Configuración L2TP sobre el IPSec entreWindows 8 PC y ASA usando la clavepreviamente compartida Contenido
IntroducciónprerrequisitosRequisitosRestriccionesComponentes UtilizadosConvencionesAntecedentesConfigurarDiagrama de la redConfiguración del túnel completaConfiguración ASA usando el Administrador de dispositivos de seguridad adaptante (ASDM)Configuración ASA usando el CLIConfiguración del cliente de Windows 8 L2TP/IPsecConfiguración del túnel divididoConfiguración en el ASAConfiguración en el cliente L2TP/IPsecVerificaciónTroubleshootingInformación Relacionada
Introducción
Este documento describe cómo configurar el Protocolo de tunelización de la capa 2 (L2TP) porIPSec usando la clave previamente compartida entre el cliente original adaptante del dispositivode seguridad (ASA) y de Windows 8 de Cisco.
El L2TP sobre la seguridad de protocolos en Internet (IPSec) proporciona la capacidad paradesplegar y para administrar una solución del Red privada virtual (VPN) L2TP junto al IPSec VPNy los servicios del Firewall en una plataforma única.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Conectividad del IP de la máquina del cliente al ASA. Para probar la Conectividad, intente●
hacer ping la dirección IP del ASA del punto final del cliente y vice versaAsegúrese de que el puerto 500 y 4500 y protocolo UDP del Encapsulating Security Payload(ESP) no esté bloqueado dondequiera a lo largo de la trayectoria de la conexión
●
Restricciones
L2TP sobre los soportes para IPSec solamente IKEv1. IKEv2 no se soporta.●
El L2TP con el IPSec en el ASA permite que el LNS interopere con los clientes VPN nativosintegrados en los sistemas operativos tales como Windows, MAC OS X, el androide, y elCisco IOS. Solamente el L2TP con el IPSec se soporta, L2TP nativo sí mismo no se soportaen el ASA.
●
El curso de la vida mínimo de la asociación de seguridad IPSec soportado por el cliente deWindows es 300 segundos. Si el curso de la vida en el ASA se fija a menos de 300 segundos,el cliente de Windows lo ignora y lo substituye por un segundo curso de la vida 300.
●
El ASA soporta solamente el protocolo password authentication de las autenticaciones delPoint-to-Point Protocol (PPP) (PAP) y Microsoft Challenge Handshake Authentication Protocol(GRIETA), las versiones 1 y 2, en la base de datos local. El Protocolo de AutenticaciónExtensible (EAP) y la GRIETA son realizados por los servidores de la autenticación derepresentación. Por lo tanto, si un usuario remoto pertenece a un grupo de túnel configuradocon el EAP-proxy de la autenticación o los comandos chap de la autenticación, y el ASA seconfigura para utilizar la base de datos local, que el usuario no puede conectar.
●
Tipos soportados de la autenticación PPP
L2TP sobre las conexiones del IPSec en el soporte ASA solamente los tipos de la autenticaciónPPP mostrados en la tabla
Tipos del soporte y de la autenticación PPP del servidor de AAATipo de servidor de AAA Tipos soportados de la autenticación PPP
LOCAL PAP, MSCHAPv1, MSCHAPv2RADIUS PAP, GRIETA, MSCHAPv1, MSCHAPv2, EAP-proxy
TACACS+ PAP, GRIETA, MSCHAPv1LDAP PAP
NT PAPKerberos PAP
SDI SDICaracterísticas del tipo de la autenticación PPP
Palabraclave
Tipo deautenticación Características
grieta GRIETAEn respuesta al desafío del servidor, el cliente vuelve el [challenge pluspassword] cifrado con un nombre de usuario del texto claro. Este protocolo esmás seguro que el PAP, pero no cifra los datos.
EAP-proxy EAP Habilita el EAP que permite el dispositivo de seguridad al proxy el proceso deautenticación PPP a un servidor de autenticación de RADIUS externo.
ms-chap-v1ms-chap-v2
MicrosoftCHAP,
versión 1MicrosoftCHAP,
versión, 2
Similar PARA AGRIETAR pero más seguro en eso que el servidor salva y quecompara solamente las contraseñas encriptadas bastante que lascontraseñas de texto sin cifrar como en la GRIETA. Este protocolo tambiéngenera una clave para la encripción de datos por el MPPE.
pap PAP Pasa el nombre de usuario y contraseña del texto claro durante laautenticación y no es seguro.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Cisco 5515 Series ASA que funcionan con la versión de software 9.4(1)●
Cliente del L2TP/IPSec (Windows 8)●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúresede que usted entienda el impacto potencial del comando any.
