Cisco ASA 5520 Remote VPN配置

今天偶尔看到网上有人贴了一段Cisco防火墙上做VPN的配置,突然也想试试。我的Cisco ASA 5520防火墙在手快一个月了,前阵子琢磨过一阵子NAT,但是一直没想过要去配置VPN。

初次尝试,竟然一举成功,有点惊讶自己的抄袭能力。。。

一、在ASA5520上配置Cisco VPN Gateway:
1、建立一个地址池vpnpool,用于给Remote VPN Client用户分配内网IP。
我使用的是ASA 5520 inside接口同网段的空余IP地址。
ip local pool vpnpool 192.168.201.100-192.168.201.199 mask 255.255.255.0

2、建立IKE第一阶段
isakmp policy 1
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 43200
exit

3、将IKE应用在外部接口上。Outsides是其中的一个ISP接口。
isakmp enable outsides

4、定义转换集vpnset
crypto ipsec transform-set vpnset esp-des esp-md5-hmac

5、动态加密映射配置
crypto dynamic-map outsides-dyn-map 10 set transform-set vpnset
crypto dynamic-map outsides-dyn-map 10 set reverse-route
crypto dynamic-map outsides-dyn-mat 10 set security-association life seconds 28800

6、在静态加密映射中调用动态加密映射,并应用在接口上
crypto map outsides-map 10 ipsec-isakmp dynamic outsides-dyn-map
crypto map outsides-map interface outsides

7、NAT穿越
crypto isakmp nat-traversal

8、配置访问列表旁路
sysopt connection permit-ipsec

9、创建与设置组策略
group-policy vpnclient internal
group-policy vpnclient attributes
dns-server value 202.101.172.46
vpn-tunnel-protocol ipsec
default-domain value ifeeling.net
exit

10、隧道组的建立与属性配置
tunnel-group vpnclient type ipsec-ra
tunnel-group vpnclient ipsec-attributes
pre-shared-key ifeeling.net
exit

tunnel-group vpnclient general-attributes
authentication-server-group LOCAL
default-group-policy vpnclient
address-pool vpnpool
exit

11、配置VPN用户账户

username vpnuser1 password cisco123
username vpnuser1 attributes
vpn-group-policy vpnclient
exit

12、配置NAT免除。其中192.168.251.0为VPN用户要访问的目标网段,192.168.201.0为 VPN Pool定义的网段。
access-list no-nat extended permit ip 192.168.251.0 255.255.255.0 192.168.201.0 255.255.255.0
nat (inside) 0 access-list no-nat

13、隧道分离
access-list vpnclient_splitTunnelAcl standard permit 192.168.251.0 255.255.255.0
group-policy vpnclient attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpnclient_splitTunnelAcl
end

14、保存配置
wri m

二、配置Cisco VPN Remote Client
1、百度搜索一下Cisco VPN Remote Client,下载,安装,重启电脑。

2、打开VPN Client后,New一个Connection Entry。
需要输入的地方如图:
Host为你的ASA 5520 VPN网关的IP。
Group Authentication为VPN Tunnel Group,这里配置的是vpnclient。
Pre-Share Key即预共享密钥,这里是ifeeling.net

3、建好后保存,点 Connect 图标进行连接。
4、在弹出的密码框中,输入刚才定义的VPN用户名和密码,这里是vpnuser1和cisco123
5、Ping一下内网服务器。先丢一个包,第二个包就通了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注