タイトル長い!例によって投入コンフィグを記述。
IPアドレスプール、ユーザーアカウント、DNS、NAT、ルーティング、ACL設定も必要だけど今回その部分については省略。
トランスフォームセット
crypto ipsec ikev1 transform-set ESP-3DES-SHA-winl2tp esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-winl2tp mode transportダイナミックマップ
crypto dynamic-map DYNAMIC-MAP 1 set ikev1 transform-set ESP-3DES-SHA-winl2tpクリプトマップ
crypto map CRYPTO-MAP 1 ipsec-isakmp dynamic DYNAMIC-MAPI/Fに適用
crypto map CRYPTO-MAP interface outsideNATトラバーサル
crypto isakmp nat-traversal 3600ikev1有効化
crypto ikev1 enable outsideikev1ポリシー
crypto ikev1 policy 1
authentication rsa-sig(ikev1ポリシー続き)認証方式
rsa-sig # 証明書認証の場合
pre-share # 事前共有鍵(PSK)認証の場合
encryption 3des
hash sha
group 5 # "2" でも "5" でも "7" でも OK だった。グループポリシー
group-policy WinL2tpPolicy internal
group-policy WinL2tpPolicy attributes
vpn-tunnel-protocol l2tp-ipsecトンネルグループ for L2TP
Windows端末からのL2TP/IPsec用の設定。DefaultRAGroupを使用する例。
tunnel-group DefaultRAGroup type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool POOL
default-group-policy WinL2tpPolicyトンネルグループ for IPsec
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 trust-point sv-tp※sv-tp:ASA自身の証明書がマッピングされているトラストポイント
トンネルグループ for PPP
※L2TP/IPsecの場合、ppp設定は必要.
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
lifetime 86400以上。