ASA IPsec および IKE デバッグ(IKEv1 アグレッシブ モード)のトラブルシューティング テクニカルノート

Similar documents
Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

IPSEC(Si-RGX)

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

リモート アクセス IPSec VPN

L2TP over IPsec の設定

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

ホワイトクラウド ASPIRE IPsec VPN 接続構成ガイド ASA5515 を用いた接続構成例 ソフトバンク株式会社

Cisco Security Device Manager サンプル設定ガイド

VPN の IP アドレス

ます Cisco ISR シリーズにて本構成が実現可能なハードウェア / ソフトウェアの組み合わせは下記にな ります 本社 Cisco Easy VPN サーバ機能およびスモールオフィスの Cisco Easy VPN リモート 機能ともに提供が可能になります プラットホーム T トレイン メイント

PowerPoint プレゼンテーション

インターネットVPN_IPoE_IPv6_fqdn

SGX808 IPsec機能

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

適応型セキュリティ アプライ アンスの設定

改訂履歴 版番号改訂日改訂者改訂内容 年 月 29 日ネットワールド 新規 I

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

シナリオ:サイトツーサイト VPN の設定

Si-R/Si-R brin シリーズ設定例

IPsec徹底入門

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

FutureNet NXR,WXR設定例集

クラウド接続 「Windows Azure」との接続

Microsoft Word - ID32.doc

適応型セキュリティ アプライ アンスの設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Real4Dumps Real4dumps - Real Exam Dumps for IT Certification Exams

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

IPSEC(Si-RG)

dovpn-set-v100

LAN

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

VPN ウィザード

橡sirahasi.PDF

FutureNet NXR,WXR 設定例集

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

改訂履歴 版番号改訂日 改訂者 改訂内容 年 月 29 日ネットワールド 新規. 206 年 5 月 3 日ネットワールド. はじめに 章の対象外構成で動的 IP アドレスを使用した構成の VPN レスポンダー を VPN イニシエーター に変更. はじめに 章の対象外構成に MP LS

リモート アクセス VPN の ASA IKEv2 デバッグのトラブルシューティング

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

xr-set_IPsec_v1.3.0

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

IPCOMとWindows AzureのIPsec接続について

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

ip nat outside source list コマンドを使用した設定例

EAP-PEAP とネイティブ Windows クライアントによる ASA IKEv2 リモート アクセスの設定

FW Migration Guide(ipsec2)

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

PowerPoint Presentation

FW Migration Guide(ipsec1)

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

設定例: 基本 ISDN 設定

Autonomous アクセス ポイント上の WEP の設定例

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

目次 1. はじめに 想定接続例 IPsec 接続確認機器 必要な情報と構成図 ( 例 ) 通信不可の場合のご注意点 IDCF クラウドコンソールでの作業手順 VyOS マシン

ASA ネットワーク アドレス変換構成のトラブルシューティング

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

Microsoft PowerPoint - IPsec徹底入門.ppt

CLI を使用するレガシー SCEP の設定例

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

PfRv2 での Learn-List と PfR-Map の設定

VyOSでのIPsecサイト間VPN接続ガイド

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

YMS-VPN1_User_Manual

ローカル ポリシーでの FIPS の有効化

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Soliton Net’Attest EPS + AR router series L2TP+IPsec RADIUS 設定例

Microsoft WSUS と ISE バージョン 1.4 ポスチャの設定

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

ASA リモート アクセス VPN IKE/SSL - パスワード期限切れと RADIUS、TACACS、LDAP 変更の設定例

FutureNet NXR,WXR シリーズ設定例集

9.pdf

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

目次 1. はじめに 接続設定例 ~ 基本的な設定 ~ ネットワーク構成 接続条件 XR の設定... 5 パケットフィルタ設定 VPN Client の設定 仮共有鍵の設定... 7

シナリオ:DMZ の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

新しいモビリティの設定

一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について

L2TP_IPSec-VPN設定手順書_

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

詳細設定

FQDN を使用した ACL の設定

CiscoSecure NT 2.5 以降(RADIUS)を使用して VPN 5000 Client から VPN 5000 コンセントレータへの認証を行う方法

一般的に使用される IP ACL の設定

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

iPhone/iPad/Android(TM) とベリサイン アイデンティティプロテクション(VIP)エンタープライズゲートウェイとの組み合わせによるL2TP+IPsecのワンタイムパスワード設定例

