отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Конкурс: "Следствие ведут ИТ-шники". День 3. Информационная безопасность.

Задача:

Для подключения сотрудников дополнительного офиса к ресурсам центрального офиса было решено настроить L2TP over IPSec на ASA в центральном офисе:

Дополнительный офис--Cisco881-----Интернет-----ASA5545--Центральный офис

Была произведена соответсвующая настройка на ASA:

 

ip local pool L2TP-pool 10.22.0.0-10.22.1.254 mask 255.255.254.0

!

access-list access_vpn_users extended permit ip object L2TP-vpn-pool object-group Central-office

!

aaa-server Radius-group protocol radius

aaa-server Radius-group (inside) host 10.1.1.1

key ********

!

group-policy DefaultRAGroup attributes

wins-server value 10.10.1.30 10.10.1.36

dns-server value 10.10.1.30 10.10.1.36

vpn-filter value access_vpn_users

vpn-tunnel-protocol l2tp-ipsec

!

tunnel-group DefaultRAGroup general-attributes

address-pool L2TP-pool

authentication-server-group Radius-group

 

default-group-policy DefaultRAGroup

tunnel-group DefaultRAGroup ipsec-attributes

ikev1 pre-shared-key *****

tunnel-group DefaultRAGroup ppp-attributes

no authentication chap

no authentication ms-chap-v1

authentication ms-chap-v2

authentication eap-proxy

!

crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac

crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-192-SHA-TRANS

crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP

crypto map outside_map interface outside

!

crypto ikev1 enable outside

crypto ikev1 policy 10

authentication pre-share

encryption 3des

hash sha

group 2

!

 

После настройки ASA, администратор дополнительного офиса попробовал подключиться со своего Win7 PC и iPhone к ASA по L2TP over IPSec. Оба подключения сразу установились. Однако остальные сотрудники дополнительного офиса могли подключиться к ASA по L2TP over IPSec только с iPhone-ов, в то время как на Win7 после ввода имени пользователя и пароля появлялась ошибка “Error:628”. Администратор попробовал поменять аутентификацию с Radius на локальную, но это не решило проблемы.

 

Во время неудачной попытки подключения были собраны дебаги с ASA (см. файл дебаг.txt в аттаче)

 

ВОПРОС: Скажите, пожалуйста, почему остальные сотрудники не могли подключиться с Win7 PC к ASA по L2TP over IPSec? Что нужно сделать, чтобы решить эту проблему?

 

История версий
Редакция №
1 из 1
Последнее обновление:
‎04-04-2016 02:19 AM
Автор обновления:
 
Метки (1)
Вложения
Теги (1)
Комментарии

Я тут к слову потестировал уже после того, как в обед заслал ответ, так вот у меня Win 7 L2TP клиент напрочь отказался работать, пока параметры фазы 2 используют AES, только DES/3DES его устроил, но ошибку 628 я пока так и не воспроизвёл :)

Cisco Employee

Евгений, добрый день!

Там проблема не с IPsec. Если вы посмотрите дебаг, то и первая и вторая фаза благополучно устанавливаются. Т.е нужно смотреть в сторону PPP.

Алла

New Member

1

New Member

А у меня получилось добиться данной ошибки :D

Алла, да, это очевидно, я лишь констатирую по факту тестирования :) Ещё важное замечание - не понятно как заводили локальных пользователей для тестирования, пароль ведь должен быть в ntlm-hash, иначе при использовании ms-chap-v2 аутентификация из локальной базы также не прошла бы.

Cisco Employee

Евгений, спасибо за ваш комментарий.

Локальная база поддерживает ms-chap-v2:

"The ASA only supports the PPP authentications PAP and Microsoft CHAP, Versions 1 and 2, on the local database. "

Вот тут задокументировано:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/vpn_l2tp_ipsec.html

Соотвественно для проверки использовался пользователь с опцией mschap.

"Specifies that the password will be converted to Unicode and hashed using MD4 after you enter it. Use this keyword if users are authenticated using MSCHAPv1 or MSCHAPv2."

Этот вот отсюда:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/u.html#pgfId-1834692

Алла

Не понятно как - я имел ввиду как раз была ли опция "nt-encrypted" использована при заведении локального пользователя? М.б причины ошибки разные при использовании local vs radius... В общем ждём результатов, интересный кейс :)

Cisco Employee

Это реальный кейс ТАС:-) Ответ Мария опубликует во вторник.

Я и не сомневался что из жизни ;)