Productos Relacionados
Esta configuración se puede también utilizar con el dispositivo de seguridad de las 5500 Series deCisco ASA 8.3(1) o más adelante.
Convenciones
Refiera a los convenios de los consejos técnicos de Cisco para más información sobre lasconvenciones sobre documentos
Antecedentes
El protocolo Layer 2 Tunneling Protocol (L2TP) es un Tunneling Protocol VPN que permite que losclientes remotos utilicen la red IP pública para comunicar con seguridad con los servidores de redcorporativa privada. El L2TP utiliza el PPP sobre UDP (puerto 1701) para hacer un túnel losdatos.
El protocolo L2TP se basa en el modelo cliente/servidor. La función se divide entre el L2TPNetwork Server (LNS), y el L2TP Access Concentrator (LAC). El LNS se ejecuta típicamente enun gateway de la red tal como el ASA en este caso, mientras que el LAC puede ser servidor deacceso de la red de dial up (NAS) o un dispositivo de punto final con un cliente unido L2TP talcomo Microsoft Windows, iPhone de Apple, o Android.
Configurar
Esta sección se presenta con la información para configurar las características descritas en estedocumento.
Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) paraencontrar más información sobre los comandos usados en este documento.
Nota: Los esquemas de direccionamiento IP usados en esta configuración no sonlegalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en unentorno de laboratorio.
Diagrama de la red
Configuración del túnel completa
Configuración ASA usando el Administrador de dispositivos de seguridad adaptante (ASDM)
Complete estos pasos:
Paso 1. Inicie sesión al ASDM, y navegue a los Asisitente > a los Asistentes VPN > al Asisitentedel VPN de acceso remoto del IPSec (IKEv1).
Paso 2. Una ventana de la configuración del VPN de acceso remoto aparece. De la listadesplegable, elija la interfaz en la cual el túnel VPN tiene que ser terminado. En este ejemplo lainterfaz exterior está conectada con WAN y tan terminando el VPN los túneles en estointerconectan. Guarde las sesiones del permiso del cuadro IPSec entrante para desviar las Listasde acceso de la interfaz. Agrupe la directiva y por usuario las Listas de acceso de la autorizacióntodavía se aplican al tráfico marcado de modo que la nueva lista de acceso no necesite serconfigurada en la interfaz exterior para permitir que los clientes accedan a los recursos internos.Haga clic en Next (Siguiente).
Paso 3. Como showin en esta imagen, elija el tipo de cliente como cliente de Microsoft Windowsque usa el L2TP sobre el IPSec y MS-CHAP-V1 y MS-CHAP-V2 como protocolo de autenticaciónPPP puesto que el PAP no es seguro y no soportan con la base de datos local como servidor deautenticación y hacen clic a otros tipos de autenticación después.
Paso 4. Elija el método de autentificación como clave previamente compartida y teclee la clavepreviamente compartida que debe ser lo mismo en el lado del cliente también y hacer clicdespués, tal y como se muestra en de esta imagen.
Paso 5. Especifique un método para autenticar a los usuarios que intentan el L2TP sobre lasconexiones del IPSec. Un servidor externo de la autenticación AAA o su propia base de datoslocal puede ser utilizado. Elija autentican usando la base de datos de usuarios locales si ustedquiere autenticar a los clientes contra la base de datos local del ASA y hacer clic después.
Nota: Refiera por favor la autenticación de RADIUS de la configuración para que losusuarios de VPN autentiquen a los usuarios que usan al servidor de AAA externo.
Paso 6. Para agregar a los usuarios nuevos a la base de datos local para la autenticación deusuario, ingrese el nombre de usuario y contraseña y después haga clic AGREGAN o bien lascuentas de usuario existentes en la base de datos se pueden utilizar, tal y como se muestra en deesta imagen. Haga clic en Next (Siguiente).
Paso 7. De la lista desplegable, elija a la agrupación de direcciones que se utilizará para asignarla dirección IP a los clientes. Para crear a la nueva agrupación de direcciones, haga clic nuevo, taly como se muestra en de esta imagen.
Paso 8. El cuadro de diálogo del pool del IPv4 del agregar aparece.
