication ms-chap-v2

ciscoasa(config-ppp)#exitPaso 8. Exención de NAT de la configuración

Configure la exención de NAT de modo que los clientes puedan acceder a los recursos internosconectados con las interfaces internas (en este ejemplo, los recursos internos están conectadoscon la interfaz interior).

ciscoasa(config)#object network L2TP-Pool

ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0

ciscoasa(config-network-object)#exit

ciscoasa(config)# nat (inside,outside) source static any any destination static L2TP-Pool L2TP-

Pool no-proxy-arp route-lookupEjemplo de Configuración Completo

crypto ikev1 policy 10

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

exit

crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport

crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map interface outside

crypto ikev1 enable outside

ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0

group-policy L2TP-VPN internal

group-policy L2TP-VPN attributes

vpn-tunnel-protocol l2tp-ipsec

default-domain value cisco.com

username test password test mschap

exit

tunnel-group DefaultRAGroup general-attributes

address-pool Address-pool

default-group-policy L2TP-VPN

exit

tunnel-group DefaultRAGroup ipsec-attributes

ikev1 pre-shared-key C!sc0@123

exit

tunnel-group DefaultRAGroup ppp-attributes

no authentication chap

authentication ms-chap-v2

exit

object network L2TP-Pool

subnet 192.168.1.0 255.255.255.0

exit

nat(inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp

route-lookup

Configuración del cliente de Windows 8 L2TP/IPsec

1. Abra el panel de control y seleccione la red y centro de la distribución.

2. Elija configura una nueva conexión o una opción de red.

3. Elija conectan con una opción del lugar de trabajo y hacen clic después.

uso 4.Click mi opción de la conexión de Internet (VPN).

5. Ingrese el IP Address de la interfaz de WAN o del FQDN ASA y cualquier nombre para eladaptador VPN que está localmente - significativo y tecleo cree.

6. En la red y el centro de la distribución, elija la opción Settings del adaptador del cambio en elpanel izquierdo de la ventana.

7. Haga clic con el botón derecho del ratón el adapterfor recientemente creado L2TP VPN y elijalas propiedades.

8. Navegue a la ficha de seguridad, elija el tipo de VPN mientras que protocolo Layer 2 TunnelingProtocol con el IPSec (L2TP/IPsec) y después haga clic en las configuraciones avanzadas.

9. Ingrese la clave del preshared como lo mismo mencionada en el grupo de túnelDefaultRAGroup y haga clic la AUTORIZACIÓN. En este ejemplo, C!sc0@123 se utiliza como laclave previamente compartida.

10. Elija el método de autentificación como permiten estos protocolos y asegúrese de quesolamente checkbox el “del Microsoft CHAP versión 2 (v2 MS-CHAP) está marcado y haga clic laAUTORIZACIÓN.

11. Bajo conexiones de red, haga clic con el botón derecho del ratón en el adaptador VPN L2TP yelija conectan/desconexión.

12. El icono de las redes surgirá y el tecleo conecta en la conexión VPN L2TP.

13. Ingrese los credenciales de usuario y haga clic la AUTORIZACIÓN.

Si los parámetros obligatorios se corresponden con en ambos los extremos, la conexiónL2TP/IPsec será establecida.

Configuración del túnel dividido

La tunelización dividida es una característica que usted puede utilizar para definir el tráfico paralas subredes o los host que deben ser cifrados. Esto implica la configuración de una lista decontrol de acceso (ACL) que se asocie a esta característica. El tráfico para las subredes o loshost que se define en este ACL consigue cifrado sobre el túnel del extremo del cliente, y las rutaspara estas subredes está instalado en la tabla de ruteo PC. El ASA intercepta el mensajeDHCPINFORM de un cliente y responde con la máscara de subred, el Domain Name, y las Staticrutas sin clase.

Configuración en el ASA

ciscoasa(config)# access-list SPLIT standard permit 10.1.1.0 255.255.255.0

ciscoasa(config)# group-policy DefaultRAGroup attributes

ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified

ciscoasa(config-group-policy)# split-tunnel-network-list value SPLIT

ciscoasa(config-group-policy)# intercept-dhcp 255.255.255.255 enable

Configuración en el cliente L2TP/IPsec

1. Haga clic con el botón derecho del ratón en el adaptador VPN L2TP y elija las propiedades.

2. Navegue a la ficha de interconexión de redes, elija la versión 4 (TCP/IPv4) del protocolo deInternet y después haga clic en las propiedades.

