https://wiki.ixheim.de/index.php?action=history&feed=atom&title=ASA_L2L_VPN_old 2026-06-28T19:57:04Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=ASA_L2L_VPN_old&diff=8247&oldid=prev 2016-02-05T13:26:22Z

<p>Die Seite wurde neu angelegt: „ ===enable sysopt connection=== *lurchie(config)# sysopt connection permit-vpn ===Aktivierung von IKE auf der ausgehenden Schnittstelle=== *lurchie(config)#c…“</p> <p><b>Neue Seite</b></p><div><br /> ===enable sysopt connection===<br /> *lurchie(config)# sysopt connection permit-vpn<br /> <br /> ===Aktivierung von IKE auf der ausgehenden Schnittstelle===<br /> <br /> *lurchie(config)#crypto isakmp enable outside<br /> <br /> ===Accessliste für kein NAT erstellen (zwischen beiden Netzen)===<br /> <br /> *lurchie(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0<br /> <br /> ===Kein NAT für die obige Verbindungen===<br /> *lurchie(config)#nat (inside) 0 access-list no_nat <br /> <br /> ===Accesslisten anlegen===<br /> *lurchie(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0 <br /> *lurchie(config)# access-list 120 permit ip 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0 <br /> *lurchie(config)# access-list 120 permit icmp 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0<br /> <br /> ===Erstellen einer ISAKMP Protections Suite===<br /> <br /> ===Festlegen der Authentifizierungsmethode (pre-shared oder rsa-sig)===<br /> *lurchie(config)#crypto isakmp policy 10 authentication pre-share <br /> <br /> ===Festlegen der Verschlüsselungsmethode (des oder 3des)===<br /> *lurchie(config)# crypto isakmp policy 10 encryption 3des <br /> <br /> ===Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)===<br /> *lurchie(config)#crypto isakmp policy 10 hash md5 <br /> <br /> ===Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)===<br /> *lurchie(config)#crypto isakmp policy 10 group 2 <br /> <br /> ===Festlegen der Lebenszeit in Sekunden===<br /> *lurchie(config)#crypto isakmp policy 10 lifetime 28800 <br /> <br /> ===Den Key für die Verbindung festlegen(depricated)===<br /> *lurchie(config)# crypto isakmp key sehr-geheim address 192.168.241.13 netmask 255.255.255.255 no-xauth no-config-mode<br /> <br /> ===Als id dient die IP-Adresse (address = IP, hostname = FQDN)=== <br /> *lurchie(config)# crypto isakmp identity address <br /> <br /> ===Anzeigen der ISAKMP Policy===<br /> *lurchie# show isakmp policy<br /> <br /> ===Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen=== <br /> *lurchie(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac<br /> <br /> ===Überprüfen der Transform-Sets(geht net)=== <br /> *lurchie(config)# show crypto ipsec transform-set<br /> <br /> ===Konfiguration der Cryptomap überflüssig===<br /> ===Erstellen des Crypto-Map-Eintrag für Ipsec und IKE===<br /> *lurchie(config)# crypto map lurchie-unkerich 10 ipsec-isakmp<br /> <br /> ===Es wird angewendet wenn die Accessliste 120 zutrifft===<br /> *lurchie(config)# crypto map lurchie-unkerich 10 match address 120<br /> <br /> ===Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird===<br /> *lurchie(config)# crypto map lurchie-unkerich 10 set peer 192.168.241.13<br /> <br /> ===Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)===<br /> *lurchie(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set<br /> <br /> ===Anwenden des Crypto-Maps auf die konkrete Schnittstelle=== <br /> *lurchie(config)# crypto map lurchie-unkerich interface outside</div>

Thomas