Ingrese el nombre del nuevo pool de dirección IP.1.Ingrese las direcciones IP de inicio y de finalización.2.Ingrese la máscara de subred y haga clic en Aceptar.3.
Paso 9. Verifique las configuraciones del pool y haga clic después.
Paso 10. Configure los atributos que se avanzarán a los clientes o deje los vacío y el tecleodespués.
Paso 11: Asegúrese de que el cuadro perfecto del secreto de la expedición del permiso (PFS)esté desmarcado pues algunas plataformas del cliente no soportan esta característica. El Túneldividido del permiso para dejar a los usuarios remotos tener acceso encriptado simultáneo a losrecursos definidos arriba, y el acceso unencrypted al cuadro de Internet se desmarca que significaque el Tunelización lleno está habilitado en el cual todo el tráfico (tráfico de Internet incluyendo)de la máquina del cliente será enviado al ASA sobre el túnel VPN. Haga clic en Next (Siguiente).
Paso 12. Revise la información de resumen y entonces el clic en Finalizar.
Configuración ASA usando el CLI
Paso 1. Parámetros de la directiva de la fase 1 de la configuración IKE.
Esta directiva se utiliza para proteger el tráfico de control entre los pares (es decir, protege laclave previamente compartida y las negociaciones de la fase 2)
ciscoasa(config)#crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)#authentication pre-share
ciscoasa(config-ikev1-policy)#encryption 3des
ciscoasa(config-ikev1-policy)#hash sha
ciscoasa(config-ikev1-policy)#group 2
ciscoasa(config-ikev1-policy)#lifetime 86400
ciscoasa(config-ikev1-policy)#exitPaso 2. Transforme el conjunto de la configuración.
Contiene los parámetros de la directiva de la fase 2 IKE que se utilizan para proteger el tráfico dedatos. Puesto que el cliente de Windows L2TP/IPsec utiliza al modo de transporte de IPSec, fije elmodo para transportar. El valor por defecto es modo túnel
ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
ciscoasa(config)#crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transportPaso 3. Mapa dinámico de la configuración.
Mientras que los clientes de Windows consiguen el fron ISP del IP Address dinámico o al servidorDHCP local (módem del ejemplo), el ASA no es consciente sobre el IP Address de Peer y ésteplantea un problema en la configuración de un peer estático en el extremo ASA. La configuración
de criptografía tan dinámica tiene que ser acercada en la cual todos los parámetros no se definennecesariamente y los parámetros que falta son dinámicamente doctos posterior, como resultadodel IPSec Negotiation del cliente.
ciscoasa(config)#crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-
SHAPaso 4. Ate el mapa dinámico a la correspondencia de criptografía estática y aplique la correspondencia de criptografía y habilite IKEv1 en la interfaz exterior
La correspondencia cifrada dinámica no se puede aplicar en una interfaz y así que átela a lacorrespondencia de criptografía estática. Los conjuntos crypto dinámicos deben ser lascorrespondencias de criptografía de la prioridad más baja de la correspondencia de criptografíafijada (es decir, deben tener los números de secuencia más altos) de modo que el ASA evalúeotras correspondencias de criptografía primero. Examina la correspondencia cifrada dinámicafijada solamente cuando las otras entradas de mapeo (de los parásitos atmosféricos) no hacenjuego.
ciscoasa(config)#crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
ciscoasa(config)#crypto map outside_map interface outside
ciscoasa(config)#crypto ikev1 enable outsidePaso 5. Cree el pool de la dirección IP
Cree a una agrupación de direcciones de quien los IP Addresses se asignen dinámicamente a losclientes VPN remotos. Ignore este paso para utilizar el pool existente en el ASA.
ciscoasa(config)#ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0Paso 6. Grupo-directiva de la configuración
Identifique la directiva del grupo mientras que interno que significa los atributos se tira de la basede datos local.
ciscoasa(config)#group-policy L2TP-VPN internal
Nota: Las conexiones L2TP/IPsec se pueden configurar con la directiva del grupopredeterminado (DfltGrpPolicy) o una directiva definida por el usario del grupo. En amboscasos, la directiva del grupo se debe configurar para utilizar el Tunneling ProtocolL2TP/IPsec. la configuración l2tp-ipsec en el atributo del protocolo VPN en la grupo-directivapredeterminada que conseguirá heredó a la directiva definida por el usario del grupo si elatributo del VPN-protocolo no se configura en él.
