Konfigurieren von ASA zu ASA Dynamisch zu Statisch IKEv1/IPsec

Einleitung

In diesem Dokument wird beschrieben, wie ASA dynamische IPsec-Site-to-Site-VPN-Verbindungen von einem beliebigen dynamischen Peer akzeptieren kann.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in diesem Thema verfügen:

• Adaptive Security Appliance (ASA)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Cisco ASA Firewall Software Version 9.x und höher (5510 und 5520).

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

In diesem Dokument wird beschrieben, wie die Adaptive Security Appliance (ASA) dynamische IPsec-Site-to-Site-VPN-Verbindungen von einem beliebigen dynamischen Peer (in diesem Fall ASA) akzeptieren kann. Wie das Netzwerkdiagramm in diesem Dokument zeigt, wird der IPsec-Tunnel nur dann eingerichtet, wenn der Tunnel vom Remote-ASA-Ende initiiert wird. Die zentrale ASA kann aufgrund der dynamischen IPsec-Konfiguration keinen VPN-Tunnel initiieren. Die IP-Adresse von Remote-ASA ist unbekannt.

Konfigurieren Sie die zentrale ASA, damit Verbindungen von einer Platzhalter-IP-Adresse (0.0.0.0/0) und einem vorinstallierten Platzhalter-Schlüssel dynamisch akzeptiert werden. Die Remote-ASA wird dann für die Verschlüsselung des Datenverkehrs von lokalen zu zentralen ASA-Subnetzen konfiguriert, wie in der Crypto Access List angegeben. Beide Seiten führen eine Network Address Translation (NAT)-Ausnahme durch, um NAT für IPsec-Datenverkehr zu umgehen.

Konfigurieren

Hinweis: Verwenden Sie das Tool zur Befehlssuche, um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten. Nur registrierte Cisco Benutzer haben Zugriff auf interne Tools und Informationen von Cisco.

Netzwerkdiagramm

ASDM-Konfiguration

Zentrale ASA (statischer Peer)

Richten Sie das VPN auf einer ASA mit einer statischen IP-Adresse so ein, dass es dynamische Verbindungen von einem unbekannten Peer akzeptiert, während es den Peer weiterhin mithilfe eines vorinstallierten IKEv1-Schlüssels authentifiziert:

1. Wählen Sie Configuration > Site-to-Site VPN > Advanced > Crypto Maps aus. Das Fenster zeigt die Liste der bereits vorhandenen Crypto Map-Einträge an (falls vorhanden). Da ASA nicht weiß, was die Peer-IP-Adresse ist, können Sie für ASA, damit sie die Verbindung akzeptieren kann, Dynamic-Map mit passendem Transformationssatz (IPsec-Vorschlag) konfigurieren. Klicken Sie auf Hinzufügen.

   

2. Wählen Sie im Fenster Create IPsec Rule (IPsec-Regel erstellen) auf der Registerkarte Tunnel Policy (Crypto Map) - Basic (Grundlegende) die Option outside (Extern) aus der Dropdown-Liste Interface (Schnittstelle) und dynamic aus der Policy Type (Richtlinientyp) aus. Weisen Sie im Feld Priority (Priorität) die Priorität für diesen Eintrag zu, falls unter Dynamic-Map (Dynamische Zuordnung) mehrere Einträge vorhanden sind. Klicken Sie anschließend auf Auswählen neben dem IKE v1-IPsec-Angebotsfeld, um das IPsec-Angebot auszuwählen.

   

3. Wenn das Dialogfeld IPsec-Vorschläge auswählen (Transformationssätze) geöffnet wird, wählen Sie einen der aktuellen IPsec-Vorschläge aus, oder klicken Sie auf Hinzufügen, um einen neuen Vorschlag zu erstellen und diesen zu verwenden. Klicken Sie abschließend auf OK.

   

4. Aktivieren Sie auf der Registerkarte Tunnel Policy (Crypto Map)-Advanced das Kontrollkästchen Enable NAT-T (NAT-T aktivieren) (erforderlich, wenn sich einer der Peers hinter einem NAT-Gerät befindet) und das Kontrollkästchen Enable Reverse Route Injection (Umgekehrte Routeneinleitung aktivieren). Wenn der VPN-Tunnel für den dynamischen Peer aktiviert wird, installiert die ASA eine dynamische Route für das vereinbarte Remote-VPN-Netzwerk, die zur VPN-Schnittstelle führt.

