VPN IPsec da Cisco com identificação de chave apenas em um túnel específico

Question

VPN IPsec da Cisco com identificação de chave apenas em um túnel específico

#1 resposta do (1 votos)

1

Estou tentando trabalhar com outra parte para configurar uma VPN IPsec de site para site entre nós e eles. Estamos por trás do NAT, portanto, precisamos do Cisco (ASA 5510 no IOS 9.1.7) para corresponder ao nosso IKE id (ID-chave no jargão da Cisco). O problema é que a outra parte disse que eles só podem habilitar o ID-chave em um nível global, não em um nível de encapsulamento, então eles não são capazes de fazê-lo devido ao impacto de outras VPNs.

Está correto, a combinação de ID-chave é tudo ou nada? Se ativado, é usado para todos os túneis, não apenas para aqueles que exigem isso? A única literatura que encontrei nela é de Cisco propriamente dito e parece implicar um escopo global, mas eu não sou um especialista em configuração da Cisco, portanto, esta questão.

To change the peer identification method, enter the following command:

crypto isakmp identity {address | hostname | key-id id-string | auto}

Existem outras alternativas para obter um túnel IPsec que corresponda corretamente quando estivermos com NAT? Estamos restritos ao IPsec e ao IKEv1 usando o PSK. Certificados não são uma opção, infelizmente.

vpn cisco ipsec nat site-to-site-vpn

por Mike 13.12.2016 / 12:26

1 resposta

Tags vpn cisco ipsec nat site-to-site-vpn

Não é possível fazer o login (ssh) com o par de chaves privadas públicas Não é possível conectar-se ao Banco de Dados do Azure

score 1 · Answer 1

Na documentação que você forneceu, ele afirma o seguinte:

"The security appliance uses the Phase I ID to send to the peer. This is true for all VPN scenarios except LAN-to-LAN connections in main mode that authenticate with preshared keys."

Em vez de autenticar com o ID de chave, eu usaria as chaves pré-compartilhadas. Substitua x.x.x.x pelo seu IP globalmente conhecido. z.z.z.z seria seu endereço globalmente conhecido.

O código ASA remoto seria parecido com isto:

tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
 ikev1 pre-shared-key 0 secretp@ssw0rd

Se você tem um Cisco IOS Router, seu código pode ser algo assim:

crypto isakmp key 0 secretp@ssw0rd address z.z.z.z

key 0 ou pre-shared-key 0 indica que o PSK a seguir está desativado. Não é um valor único que deve ser o mesmo em ambos os lados do túnel.