Configure los atributos tales como Tunnel Protocol del vpn (en nuestro caso, es l2tp-ipsec),Domain Name, DNS y GANA el dirección IP del servidor y las cuentas de usuario nuevo
ciscoasa(config)#group-policy L2TP-VPN attributes
ciscoasa(config-group-policy)#dns-server value 8.8.8.8 4.4.4.2
ciscoasa(config-group-policy)#vpn-tunnel-protocol l2tp-ipsec
ciscoasa(config-group-policy)#default-domain value cisco.com
Configure los nombres de usuario y contraseña en el dispositivo además de usar el AAA. Si elusuario es un cliente L2TP que utiliza la versión 1 o la versión 2 del Microsoft CHAP, y el ASA seconfigura para autenticar contra la base de datos local, la palabra clave del mschap debe serincluida. Por ejemplo, mschap del <password> de la contraseña del <username> del nombre deusuario.
ciscoasa(config-group-policy)# username test password test mschapPaso 7. Grupo de túnel de la configuración
Cree a un grupo de túnel con el comando del grupo de túnel, y especifique el nombre del pool de
la dirección local usado para afectar un aparato la dirección IP al cliente. Si el método deautentificación es clave previamente compartida, el nombre de grupo de túnel debe serDefaultRAGroup pues no hay opción en el cliente para especificar al grupo de túnel y aterriza tanen el grupo de túnel predeterminado solamente. Ate la directiva del grupo al grupo de túnel queusa el comando de la valor por defecto-grupo-directiva
ciscoasa(config)#tunnel-group DefaultRAGroup general-attributes
ciscoasa(config-tunnel-general)#address-pool Address-pool
ciscoasa(config-tunnel-general)#default-group-policy L2TP-VPN
ciscoasa(config-tunnel-general)#exit
Nota: El perfil de la conexión predeterminado (grupo de túnel), DefaultRAGroup tiene queser configurado, si se realiza la autenticación basada clave previamente compartida. Si serealiza la autenticación basada en el certificado, un perfil de la conexión definido por elusario se puede elegir basó en los identificadores del certificado
Utilice al grupo de túnel que los IPSec-atributos ordenan para ingresar al modo de configuracióndel IPSec-atributo para fijar la clave previamente compartida.
ciscoasa(config)# tunnel-group DefaultRAGroup ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key C!sc0@123
ciscoasa(config-tunnel-ipsec)#exit
Configure el protocolo de autenticación PPP con el comando del tipo de autenticación del modode los PPP-atributos del grupo de túnel. Inhabilite la GRIETA que se habilita por abandono puesno se soporta si configuran al servidor de AAA como base de datos local.
ciscoasa(config)#tunnel-group DefaultRAGroup ppp-attributes
ciscoasa(config-ppp)#no authentication chap
ciscoasa(config-ppp)#authentication ms-chap-v2
ciscoasa(config-ppp)#exitPaso 8. Exención de NAT de la configuración
Configure la exención de NAT de modo que los clientes puedan acceder a los recursos internosconectados con las interfaces internas (en este ejemplo, los recursos internos están conectadoscon la interfaz interior).
ciscoasa(config)#object network L2TP-Pool
ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)#exit
ciscoasa(config)# nat (inside,outside) source static any any destination static L2TP-Pool L2TP-
Pool no-proxy-arp route-lookupEjemplo de Configuración Completo
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
exit
crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS-ESP-3DES-SHA mode transport
crypto dynamic-map outside_dyn_map 10 set ikev1 transform-set TRANS-ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto ikev1 enable outside
ip local pool Address-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
group-policy L2TP-VPN internal
group-policy L2TP-VPN attributes
vpn-tunnel-protocol l2tp-ipsec
default-domain value cisco.com
username test password test mschap
exit
tunnel-group DefaultRAGroup general-attributes
address-pool Address-pool
default-group-policy L2TP-VPN
exit
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key C!sc0@123
exit
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
exit
object network L2TP-Pool
subnet 192.168.1.0 255.255.255.0
exit
nat(inside,outside) source static any any destination static L2TP-Pool L2TP-Pool no-proxy-arp
route-lookup
Configuración del cliente de Windows 8 L2TP/IPsec
1. Abra el panel de control y seleccione la red y centro de la distribución.
2. Elija configura una nueva conexión o una opción de red.
3. Elija conectan con una opción del lugar de trabajo y hacen clic después.
uso 4.Click mi opción de la conexión de Internet (VPN).