3. Haga clic la opción avanzada.

 4. Desmarque el default gateway del uso en la opción de la red remota y haga clic laAUTORIZACIÓN.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Nota: La herramienta del Output Interpreter (clientes registrados solamente) apoya losciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis dela salida del comando show.

muestre ikev1 crypto sa - Muestra todo el IKE actual SA en un par.●

ciscoasa# show crypto ikev1 sa

IKEv1 SAs:

  Active SA: 1

   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

Total IKE SA: 1

1   IKE Peer: 10.1.1.2

   Type    : user            Role    : responder

   Rekey   : no              State   : MM_ACTIVE

muestre IPSec crypto sa - Muestra todo el SA de IPSec actual en un par.●

ciscoasa# show crypto ipsec sa

interface: outside

   Crypto map tag: outside_dyn_map, seq num: 10, local addr: 172.16.1.2

     local ident (addr/mask/prot/port): (172.16.1.2/255.255.255.255/ 17/1701)     remote ident (addr/mask/prot/port): (10.1.1.2/255.255.255.255/ 17/1701)     current_peer: 10.1.1.2, username: test

     dynamic allocated peer ip: 192.168.1.1

     dynamic allocated peer ip(ipv6): 0.0.0.0

     #pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29

      #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118

     #pkts compressed: 0, #pkts decompressed: 0

     #pkts not compressed: 29, #pkts comp failed: 0, #pkts decomp failed: 0

     #post-frag successes: 0, #post-frag failures: 0, #fragments created: 0

     #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

     #TFC rcvd: 0, #TFC sent: 0

     #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0

     #send errors: 0, #recv errors: 0

     local crypto endpt.: 172.16.1.2/0, remote crypto endpt.: 10.1.1.2/0

     path mtu 1500, ipsec overhead 58(36), media mtu 1500

     PMTU time remaining (sec): 0, DF policy: copy-df

     ICMP error validation: disabled, TFC packets: disabled

     current outbound spi: E8AF927A

     current inbound spi : 71F346AB

   inbound esp sas:

     spi: 0x71F346AB (1911768747)

        transform: esp-3des esp-sha-hmac no compression

        in use settings ={RA, Transport, IKEv1, }

        slot: 0, conn_id: 4096, crypto-map: outside_dyn_map

        sa timing: remaining key lifetime (kB/sec): (237303/3541)

        IV size: 8 bytes

        replay detection support: Y

        Anti replay bitmap:

         0x00000000 0x00000003

   outbound esp sas:

     spi: 0xE8AF927A (3903820410)

        transform: esp-3des esp-sha-hmac no compression

        in use settings ={RA, Transport, IKEv1, }

        slot: 0, conn_id: 4096, crypto-map: outside_dyn_map

        sa timing: remaining key lifetime (kB/sec): (237303/3541)

        IV size: 8 bytes

        replay detection support: Y

        Anti replay bitmap:

         0x00000000 0x00000001

muestre el protocolo l2tpOverIpSec del filtro del detalle ra-ikev1-ipsec de VPN-sessiondb - información detallada de las demostraciones sobre el L2TP

sobre las conexiones del IPSec.

●

ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec filter protocol l2tpOverIpSec

Session Type: IKEv1 IPsec Detailed

Username     : test                   Index        : 1

Assigned IP  : 192.168.1.1            Public IP    : 10.1.1.2

Protocol     : IKEv1 IPsec L2TPOverIPsec

License      : Other VPN

Encryption   : IKEv1: (1)3DES  IPsec: (1)3DES  L2TPOverIPsec: (1)none

Hashing      : IKEv1: (1)SHA1  IPsec: (1)SHA1  L2TPOverIPsec: (1)none

Bytes Tx     : 1574                   Bytes Rx     : 12752

Pkts Tx      : 29                     Pkts Rx      : 118

Pkts Tx Drop : 0                      Pkts Rx Drop : 0

Group Policy : L2TP-VPN               Tunnel Group : DefaultRAGroup

Login Time   : 23:32:48 UTC Sat May 16 2015

Duration     : 0h:04m:05s

Inactivity   : 0h:00m:00s

VLAN Mapping : N/A                    VLAN         : none

Audt Sess ID : 0a6a2577000010005557d3a0

Security Grp : none

IKEv1 Tunnels: 1

IPsec Tunnels: 1

L2TPOverIPsec Tunnels: 1

IKEv1:

 Tunnel ID    : 1.1

 UDP Src Port : 500                    UDP Dst Port : 500

 IKE Neg Mode : Main                   Auth Mode    : preSharedKeys

 Encryption   : 3DES                   Hashing      : SHA1

 Rekey Int (T): 28800 Seconds          Rekey Left(T): 28555 Seconds

 D/H Group    : 2

 Filter Name  :

