Cisco ASA L2TP для ANDROID
На просторах интернета масса вариация по настройке данного типа подключения. Добавлю еще оду. Так что бы было.
1. Все изменения в конфигурацию вносились в конфигурацию согласно инструкции cisco
Хотелось обратить внимание на то что tunnel-group должен оставаться DefaultRAGroup
Пример конфигурации:
ip local pool mobile 10.82.140.100-10.82.140.254 mask 255.255.255.0
group-policy MOBILE internal
group-policy MOBILE attributes
dns-server value 10.82.132.50
vpn-tunnel-protocol l2tp-ipsec
password-storage disable
ipsec-udp enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-L2TP-SPLIT-TUN
intercept-dhcp enable
tunnel-group DefaultRAGroup general-attributes
address-pool mobile
default-group-policy MOBILE
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive disable
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set ikev1 transform-set ESP-DES-MD5-TRANS ESP-DES-SHA-TRANS ESP-3DES-MD5-TRANS
ESP-3DES-SHA-TRANS
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set pfs
crypto map vpn 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 12
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
2. Если при по пытке подключения к АСЕ периодически вылазит ошибка
Sep 30 2016 22:19:16 113019 Group = DefaultRAGroup, Username = , IP = , Session disconnected. Session Type: IPsecOverNatT, Duration: 0h:00m:04s, Bytes xmt: 822, Bytes rcv: 867, Reason: L2TP initiated
Ошибка часто возникает в моменты тестирования подключения, когда под одним пользователям за короткий период времени вы производите множественные подключения
Решаем проблему изменяя параметр vpn-simultaneous-logins
Параметр определяет сколько одновременных подключений разрешено под одним логином.
3. Решаем задачу доступа в локальные сети с Android
К сожалению SPLIT TUNNELING для ANDROID не работает, по этому для всех клиентов ANDROID прописываем маршрут пересылки в настройках VPN подключения. В моем случае подсеть 10.82.0.0/16. Таким образом все запросы в эту подсеть, устройство заворачивает в туннель. Для Windows клиентов успешно работает SPLIT TUNNELING
1. Все изменения в конфигурацию вносились в конфигурацию согласно инструкции cisco
Хотелось обратить внимание на то что tunnel-group должен оставаться DefaultRAGroup
Пример конфигурации:
ip local pool mobile 10.82.140.100-10.82.140.254 mask 255.255.255.0
group-policy MOBILE internal
group-policy MOBILE attributes
dns-server value 10.82.132.50
vpn-tunnel-protocol l2tp-ipsec
password-storage disable
ipsec-udp enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-L2TP-SPLIT-TUN
intercept-dhcp enable
tunnel-group DefaultRAGroup general-attributes
address-pool mobile
default-group-policy MOBILE
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive disable
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set ikev1 transform-set ESP-DES-MD5-TRANS ESP-DES-SHA-TRANS ESP-3DES-MD5-TRANS
ESP-3DES-SHA-TRANS
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 100 set pfs
crypto map vpn 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 12
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
2. Если при по пытке подключения к АСЕ периодически вылазит ошибка
Sep 30 2016 22:19:16 113019 Group = DefaultRAGroup, Username = , IP = , Session disconnected. Session Type: IPsecOverNatT, Duration: 0h:00m:04s, Bytes xmt: 822, Bytes rcv: 867, Reason: L2TP initiated
Ошибка часто возникает в моменты тестирования подключения, когда под одним пользователям за короткий период времени вы производите множественные подключения
Решаем проблему изменяя параметр vpn-simultaneous-logins
Параметр определяет сколько одновременных подключений разрешено под одним логином.
3. Решаем задачу доступа в локальные сети с Android
К сожалению SPLIT TUNNELING для ANDROID не работает, по этому для всех клиентов ANDROID прописываем маршрут пересылки в настройках VPN подключения. В моем случае подсеть 10.82.0.0/16. Таким образом все запросы в эту подсеть, устройство заворачивает в туннель. Для Windows клиентов успешно работает SPLIT TUNNELING
Комментарии
Tìm hiểu máy đưa võng tự động cho bé là gì, cha mẹ nên mua máy đưa võng loại nào tốt nhất hay sản phẩm máy đưa võng ts tốt không và hướng dẫn cách cho trẻ nằm võng đúng cách an toàn cho bé.