5. Ingrese el IP Address de la interfaz de WAN o del FQDN ASA y cualquier nombre para eladaptador VPN que está localmente - significativo y tecleo cree.
6. En la red y el centro de la distribución, elija la opción Settings del adaptador del cambio en elpanel izquierdo de la ventana.
7. Haga clic con el botón derecho del ratón el adapterfor recientemente creado L2TP VPN y elijalas propiedades.
8. Navegue a la ficha de seguridad, elija el tipo de VPN mientras que protocolo Layer 2 TunnelingProtocol con el IPSec (L2TP/IPsec) y después haga clic en las configuraciones avanzadas.
9. Ingrese la clave del preshared como lo mismo mencionada en el grupo de túnelDefaultRAGroup y haga clic la AUTORIZACIÓN. En este ejemplo, C!sc0@123 se utiliza como laclave previamente compartida.
10. Elija el método de autentificación como permiten estos protocolos y asegúrese de quesolamente checkbox el “del Microsoft CHAP versión 2 (v2 MS-CHAP) está marcado y haga clic laAUTORIZACIÓN.
11. Bajo conexiones de red, haga clic con el botón derecho del ratón en el adaptador VPN L2TP yelija conectan/desconexión.
12. El icono de las redes surgirá y el tecleo conecta en la conexión VPN L2TP.
13. Ingrese los credenciales de usuario y haga clic la AUTORIZACIÓN.
Si los parámetros obligatorios se corresponden con en ambos los extremos, la conexiónL2TP/IPsec será establecida.
Configuración del túnel dividido
La tunelización dividida es una característica que usted puede utilizar para definir el tráfico paralas subredes o los host que deben ser cifrados. Esto implica la configuración de una lista decontrol de acceso (ACL) que se asocie a esta característica. El tráfico para las subredes o loshost que se define en este ACL consigue cifrado sobre el túnel del extremo del cliente, y las rutaspara estas subredes está instalado en la tabla de ruteo PC. El ASA intercepta el mensajeDHCPINFORM de un cliente y responde con la máscara de subred, el Domain Name, y las Staticrutas sin clase.
Configuración en el ASA
ciscoasa(config)# access-list SPLIT standard permit 10.1.1.0 255.255.255.0
ciscoasa(config)# group-policy DefaultRAGroup attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value SPLIT
ciscoasa(config-group-policy)# intercept-dhcp 255.255.255.255 enable
Configuración en el cliente L2TP/IPsec
1. Haga clic con el botón derecho del ratón en el adaptador VPN L2TP y elija las propiedades.
2. Navegue a la ficha de interconexión de redes, elija la versión 4 (TCP/IPv4) del protocolo deInternet y después haga clic en las propiedades.
3. Haga clic la opción avanzada.
4. Desmarque el default gateway del uso en la opción de la red remota y haga clic laAUTORIZACIÓN.
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Nota: La herramienta del Output Interpreter (clientes registrados solamente) apoya losciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis dela salida del comando show.
muestre ikev1 crypto sa - Muestra todo el IKE actual SA en un par.●
ciscoasa# show crypto ikev1 sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 10.1.1.2
Type : user Role : responder
Rekey : no State : MM_ACTIVE
muestre IPSec crypto sa - Muestra todo el SA de IPSec actual en un par.●
ciscoasa# show crypto ipsec sa
interface: outside
Crypto map tag: outside_dyn_map, seq num: 10, local addr: 172.16.1.2
local ident (addr/mask/prot/port): (172.16.1.2/255.255.255.255/ 17/1701) remote ident (addr/mask/prot/port): (10.1.1.2/255.255.255.255/ 17/1701) current_peer: 10.1.1.2, username: test
dynamic allocated peer ip: 192.168.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 29, #pkts comp failed: 0, #pkts decomp failed: 0
#post-frag successes: 0, #post-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.16.1.2/0, remote crypto endpt.: 10.1.1.2/0
path mtu 1500, ipsec overhead 58(36), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: E8AF927A
current inbound spi : 71F346AB
inbound esp sas:
spi: 0x71F346AB (1911768747)
transform: esp-3des esp-sha-hmac no compression
in use settings ={RA, Transport, IKEv1, }
slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
sa timing: remaining key lifetime (kB/sec): (237303/3541)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000003
outbound esp sas:
spi: 0xE8AF927A (3903820410)
transform: esp-3des esp-sha-hmac no compression
in use settings ={RA, Transport, IKEv1, }
slot: 0, conn_id: 4096, crypto-map: outside_dyn_map
sa timing: remaining key lifetime (kB/sec): (237303/3541)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
muestre el protocolo l2tpOverIpSec del filtro del detalle ra-ikev1-ipsec de VPN-sessiondb - información detallada de las demostraciones sobre el L2TP
sobre las conexiones del IPSec.