IPsec:

 Tunnel ID    : 1.2

 Local Addr   : 172.16.1.2/255.255.255.255/17/1701

 Remote Addr  : 10.1.1.2/255.255.255.255/17/1701

 Encryption   : 3DES                   Hashing      : SHA1

 Encapsulation: Transport

 Rekey Int (T): 3600 Seconds           Rekey Left(T): 3576 Seconds

 Rekey Int (D): 250000 K-Bytes         Rekey Left(D): 250000 K-Bytes

 Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes

 Bytes Tx     : 1574                   Bytes Rx     : 12752

 Pkts Tx      : 29                     Pkts Rx      : 118

L2TPOverIPsec:

 Tunnel ID    : 1.3

  Username     : test

  Assigned IP  : 192.168.1.1            Public IP    : 10.1.1.2

 Encryption   : none                   Hashing      : none

  Auth Mode    : msCHAPV2

 Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes

 Client OS    : Microsoft

 Client OS Ver: 6.2

 Bytes Tx     : 475                    Bytes Rx     : 9093

 Pkts Tx      : 18                     Pkts Rx      : 105

 En el ASDM, bajo la supervisión > el VPN > los VPN statistics (Estadísticas de la VPN) >sesiones la información general con respecto a la sesión de VPN puede ser considerada. El L2TPsobre las sesiones del IPSec se puede filtrar por el Acceso Remoto > el protocolo > el L2TP delIPSec (IKEv1) sobre el IPSec.

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas suconfiguración.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar uncomando debug.

Precaución: En el ASA, usted puede fijar los diversos niveles de debug; por abandono, seutiliza el nivel 1. Si usted cambia el nivel de debug, la verbosidad de los debugs pudoaumentar. ¡Haga esto con cautela, especialmente en los entornos de producción!

Utilice los comandos debug siguientes con cautela para resolver problemas los problemas con eltúnel VPN

el debug crypto ikev1 - las visualizaciones hace el debug de la información sobre el IKE●

IPSec del debug crypto - las visualizaciones hacen el debug de la información sobre el IPSec●

Aquí ha la salida de los debugs para un L2TP acertado terminado conexión IPSec:

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR

+ SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) +

VENDOR (13) + VENDOR (13) + NONE (0) total length : 408

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing SA payload

May 18 04:17:18 [IKEv1]Phase 1 failure:  Mismatched attribute types for class Group

Description:  Rcv'd: Unknown  Cfg'd: Group 2

May 18 04:17:18 [IKEv1]Phase 1 failure:  Mismatched attribute types for class Group

Description:  Rcv'd: Unknown  Cfg'd: Group 2

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Oakley proposal is acceptable

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal RFC VID

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal ver 02 VID

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received Fragmentation VID

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing IKE SA payload

May 18 04:17:18 [IKEv1]Phase 1 failure:  Mismatched attribute types for class Group

Description:  Rcv'd: Unknown  Cfg'd: Group 2

May 18 04:17:18 [IKEv1]Phase 1 failure:  Mismatched attribute types for class Group

Description:  Rcv'd: Unknown  Cfg'd: Group 2

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, IKE SA Proposal # 1, Transform # 5 acceptable 

Matches global IKE entry # 2

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ISAKMP SA payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Traversal VID ver RFC payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Fragmentation VID + extended

capabilities payload

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +

SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR

+ KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 260

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ke payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ISA_KE payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing nonce payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ke payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing nonce payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Cisco Unity VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing xauth V6 VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send IOS VID

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Constructing ASA spoofing IOS Vendor ID payload

(version: 1.0.0, capabilities: 20000001)

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing VID payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send Altiga/Cisco VPN3000/Cisco ASA GW VID

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload

May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating keys for

Responder...

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +

KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D

(20) + NONE (0) total length : 304

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR

+ ID (5) + HASH (8) + NONE (0) total length : 64

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload

May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received

10.1.1.2

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Automatic NAT Detection

Status:     Remote end is NOT behind a NAT device     This   end is NOT behind a NAT device

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing ID payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing hash payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing dpd vid payload

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +

ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 84

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, PHASE 1 COMPLETED

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alive type for this connection: None

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alives configured on but peer does not support keep-

alives (type = None)

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P1 rekey timer:

21600 seconds.

