我试图设置思科asa 5505远程VPN访问IKEv1预共享密钥,所以我可以使用L2TP / IPsec隧道访问Windows本机VPN客户端。
我们已经configuration了IKEv1预共享密钥,并且已经configuration了一个组ID,但由于Windows不支持组ID,我需要使用DefaultRA组。
添加了正确的IKEv1策略后,我完成了第一阶段。 但为了解决阶段2中的不匹配问题,我发现需要将ESP-3DES-SHA-TRANS传输集添加到dynamicencryption映射中。
问题是:在使用asdm将正确的转换集(ESP-3DES-SHA-TRANS)添加到encryption映射之后,路由器拒绝让任何stream量在Internet上stream出…不仅仅是VPNstream量,而是所有stream量。 我尝试过两次,需要重启防火墙两次,让它再次运行。
不知道我是否应该发布任何正在运行的configuration。 我们没有任何高级路由,只是一个真正的静态路由。 我们有另一个使用静态encryption映射的站点到站点的VPN。 但它不应该影响。
任何想法可能导致这种行为? 将变换集添加到encryption映射的cli命令是什么?
Thx hertitu,帮助。
我尝试使用ASDM – >networking(客户端)访问 – >高级 – > IPsec – > Cryptomaps进行编辑,并将ESP-3DES-SHA-TRANS转换集添加到默认dynamicencryption映射。
以下命令已生成…
access-list outside_cryptomap_65535.65535 line 1 extended permit ip any4 any4 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 match address outside_cryptomap_65535.65535
这感觉不对,我抛弃了那些手动跑
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 ESP-3DES-SHA-TRANS
代替。 现在我设法用Windows客户端完成了第二阶段!