●
ciscoasa# show vpn-sessiondb detail ra-ikev1-ipsec filter protocol l2tpOverIpSec
Session Type: IKEv1 IPsec Detailed
Username : test Index : 1
Assigned IP : 192.168.1.1 Public IP : 10.1.1.2
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (1)3DES L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 1574 Bytes Rx : 12752
Pkts Tx : 29 Pkts Rx : 118
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : L2TP-VPN Tunnel Group : DefaultRAGroup
Login Time : 23:32:48 UTC Sat May 16 2015
Duration : 0h:04m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2577000010005557d3a0
Security Grp : none
IKEv1 Tunnels: 1
IPsec Tunnels: 1
L2TPOverIPsec Tunnels: 1
IKEv1:
Tunnel ID : 1.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : 3DES Hashing : SHA1
Rekey Int (T): 28800 Seconds Rekey Left(T): 28555 Seconds
D/H Group : 2
Filter Name :
IPsec:
Tunnel ID : 1.2
Local Addr : 172.16.1.2/255.255.255.255/17/1701
Remote Addr : 10.1.1.2/255.255.255.255/17/1701
Encryption : 3DES Hashing : SHA1
Encapsulation: Transport
Rekey Int (T): 3600 Seconds Rekey Left(T): 3576 Seconds
Rekey Int (D): 250000 K-Bytes Rekey Left(D): 250000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 1574 Bytes Rx : 12752
Pkts Tx : 29 Pkts Rx : 118
L2TPOverIPsec:
Tunnel ID : 1.3
Username : test
Assigned IP : 192.168.1.1 Public IP : 10.1.1.2
Encryption : none Hashing : none
Auth Mode : msCHAPV2
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client OS : Microsoft
Client OS Ver: 6.2
Bytes Tx : 475 Bytes Rx : 9093
Pkts Tx : 18 Pkts Rx : 105
En el ASDM, bajo la supervisión > el VPN > los VPN statistics (Estadísticas de la VPN) >sesiones la información general con respecto a la sesión de VPN puede ser considerada. El L2TPsobre las sesiones del IPSec se puede filtrar por el Acceso Remoto > el protocolo > el L2TP delIPSec (IKEv1) sobre el IPSec.
Troubleshooting
Esta sección proporciona la información que usted puede utilizar para resolver problemas suconfiguración.
Nota: Consulte Información Importante sobre Comandos de Debug antes de usar uncomando debug.
Precaución: En el ASA, usted puede fijar los diversos niveles de debug; por abandono, seutiliza el nivel 1. Si usted cambia el nivel de debug, la verbosidad de los debugs pudoaumentar. ¡Haga esto con cautela, especialmente en los entornos de producción!
Utilice los comandos debug siguientes con cautela para resolver problemas los problemas con eltúnel VPN
el debug crypto ikev1 - las visualizaciones hace el debug de la información sobre el IKE●
IPSec del debug crypto - las visualizaciones hacen el debug de la información sobre el IPSec●
Aquí ha la salida de los debugs para un L2TP acertado terminado conexión IPSec:
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR
+ SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) +
VENDOR (13) + VENDOR (13) + NONE (0) total length : 408
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group
Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group
Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Oakley proposal is acceptable
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal RFC VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received NAT-Traversal ver 02 VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Received Fragmentation VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing IKE SA payload
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group
Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1]Phase 1 failure: Mismatched attribute types for class Group
Description: Rcv'd: Unknown Cfg'd: Group 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, IKE SA Proposal # 1, Transform # 5 acceptable
Matches global IKE entry # 2
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ISAKMP SA payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Traversal VID ver RFC payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Fragmentation VID + extended
capabilities payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +
SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR
+ KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 260
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing ISA_KE payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, processing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing ke payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing Cisco Unity VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing xauth V6 VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send IOS VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Constructing ASA spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing VID payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, constructing NAT-Discovery payload
May 18 04:17:18 [IKEv1 DEBUG]IP = 10.1.1.2, computing NAT Discovery hash
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating keys for
Responder...
