keima's caprice diary

気付いたことをメモのように綴ります。なるべく義務っぽくならないように気まぐれに記録します。

ASA Windows L2TP/IPsec

ASAでWindows標準VPNクライアントを使用してL2TP/IPsecにてリモートアクセスVPNをする際のASAのコンフィグまとめ。

#IP-POOL,USER,DNS,NAT,Routing,ACL設定は省略.

 

■トランスフォームセット設定(例:ESP-3DES-SHA)(PHASE2用)

crypto ipsec ikev1 transform-set ESP-3DES-SHA-winl2tp esp-3des esp-sha-hmac 

crypto ipsec ikev1 transform-set ESP-3DES-SHA-winl2tp mode transport

 

■ダイナミックマップ設定(マップ名:DYNAMIC-MAP

crypto dynamic-map DYNAMIC-MAP 1 set ikev1 transform-set ESP-3DES-SHA-winl2tp

 

■クリプトマップ設定(マップ名:CRYPTO-MAP

crypto map CRYPTO-MAP 1 ipsec-isakmp dynamic DYNAMIC-MAP

 

■outsideインターフェースへクリプトマップを適用

crypto map CRYPTO-MAP interface outside

 

■NATトラバーサル有効化(キープアライブ1時間)

crypto isakmp nat-traversal 3600

 

■outsideインターフェースでikev1を有効化

crypto ikev1 enable outside

 

■ikev1(ISAKMP)ポリシー設定

crypto ikev1 policy 1
authentication rsa-sig

#証明書認証の場合(rsa-sig)、PSKの場合(pre-share)
encryption 3des
hash sha
group 5

#group2でもgroup5でもgroup7でもOKっぽい.

 

■グループポリシー設定

group-policy WinL2tpPolicy internal

group-policy WinL2tpPolicy attributes
vpn-tunnel-protocol l2tp-ipsec

 

■トンネルグループ(一般)設定(デフォルト設定のDefaultRAGroupを使用する例

tunnel-group DefaultRAGroup type remote-access

tunnel-group DefaultRAGroup general-attributes
address-pool POOL
default-group-policy WinL2tpPolicy

 

トンネルグループ(IPsec)設定

tunnel-group DefaultRAGroup ipsec-attributes
ikev1 trust-point sv-tp

#sv-tp:ASA自身の証明書がマッピングされているトラストポイント

 

■トンネルグループ(ppp)設定

#L2TP/IPsecの場合、ppp設定は必要.

tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
lifetime 86400

 

以上.