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500

May 18 04:17:18 [IKEv1 DECODE]IP = 10.1.1.2, IKE Responder starting QM: msg id = 00000001

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR

+ HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 300

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing SA payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing nonce payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload

May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received

10.1.1.2

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Received remote Proxy Host data in

ID Payload:  Address 10.1.1.2, Protocol 17, Port 1701

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload

May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received

172.16.1.2

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Received local Proxy Host data in

ID Payload:  Address 172.16.1.2, Protocol 17, Port 1701

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, L2TP/IPSec session detected.

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, QM IsRekeyed old sa not found by

addr

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Static Crypto Map check, map

outside_dyn_map, seq = 10 is a successful match

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Remote Peer configured for

crypto map: outside_dyn_map

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing IPSec SA payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, I PSec SA Proposal # 2,Transform # 1 acceptable  Matches global IPSec SA entry # 10

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE: requesting SPI!

IPSEC: New embryonic SA created @ 0x00007fffe13ab260,

   SCB: 0xE1C00540,

   Direction: inbound

   SPI      : 0x7AD72E0D

   Session ID: 0x00001000

   VPIF num  : 0x00000002

   Tunnel type: ra

   Protocol   : esp

   Lifetime   : 240 seconds

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got SPI from key engine:

SPI = 0x7ad72e0d

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, oakley constucting quick

mode

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing blank hash

payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec SA

payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec nonce

payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing proxy ID

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Transmitting Proxy Id:

  Remote host: 10.1.1.2  Protocol 17  Port 1701

  Local host:  172.16.1.2  Protocol 17  Port 1701

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing qm hash payload

May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Responder sending 2nd

QM pkt: msg id = 00000001

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=1) with payloads : HDR +

HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 160

May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500

May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR

+ HASH (8) + NONE (0) total length : 52

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, loading all IPSEC SAs

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for

crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0;

encrypt_rule=00000000; tunnelFlow_rule=00000000

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!

IPSEC: New embryonic SA created @ 0x00007fffe1c75c00,

   SCB: 0xE13ABD20,

   Direction: outbound

   SPI      : 0x8C14FD70

   Session ID: 0x00001000

   VPIF num  : 0x00000002

   Tunnel type: ra

   Protocol   : esp

   Lifetime   : 240 seconds

IPSEC: Completed host OBSA update, SPI 0x8C14FD70

IPSEC: Creating outbound VPN context, SPI 0x8C14FD70

   Flags: 0x00000205

   SA   : 0x00007fffe1c75c00

   SPI  : 0x8C14FD70

   MTU  : 1500 bytes

   VCID : 0x00000000

   Peer : 0x00000000

   SCB  : 0x0AC609F9

   Channel: 0x00007fffed817200

IPSEC: Completed outbound VPN context, SPI 0x8C14FD70

   VPN handle: 0x00000000000028d4

IPSEC: New outbound encrypt rule, SPI 0x8C14FD70

   Src addr: 172.16.1.2

   Src mask: 255.255.255.255

   Dst addr: 10.1.1.2

   Dst mask: 255.255.255.255

    Src ports      Upper: 1701

      Lower: 1701

     Op   : equal

    Dst ports      Upper: 1701

      Lower: 1701

     Op   : equal

     Protocol: 17   Use protocol: true

   SPI: 0x00000000

   Use SPI: false

IPSEC: Completed outbound encrypt rule, SPI 0x8C14FD70

   Rule ID: 0x00007fffe1c763d0

IPSEC: New outbound permit rule, SPI 0x8C14FD70

   Src addr: 172.16.1.2

   Src mask: 255.255.255.255

   Dst addr: 10.1.1.2

   Dst mask: 255.255.255.255

   Src ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Dst ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Protocol: 50

   Use protocol: true

   SPI: 0x8C14FD70

   Use SPI: true

IPSEC: Completed outbound permit rule, SPI 0x8C14FD70

   Rule ID: 0x00007fffe1c76a00

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for

crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0;

encrypt_rule=00000000; tunnelFlow_rule=00000000

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Security negotiation complete for

