среда, 8 февраля 2017 г.

Cisco ASA L2TP для ANDROID

На просторах интернета масса вариация по настройке данного типа подключения. Добавлю еще оду. Так что бы было.

1. Все изменения в конфигурацию вносились в конфигурацию согласно инструкции  cisco
Хотелось обратить внимание на то что tunnel-group должен оставаться DefaultRAGroup

Пример конфигурации:
ip local pool mobile 10.82.140.100-10.82.140.254 mask 255.255.255.0
group-policy MOBILE internal
group-policy MOBILE attributes
 dns-server value 10.82.132.50
 vpn-tunnel-protocol l2tp-ipsec
 password-storage disable
 ipsec-udp enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN-L2TP-SPLIT-TUN
 intercept-dhcp enable
tunnel-group DefaultRAGroup general-attributes
 address-pool mobile
 default-group-policy MOBILE
tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp keepalive disable
tunnel-group DefaultRAGroup ppp-attributes
 authentication ms-chap-v2
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set ikev1 transform-set ESP-DES-MD5-TRANS ESP-DES-SHA-TRANS ESP-3DES-MD5-TRANS
ESP-3DES-SHA-TRANS
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set pfs
crypto map vpn 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 12
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400


2. Если при по пытке подключения к АСЕ периодически вылазит ошибка
Sep 30 2016 22:19:16 113019 Group = DefaultRAGroup, Username = , IP = , Session disconnected. Session Type: IPsecOverNatT, Duration: 0h:00m:04s, Bytes xmt: 822, Bytes rcv: 867, Reason: L2TP initiated
Ошибка часто возникает в моменты тестирования подключения, когда под одним пользователям за короткий период времени вы производите множественные подключения

Решаем проблему изменяя параметр vpn-simultaneous-logins
Параметр определяет сколько одновременных подключений разрешено под одним логином.

3. Решаем задачу доступа в локальные сети с Android
К сожалению SPLIT TUNNELING для ANDROID не работает, по этому для всех клиентов ANDROID прописываем маршрут пересылки в настройках VPN подключения. В моем случае подсеть 10.82.0.0/16. Таким образом все запросы в эту подсеть, устройство заворачивает в туннель. Для Windows клиентов успешно работает SPLIT TUNNELING




1 комментарий:

như thủy комментирует...

Thanks for sharing, nice post!

Tìm hiểu máy đưa võng tự động cho bé là gì, cha mẹ nên mua máy đưa võng loại nào tốt nhất hay sản phẩm máy đưa võng ts tốt không và hướng dẫn cách cho trẻ nằm võng đúng cách an toàn cho bé.