加入收藏 | 设为首页 | 会员中心 | 我要投稿 宁德站长网 (https://www.0593zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

windows-7 – 从Windows 7到ASA 5520的L2TP / IPSec

发布时间:2021-01-24 09:06:02 所属栏目:Windows 来源:网络整理
导读:副标题#e# 我正在尝试在ASA5520上设置L2TP / IPSec,以支持我们的一个开发人员的边缘情况.当您使用内置的vpn子系统时,Windows VPN子系统显然存储了用于登录的kerberos或NTLM cookie,并且Cisco VPN客户端和AnyConnect客户端不执行此操作. 当我尝试通过Windows

这是我的配置:

ny-asa01# sh run crypto
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_MD5 mode transport
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 10 set ikev1 transform-set ESP-3DES-SHA
crypto dynamic-map OUTSIDE_DYN_MAP 10 set security-association lifetime seconds 86400
crypto dynamic-map OUTSIDE_DYN_MAP 10 set reverse-route
crypto dynamic-map OUTSIDE_DYN_MAP 20 set ikev1 transform-set TRANS_ESP_3DES_MD5
crypto dynamic-map OUTSIDE_DYN_MAP 20 set nat-t-disable
crypto dynamic-map L2TP_MAP 10 set ikev1 transform-set TRANS_ESP_3DES_MD5
crypto map vpnmap 10 match address A_to_B_vpn
crypto map vpnmap 10 set pfs
crypto map vpnmap 10 set peer 9.8.7.6
crypto map vpnmap 10 set ikev1 transform-set ESP-3DES-SHA
crypto map vpnmap 20 match address B_TO_C_vpn
crypto map vpnmap 20 set pfs
crypto map vpnmap 20 set peer 5.4.3.2
crypto map vpnmap 20 set ikev1 transform-set ESP-3DES-SHA
crypto map vpnmap 65500 ipsec-isakmp dynamic OUTSIDE_DYN_MAP
crypto map vpnmap interface outside
crypto isakmp identity address
crypto isakmp nat-traversal 300
crypto ikev1 enable outside
crypto ikev1 ipsec-over-tcp port 10000
crypto ikev1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

 tunnel-group DefaultRAGroup general-attributes
 address-pool stackvpn_pool
 authentication-server-group RADIUS_SERVER
 accounting-server-group RADIUS_SERVER
 default-group-policy stackvpn_l2tp
tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap

group-policy stackvpn_l2tp internal
group-policy stackvpn_l2tp attributes
 dns-server value 5.6.7.8 9.10.11.12
 vpn-tunnel-protocol l2tp-ipsec
 ipsec-udp enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN_SPLIT_TUNNEL
 address-pools value stackvpn_pool

显然,第2阶段的不匹配通常会通过更改提案来解决,但不幸的是,似乎Windows 7根本不会让您查看提案设置.在Win7配置中无法明确打开NAT-T.

所以,我的问题是:我的配置是否很棘手?有没有人在Windows上加载8.4的L2A上正常使用L2TP?

我有IPSEC在Windows 7和ASA之间以“lan-to-lan”模式工作,具有8.3(2)13(FIPS认证).

我很确定你对这个错误是正确的 – 如果它不能协商一个SA你就被冲洗了.

我会尝试摆脱“NAT Traversal”.当然,您可能会遇到尝试重新访问NAT,在这种情况下可能需要它.但这肯定是你问题的原因.

我想你的另一个选择是弄清楚如何让windows 7做nat-traversal SA类型.您可以尝试在Windows上使用netsh advfirewall consec.

这是我给它添加书签的参考资料. http://technet.microsoft.com/en-us/library/dd736198(v=ws.10).aspx.

一个注意事项 – Windows文档说明了定期重新键入连接的重要性.但是,如果过于频繁地重新键入,则ASA会进行转储并断开连接.确保不要每隔2分钟重新按键一次.使用MS建议的重新生成的字节数值使其低于2分钟.

当我们开设支持案例时,M $无法真正给出他们推荐的任何理由.他们给我们发了一大笔费用.

(编辑:宁德站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

    【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

    建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

    Copygight © 2008-2022 https://www.0593zz.com/ All Rights Reserved. 宁德站长网