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +
KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D
(20) + NONE (0) total length : 304
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR
+ ID (5) + HASH (8) + NONE (0) total length : 64
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Automatic NAT Detection
Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Connection landed on tunnel_group DefaultRAGroup
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing ID payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Computing hash for ISAKMP
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing dpd vid payload
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR +
ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 84
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, PHASE 1 COMPLETED
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alive type for this connection: None
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, Keep-alives configured on but peer does not support keep-
alives (type = None)
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P1 rekey timer:
21600 seconds.
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1 DECODE]IP = 10.1.1.2, IKE Responder starting QM: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR
+ HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 300
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing nonce payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
10.1.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Received remote Proxy Host data in
ID Payload: Address 10.1.1.2, Protocol 17, Port 1701
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing ID payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, ID_IPV4_ADDR ID received
172.16.1.2
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Received local Proxy Host data in
ID Payload: Address 172.16.1.2, Protocol 17, Port 1701
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, L2TP/IPSec session detected.
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, QM IsRekeyed old sa not found by
addr
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Static Crypto Map check, map
outside_dyn_map, seq = 10 is a successful match
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Remote Peer configured for
crypto map: outside_dyn_map
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing IPSec SA payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, I PSec SA Proposal # 2,Transform # 1 acceptable Matches global IPSec SA entry # 10
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, IKE: requesting SPI!
IPSEC: New embryonic SA created @ 0x00007fffe13ab260,
SCB: 0xE1C00540,
Direction: inbound
SPI : 0x7AD72E0D
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got SPI from key engine:
SPI = 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, oakley constucting quick
mode
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing blank hash
payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec SA
payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing IPSec nonce
payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing proxy ID
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Transmitting Proxy Id:
Remote host: 10.1.1.2 Protocol 17 Port 1701
Local host: 172.16.1.2 Protocol 17 Port 1701
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, constructing qm hash payload
May 18 04:17:18 [IKEv1 DECODE]Group = DefaultRAGroup, IP = 10.1.1.2, IKE Responder sending 2nd
QM pkt: msg id = 00000001
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE SENDING Message (msgid=1) with payloads : HDR +
HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 160
May 18 04:17:18 [IKEv1]IKE Receiver: Packet received on 172.16.1.2:500 from 10.1.1.2:500
May 18 04:17:18 [IKEv1]IP = 10.1.1.2, IKE_DECODE RECEIVED Message (msgid=1) with payloads : HDR
+ HASH (8) + NONE (0) total length : 52
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, processing hash payload
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, loading all IPSEC SAs
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for
crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0;
encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Generating Quick Mode Key!
IPSEC: New embryonic SA created @ 0x00007fffe1c75c00,
SCB: 0xE13ABD20,
Direction: outbound
SPI : 0x8C14FD70
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host OBSA update, SPI 0x8C14FD70
IPSEC: Creating outbound VPN context, SPI 0x8C14FD70
Flags: 0x00000205
SA : 0x00007fffe1c75c00
SPI : 0x8C14FD70
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00000000