User ()  Responder, Inbound SPI = 0x7ad72e0d, Outbound SPI = 0x8c14fd70

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got a KEY_ADD msg for

SA: SPI = 0x8c14fd70

IPSEC: New embryonic SA created @ 0x00007fffe13ab260,

   SCB: 0xE1C00540,

   Direction: inbound

   SPI      : 0x7AD72E0D

   Session ID: 0x00001000

   VPIF num  : 0x00000002

   Tunnel type: ra

   Protocol   : esp

   Lifetime   : 240 seconds

IPSEC: Completed host IBSA update, SPI 0x7AD72E0D

IPSEC: Creating inbound VPN context, SPI 0x7AD72E0D

   Flags: 0x00000206

   SA   : 0x00007fffe13ab260

   SPI  : 0x7AD72E0D

   MTU  : 0 bytes

   VCID : 0x00000000

   Peer : 0x000028D4

   SCB  : 0x0AC5BD5B

   Channel: 0x00007fffed817200

IPSEC: Completed inbound VPN context, SPI 0x7AD72E0D

   VPN handle: 0x0000000000004174

IPSEC: Updating outbound VPN context 0x000028D4, SPI 0x8C14FD70

   Flags: 0x00000205

   SA   : 0x00007fffe1c75c00

   SPI  : 0x8C14FD70

   MTU  : 1500 bytes

   VCID : 0x00000000

   Peer : 0x00004174

   SCB  : 0x0AC609F9

   Channel: 0x00007fffed817200

IPSEC: Completed outbound VPN context, SPI 0x8C14FD70

   VPN handle: 0x00000000000028d4

IPSEC: Completed outbound inner rule, SPI 0x8C14FD70

   Rule ID: 0x00007fffe1c763d0

IPSEC: Completed outbound outer SPD rule, SPI 0x8C14FD70

   Rule ID: 0x00007fffe1c76a00

IPSEC: New inbound tunnel flow rule, SPI 0x7AD72E0D

   Src addr: 10.1.1.2

   Src mask: 255.255.255.255

   Dst addr: 172.16.1.2

   Dst mask: 255.255.255.255

   Src ports

     Upper: 1701

     Lower: 1701

     Op   : equal

   Dst ports

     Upper: 1701

     Lower: 1701

     Op   : equal

   Protocol: 17

   Use protocol: true

   SPI: 0x00000000

   Use SPI: false

IPSEC: Completed inbound tunnel flow rule, SPI 0x7AD72E0D

   Rule ID: 0x00007fffe13aba90

IPSEC: New inbound decrypt rule, SPI 0x7AD72E0D

   Src addr: 10.1.1.2

   Src mask: 255.255.255.255

   Dst addr: 172.16.1.2

   Dst mask: 255.255.255.255

   Src ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Dst ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Protocol: 50

   Use protocol: true

   SPI: 0x7AD72E0D

   Use SPI: true

IPSEC: Completed inbound decrypt rule, SPI 0x7AD72E0D

   Rule ID: 0x00007fffe1c77420

IPSEC: New inbound permit rule, SPI 0x7AD72E0D

   Src addr: 10.1.1.2

   Src mask: 255.255.255.255

   Dst addr: 172.16.1.2

   Dst mask: 255.255.255.255

   Src ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Dst ports

     Upper: 0

     Lower: 0

     Op   : ignore

   Protocol: 50

   Use protocol: true

   SPI: 0x7AD72E0D

   Use SPI: true

IPSEC: Completed inbound permit rule, SPI 0x7AD72E0D

   Rule ID: 0x00007fffe13abb80

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Pitcher: received

KEY_UPDATE, spi 0x7ad72e0d

May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P2 rekey timer:

3420 seconds.

May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, PHASE 2 COMPLETED (msgid=00000001)

May 18 04:17:18 [IKEv1]IKEQM_Active() Add L2TP classification rules: ip <10.1.1.2> mask

<0xFFFFFFFF> port <1701>

May 18 04:17:21 [IKEv1]Group = DefaultRAGroup, Username = test, IP = 10.1.1.2, Adding static

route for client address: 192.168.1.1

Algo de comúnmente - los errores relacionados considerados VPN en el cliente de Windows semuestran en esta tabla

Código deerror                         Soluciones posibles

691 Asegúrese que el nombre de usuario y contraseña ingresado estuviera correcto

789,835 Asegúrese que la clave previamente compartida configurada en la máquina del cliente fuera lomismo que en el ASA

800 1. Aseegurese que fijan al tipo VPN al “protocolo Layer 2 Tunneling Protocol (el L2TP)"2. Asegúrese que la clave previamente compartida fuera configurada correctamente configurara

809 Aseegurese el puerto 500 UDP, 4500 (en caso de que el cliente o el servidor esté detrás dedispositivo NAT) y tráfico ESP no fue bloqueado

Información Relacionada

Cisco ASA 5500 Series Adaptive Security Appliances●

La mayoría del IPSec VPN común L2L y del Acceso Remoto que resuelve problemas las●

solucionesSoporte Técnico y Documentación - Cisco Systems●