FutureNet NXR,XRシリーズ

目次 1. 本書の目的 3 2. ハードウェア構成 ハードウェアスペック デバイス情報 HA 構成 通信フロー図 Cisco VPN Client について IPsec トンネリング設定 IPsec-VPN 接

AMF Cloud ソリューション

Transcription:

ASA IPsec および IKE デバッグ (IKEv1 アグレッシブモード ) のトラブルシューティングテクニカルノート 目次 概要主な問題シナリオ使用する debug コマンド ASA の設定デバッグトンネルの確認 ISAKMP IPsec 関連情報 概要 このドキュメントでは アグレッシブモードおよび事前共有キー (PSK) の両方を使用する場合の Cisco 適応型セキュリティアプライアンス (ASA) のデバッグについて説明します 設定への特定のデバッグ行の変換についても説明します このドキュメントの読者は IPsec およびインターネットキーエクスチェンジ (IKE) に関する基本的な知識を持っていることを推奨します このドキュメントでは トンネルが確立した後の通過トラフィックについては説明しません 主な問題 IKE および IPsec のデバッグはわかりにくいことがありますが これらのデバッグを使用して IPsec VPN トンネル確立の問題を理解できます シナリオ アグレッシブモードはソフトウェア (Cisco VPN Client) およびハードウェアクライアントと Easy VPN (EzVPN) の場合には一般的に使用されます (Cisco ASA 5505 適応型セキュリティアプライアンスか Cisco IOS か 事前共有キーが使用される時だけソフトウェアルータ ) しかし メインモードとは異なり アグレッシブモードは 3 つのメッセージで構成されます デバッグは ソフトウェアバージョン 8.3.2 を実行し EzVPN サーバとして機能する ASA から

行われます EzVPN クライアントは ソフトウェアクライアントです 使用した debug コマンド このドキュメントで使用する debug コマンドは次のとおりです debug crypto isakmp 127 debug crypto ipsec 127 ASA の設定 この例での ASA の設定は非常に基本的であり 外部サーバは使用されません interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.48.67.14 255.255.254.0 crypto ipsec transform-set TRA esp-aes esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map DYN 10 set transform-set TRA crypto dynamic-map DYN 10 set reverse-route crypto map MAP 65000 ipsec-isakmp dynamic DYN crypto map MAP interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 username cisco password cisco username cisco attributes vpn-framed-ip-address 192.168.1.100 255.255.255.0 tunnel-group EZ type remote-access tunnel-group EZ general-attributes default-group-policy EZ tunnel-group EZ ipsec-attributes pre-shared-key ***** group-policy EZ internal group-policy EZ attributes password-storage enable dns-server value 192.168.1.99 vpn-tunnel-protocol ikev1 split-tunnel-policy tunnelall split-tunnel-network-list value split default-domain value jyoungta-labdomain.cisco.com デバッグ

注 : debug コマンドを使用する前に debug コマンドの重要な情報 を参照してください サーバメッセージの説明 クライアントから AM1 を受信します

AM1 を処理します 受信したプロポーザルとトランスフォームを 一致するようにすでに設定されてい 関連コンフィギュレーション : ISAKMP はインターフェイスで有効になっており クライアントが送信したものと一致するポリシーが少されています crypto isakmp enable outside crypto isakmp policy 10 authentication preshare encryption aes hash sha group 2 lifetime 86400 ID 名と一致するトンネルグループが存在します tunnel-group EZ type remote-access tunnel-group EZ general-attributes default-group-policy EZ tunnel-group EZ ipsecattributes pre-shared-key cisco

AM2 を構成します このプロセスの内容は次のとおりです - 選択されたポリシー - Diffie-Hellman(DH) - レスポンダ ID - 認証 - ネットワークアドレス変換 (NAT) 検出ペイロード

AM2 を送信します

クライアントから AM3 を受信します

AM3 を処理します NAT トラバーサル (NAT-T) の使用を確認します 両側でトラフィック暗号化を開ました フェーズ 1.5(XAUTH) を開始して ユーザクレデンシャルを要求します