SCB : 0x0AC609F9
Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
VPN handle: 0x00000000000028d4
IPSEC: New outbound encrypt rule, SPI 0x8C14FD70
Src addr: 172.16.1.2
Src mask: 255.255.255.255
Dst addr: 10.1.1.2
Dst mask: 255.255.255.255
Src ports Upper: 1701
Lower: 1701
Op : equal
Dst ports Upper: 1701
Lower: 1701
Op : equal
Protocol: 17 Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed outbound encrypt rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c763d0
IPSEC: New outbound permit rule, SPI 0x8C14FD70
Src addr: 172.16.1.2
Src mask: 255.255.255.255
Dst addr: 10.1.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x8C14FD70
Use SPI: true
IPSEC: Completed outbound permit rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c76a00
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, NP encrypt rule look up for
crypto map outside_dyn_map 10 matching ACL Unknown: returned cs_id=e148a8b0;
encrypt_rule=00000000; tunnelFlow_rule=00000000
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, Security negotiation complete for
User () Responder, Inbound SPI = 0x7ad72e0d, Outbound SPI = 0x8c14fd70
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, IKE got a KEY_ADD msg for
SA: SPI = 0x8c14fd70
IPSEC: New embryonic SA created @ 0x00007fffe13ab260,
SCB: 0xE1C00540,
Direction: inbound
SPI : 0x7AD72E0D
Session ID: 0x00001000
VPIF num : 0x00000002
Tunnel type: ra
Protocol : esp
Lifetime : 240 seconds
IPSEC: Completed host IBSA update, SPI 0x7AD72E0D
IPSEC: Creating inbound VPN context, SPI 0x7AD72E0D
Flags: 0x00000206
SA : 0x00007fffe13ab260
SPI : 0x7AD72E0D
MTU : 0 bytes
VCID : 0x00000000
Peer : 0x000028D4
SCB : 0x0AC5BD5B
Channel: 0x00007fffed817200
IPSEC: Completed inbound VPN context, SPI 0x7AD72E0D
VPN handle: 0x0000000000004174
IPSEC: Updating outbound VPN context 0x000028D4, SPI 0x8C14FD70
Flags: 0x00000205
SA : 0x00007fffe1c75c00
SPI : 0x8C14FD70
MTU : 1500 bytes
VCID : 0x00000000
Peer : 0x00004174
SCB : 0x0AC609F9
Channel: 0x00007fffed817200
IPSEC: Completed outbound VPN context, SPI 0x8C14FD70
VPN handle: 0x00000000000028d4
IPSEC: Completed outbound inner rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c763d0
IPSEC: Completed outbound outer SPD rule, SPI 0x8C14FD70
Rule ID: 0x00007fffe1c76a00
IPSEC: New inbound tunnel flow rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 1701
Lower: 1701
Op : equal
Dst ports
Upper: 1701
Lower: 1701
Op : equal
Protocol: 17
Use protocol: true
SPI: 0x00000000
Use SPI: false
IPSEC: Completed inbound tunnel flow rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe13aba90
IPSEC: New inbound decrypt rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x7AD72E0D
Use SPI: true
IPSEC: Completed inbound decrypt rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe1c77420
IPSEC: New inbound permit rule, SPI 0x7AD72E0D
Src addr: 10.1.1.2
Src mask: 255.255.255.255
Dst addr: 172.16.1.2
Dst mask: 255.255.255.255
Src ports
Upper: 0
Lower: 0
Op : ignore
Dst ports
Upper: 0
Lower: 0
Op : ignore
Protocol: 50
Use protocol: true
SPI: 0x7AD72E0D
Use SPI: true
IPSEC: Completed inbound permit rule, SPI 0x7AD72E0D
Rule ID: 0x00007fffe13abb80
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Pitcher: received
KEY_UPDATE, spi 0x7ad72e0d
May 18 04:17:18 [IKEv1 DEBUG]Group = DefaultRAGroup, IP = 10.1.1.2, Starting P2 rekey timer:
3420 seconds.
May 18 04:17:18 [IKEv1]Group = DefaultRAGroup, IP = 10.1.1.2, PHASE 2 COMPLETED (msgid=00000001)
May 18 04:17:18 [IKEv1]IKEQM_Active() Add L2TP classification rules: ip <10.1.1.2> mask
<0xFFFFFFFF> port <1701>
May 18 04:17:21 [IKEv1]Group = DefaultRAGroup, Username = test, IP = 10.1.1.2, Adding static
route for client address: 192.168.1.1
Algo de comúnmente - los errores relacionados considerados VPN en el cliente de Windows semuestran en esta tabla
Código deerror Soluciones posibles
691 Asegúrese que el nombre de usuario y contraseña ingresado estuviera correcto
789,835 Asegúrese que la clave previamente compartida configurada en la máquina del cliente fuera lomismo que en el ASA
800 1. Aseegurese que fijan al tipo VPN al “protocolo Layer 2 Tunneling Protocol (el L2TP)"2. Asegúrese que la clave previamente compartida fuera configurada correctamente configurara
809 Aseegurese el puerto 500 UDP, 4500 (en caso de que el cliente o el servidor esté detrás dedispositivo NAT) y tráfico ESP no fue bloqueado
Información Relacionada
Cisco ASA 5500 Series Adaptive Security Appliances●
La mayoría del IPSec VPN común L2L y del Acceso Remoto que resuelve problemas las●
solucionesSoporte Técnico y Documentación - Cisco Systems●