ASA

Cisco ASAでIPSecとL2TP over IPSec を共存させる

by

特定I/FでIPSecとL2TP/IPSecを共存させる方法。 といってもすることは、IPSecとL2TP/IPSec用のトランスフォームセットを1つのダイナミックマップの1つのシーケンスに含める。これだけ。 IPSec用のTransformSet L2TP/IPSec用のTransformSet DynamicMAP I/Fに適用 以上。

Cisco ASAでWindows用L2TP/IPsec方式でリモートアクセスVPNをする

by

タイトル長い!例によって投入コンフィグを記述。 IPアドレスプール、ユーザーアカウント、DNS、NAT、ルーティング、ACL設定も必要だけど今回その部分については省略。 トランスフォームセット ダイナミックマップ クリプトマップ I/Fに適用 NATトラバーサル ikev1有効化 ikev1ポリシー (ikev1ポリシー続き)認証方式 グループポリシー トンネルグループ for L2TP Windows端末からのL2TP/IPsec用の設定。DefaultRAGroupを使用する例。 トンネルグループ for IPsec ※sv-tp:ASA自身の証明書がマッピングされているトラストポイント トンネルグループ for PPP ※L2TP/IPsecの場合、ppp設定は必要. 以上。

cisco ASAのVPNでクライアント証明書に記載されているOU文字列を認証の条件にする方法

by

実装させる機能 cisco ASAのikev1認証にクライアント証明書を使用し、クライアント証明書のサブジェクトのOUに任意の文字列が含まれればリモートアクセスVPNを許可し、そうでなければ拒否する設定を追加する。 OUでマッチさせるルールを作成 「co」は引数にくる文字列を「含む」という条件で、「nc」は引数にくる文字列を「含まない」という条件になる。 全拒否ACL作成 拒否トンネル用グループポリシー作成 拒否トンネル作成 トンネルグループマップ有効化 以上。

cisco ASAのikev1で証明書のサブジェクトOU文字列でフィルタする方法を示したリンクまとめ

by

vpn-filter参考 PIX/ASA 7.x 以降: L2L およびリモート アクセスのための VPN フィルタ(特定のポートまたはプロトコルの許可)の設定例 – Cisco Systems 証明書マップ参考 Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2) – crypto ca authenticate コマンド~ customization コマンド – Cisco Systems ikeデバッグ参考 ASA IPsec and IKE Debugs (IKEv1 Main Mode) Troubleshooting TechNote – Cisco トンネルグループマッピング参考 Tunnel Group Mapping on ASA|全てはCCIEのために… Cisco ASA 5500 シリーズ … Read more

cisco ASAでバックアップ/リストアする方法

by

参考 ASA : コンフィグのバックアップとリストア : ネットワークスペシャリストを目指してGo!  バックアップについてはASDMで全て採ろうとしても、ASAの全てを採ることはできない模様。ASDMのversionによるのか。 ASDMで証明書関連(キーペア等)以外をバックアップ、CLIで証明書関連をバックアップ、という2段構えが妥当。

Cisco ASAでBase64形式で記述されたルートCA証明書をCLIでインポート

by

ASAでL2TP/IPSECを終端する際に証明書を使用した端末認証をしたいことがある。 1. ASAにSSH接続し、下記コマンドを実行 2. 証明書内容の文字列をターミナルにコピペ 3. “quit” 実行 4. “Certificate successfully imported” と表示されれば成功 これでASAにリモートアクセスVPNで接続する際に、証明書を選択することが可能になる。

ASA 初期セットアップ

by

ASA5512X(ver9.42)に初期セットップでSSH接続できるようにするまでの道のり。以下設定を投入すればリモートネットワークからASAに対してSSH接続することは可能になるはず。 管理インターフェースのセキュリティレベルとIPアドレスを設定 SSH接続を許可する送信元IPアドレスの設定 以下は全てのIPアドレスからのSSH接続を許可する例 SSHバージョンの設定 もはやcisco機器では定番の設定。 ローカル認証でSSH接続を許可する設定 管理インターフェースからのデフォルトルート設定 管理インターフェース(interface management 0/0)初期状態で「name management」が設定されている前提。