ユーザクレデンシャルを受信します ユーザクレデンシャルを処理します クレデンシャルを検証し モード設定ペイロードを生成します 関連コンフィギュレーション : username cisco password cisco

xauth の結果を送信します

ACK を受信して処理します ( no response from server )

モード設定要求を受信します

モード設定要求を処理します これらの値の多くは 通常グループポリシー内で設定されます ただし この例でのサーバは非常に基め ここでは表示しません

設定されているすべての値を含むモード設定応答を構成します 関連コンフィギュレーション : この場合 ユーザには同じ IP が常に割り当てられることに注意してください username cisco attributes vpn-framed-ipaddress 192.168.1.100 255.255.255.0 group-policy EZ internal group-policy EZ attributes password-storage enabledns-server value 192.168.1.129 vpn-tunnel-protocol ikev1 split-tunnel-policy tunnelall split-tunnel-networklist value split defaultdomain value jyoungtalabdomain.cisco.com モード設定応答を送信します

フェーズ 1 がサーバで完了します クイックモード (QM) プロセスを開始します

クライアントの DPD を構成して送信します

QM1 を受信します QM1 を処理します 関連コンフィギュレーション : username cisco attributes vpn-framed-ipaddress 192.168.1.100 255.255.255.0 group-policy EZ internal group-policy EZ attributes password-storage enabledns-server value 192.168.1.129 vpn-tunnel-protocol ikev1 split-tunnel-policy tunnelall split-tunnel-networklist value split defaultdomain value jyoungtalabdomain.cisco.com

QM2 を構成します 関連コンフィギュレーション : tunnel-group EZ type remote-access! (tunnel type ra = tunnel type remote-access) crypto ipsec transformset TRA esp-aes espsha-hmac crypto ipsec securityassociation lifetime seconds 28800 crypto ipsec securityassociation lifetime kilobytes 4608000 crypto dynamic-map DYN 10 set transformset TRA crypto map MAP 65000 ipsec-isakmp dynamic DYN crypto map MAP interface outside

QM2 を送信します

QM3 を受信します QM3 を処理します インバウンドおよびアウトバウンドセキュリティパラメータインデックス (SPI) ストのスタティックルートを追加します 関連コンフィギュレーション : crypto ipsec transformset TRA esp-aes espsha-hmac crypto ipsec securityassociation lifetime seconds 28800 crypto ipsec security-

association lifetime kilobytes 4608000 crypto dynamic-map DYN 10 set transformset TRA crypto dynamic-map DYN 10 set reverseroute

フェーズ 2 が完了しました 両側で暗号化および復号化しています ハードウェアクライアントの場合は クライアントが自らに関する情報を送信するメッセージを 1 つ以深く確認すると EzVPN クライアントのホスト名 クライアント上で実行されているソフトウェア お場所と名前がわかります

トンネルの確認 ISAKMP sh cry isa sa det コマンドの出力は次のとおりです crypto ipsec transformset TRA esp-aes espsha-hmac crypto ipsec securityassociation lifetime seconds 28800 crypto ipsec securityassociation lifetime kilobytes 4608000 crypto dynamic-map DYN 10 set transformset TRA crypto dynamic-map DYN 10 set reverseroute IPSec トンネルのトリガーには Internet Control Message Protocol(ICMP) が使用されるため 1 つの IPSec SA のみが起動されます プロトコル 1 は ICMP です SPI 値は デバッグでネゴシエートされた値と異なることに注意してください これは実際には フェーズ 2 のキー再生成の後と同じトンネルです sh crypto ipsec sa コマンドの出力は次のとおりです crypto ipsec transformset TRA esp-aes esp-

sha-hmac crypto ipsec securityassociation lifetime seconds 28800 crypto ipsec securityassociation lifetime kilobytes 4608000 crypto dynamic-map DYN 10 set transformset TRA crypto dynamic-map DYN 10 set reverseroute 関連情報 IPsec に関する Wikipedia 記事 IPSec のトラブルシューティング : debug コマンドの説明と使用 テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック