ASA 5540 8.2でリモートアクセス、固定L2Lおよび動的L2L IPSECが連携して動作する問題

8.2を実行しているASA5540でのリモートアクセス、L2L、およびダイナミックL2Lトンネルの混合に関する問題があります。

以下は関連する設定の抜粋です：-

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 201 match address outside-crypto-map-201
crypto map outside-crypto-map 201 set peer X.X.X.X
crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 202 match address outside-crypto-map-202
crypto map outside-crypto-map 202 set peer Y.Y.Y.Y
crypto map outside-crypto-map 202 set transform-set ESP-AES256-SHA
crypto map outside-crypto-map 65535 ipsec-isakmp dynamic outside-crypto-dynamic-map
crypto map outside-crypto-map interface outside

動的IPを使用するリモートサイトがいくつかあります。これらのLANサブネットはACL「outside-crypto-dynamic-map-10」にあります。

これらはこの行に基づいてうまく一致します：-

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10

上記の設定で201と202に従って正常に機能する他の「静的」L2Lトンネルがあります。

リモートアクセス（Cisco VPN Client）ユーザーの場合、次の行がないと接続できません。

crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5

そのシーケンスに「match address」ステートメントを追加しようとすると（以下のように）、リモートアクセスが機能しなくなります（「vpc-client-subnet」は、リモートアクセスクライアントに使用されるIPプールからのサブネットを含むACLです）。一致するローカル/リモートが見つからないため。

crypto dynamic-map outside-crypto-dynamic-map 20 match address vpc-client-subnet

問題は、動的なL2Lピアが使用するPSKで（リモートエンドで）まだ構成されているL2Lエンドポイントがいくつかあることです（接続は不要になり、制御できません）。「outside-crypto-dynamic-map-10」からLANサブネットを削除しました（もう接続されたくないため）。これにより、動的マップシーケンス10と一致しなくなりますが、引き続き可能です。 「outside-crypto-dynamic-map 20」に対してフェーズ2を正常に完了すると、この目的は、リモートがSAのローカル/リモートとして提案するものをすべて受け入れるかのように見えます。

私はPSKを変更する立場にはありません。「一致アドレス」を「outside-crypto-dynamic-map 20」に追加することはできません。リモートアクセスクライアントが接続できなくなるためです。追加しないと、他のピアのキャッチオールとして機能します。そうでなければPSKを知っています。

理想的には、リモートアクセスユーザーが一致するようにseq 20に「match address」を追加できますが、「古い」seq 10ピアは一致しません。または、「match address」ステートメントのないマップと一致したときに、ASAがSAのローカル/リモートのリモートピアのアイデアを受け入れるのを防ぐ方法はありますか？

編集：

関連するトンネルグループの設定：-

tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *****
 peer-id-validate nocheck
 isakmp keepalive threshold 30 retry 5

tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 5

tunnel-group ravpn type remote-access
tunnel-group ravpn general-attributes
 address-pool ip-pool-ravpn
 authentication-server-group Edirectory
 default-group-policy ravpn
tunnel-group ravpn ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 2

tunnel-group-map default-group DefaultL2LGroup

「静的」トンネルには複数のトンネルグループがあります（上記のxxxxの例による）。リモートアクセスユーザーが「ravpn」トンネルグループにヒットし、動的グループはすべて「DefaultL2LGroup」に一致します。PSKはこれらの間で同じではありません。

すべてのリモートアクセスユーザーに対して、2番目のリモートアクセストンネルグループを作成することをお勧めします。それらのマイグレーションを1つずつ開始し、完了したら、既存のデフォルトL2Lグループを削除するか、PSKを変更できます。

変更したくないユーザーがいる場合は、特定のVPNクライアントバージョンを適用して、メジャーセキュリティアップデートを行っていることを通知できます。

通常、リモートVPNユーザーは、動的暗号マップの下に数行しか必要ないため、適切に接続できます。このようなもの：

暗号ダイナミックマップDYN_CRY_MAP 65535セットトランスフォームセットESP-AES-128-SHA

クリプトマップOUTSIDE_map 65535 ipsec-isakmp dynamic DYN_CRY_MAP

これは、適切な一致するトランスフォームセットがすでに指定されていることを前提としています。

リモートユーザーVPNサブネットは動的エンドポイントであるため、暗号マップで指定する必要はありません。ASAはこれを認識し、それに応じて暗号テーブルを調整します。動的L2Lエンドポイントも暗号マップで指定する必要はなく、同じように動作します。また、「機能」は、上記の2行の最後が暗号マップの最後に適用される必要があることです。あなたはすでにそれを持っていますが、あなたに知らせたかっただけです。

この行は、フェーズ1が動的L2Lエンドポイントから接続できるようにするものです。

トンネルグループのDefaultL2LGroup ipsec-attributes

 事前共有鍵 *****

 peer-id-validate nocheck

 isakmpキープアライブしきい値30再試行5

フェーズ2は、暗号マップエントリによって処理されます。

これを行う最も簡単で効果的な方法は、DefaultL2LGroupトンネルグループのPSKを変更してから、接続したいすべてのデバイスで変更することです。これらは動的なエンドポイントであるため、実際には外部インターフェイスでIPでフィルタリングすることはできず、PSKを知っている場合は、それらを制御してトンネルを確立することはできません。

ご不明な点がございましたら、お気軽にお問い合わせください。

イアン

@aleks-許可したくないL2Lデバイスがわかっていて、それらのプライベートIP範囲がわかっている場合、受信ACL（ASAの外部インターフェイスに適用されているもの）でそれらのプライベートIPを拒否することはできません。これによりフェーズ2のセットアップが妨げられることはありませんが、トラフィックが通過することは確実に許可されません。ただの考えです（別の問題を探しているときにこの質問に遭遇しました）。