   

   Optional können Sie auf der Registerkarte Traffic Selection (Datenverkehrsauswahl) auch den interessanten VPN-Datenverkehr für den dynamischen Peer definieren und auf OK klicken.

   

   

   Da ASA, wie bereits erwähnt, keine Informationen über die Remote Dynamic Peer IP-Adresse besitzt, landet die unbekannte Verbindungsanforderung unter DefaultL2LGroup, die standardmäßig auf ASA vorhanden ist. Damit die Authentifizierung erfolgreich ist, muss der auf dem Remote-Peer konfigurierte Pre-Shared Key (in diesem Beispiel cisco123) mit einem Pre-Shared Key (DefaultL2LGroup) übereinstimmen.

5. Wählen Sie Configuration > Site-to-Site VPN > Advanced > Tunnel Groups aus, wählen Sie DefaultL2LGroup aus, klicken Sie auf Edit, und konfigurieren Sie den gewünschten vorinstallierten Schlüssel. Klicken Sie abschließend auf OK.

   

   Hinweis: Dadurch wird ein vorinstallierter Platzhalter-Schlüssel auf dem statischen Peer (Central-ASA) erstellt. Jedes Gerät/jeder Peer, das/der diesen Pre-Shared Key und dessen passende Vorschläge kennt, kann erfolgreich einen VPN-Tunnel einrichten und über VPN auf Ressourcen zugreifen. Stellen Sie sicher, dass dieser vorinstallierte Schlüssel nicht für unbekannte Einheiten freigegeben wird und nicht leicht zu erraten ist.

6. Wählen Sie Configuration > Site-to-Site VPN > Group Policies (Konfiguration > Site-to-Site VPN > Gruppenrichtlinien) und anschließend die gewünschte Gruppenrichtlinie aus (in diesem Fall die standardmäßige Gruppenrichtlinie). Klicken Sie im Dialogfeld Interne Gruppenrichtlinie bearbeiten auf Gruppenrichtlinie bearbeiten, und bearbeiten Sie sie. Klicken Sie abschließend auf OK.

   

7. Wählen Sie Configuration > Firewall > NAT Rules aus, und konfigurieren Sie im Fenster Add Nat Rule (NAT-Regel hinzufügen) eine no nat-Regel (NAT-EXEMPT) für den VPN-Datenverkehr. Klicken Sie abschließend auf OK.

   

Remote-ASA (Dynamic Peer)

1. Wählen Sie Wizards > VPN Wizards > Site-to-Site VPN Wizard, sobald die ASDM-Anwendung eine Verbindung mit der ASA herstellt.

   

2. Klicken Sie auf Next (Weiter).

   

3. Wählen Sie outside aus der Dropdown-Liste VPN Access Interface (VPN-Zugriffsschnittstelle) aus, um die externe IP-Adresse des Remote-Peers anzugeben. Wählen Sie die Schnittstelle (WAN) aus, auf die die Crypto Map angewendet wird. Klicken Sie auf Next (Weiter).

   

4. Geben Sie die Hosts/Netzwerke an, die den VPN-Tunnel passieren dürfen. In diesem Schritt müssen Sie die lokalen Netzwerke und Remote-Netzwerke für den VPN-Tunnel bereitstellen. Klicken Sie auf die Schaltflächen neben den Feldern für das lokale Netzwerk und das Remote-Netzwerk, und wählen Sie die gewünschte Adresse aus. Klicken Sie abschließend auf Weiter.

   T

5. Geben Sie die zu verwendenden Authentifizierungsinformationen ein. Hierbei handelt es sich um den vorinstallierten Schlüssel in diesem Beispiel. Der in diesem Beispiel verwendete Pre-Shared Key lautet cisco123. Der Tunnelgruppenname ist standardmäßig die Remote-Peer-IP-Adresse, wenn Sie LAN-to-LAN (L2L)-VPN konfigurieren.

   

   ODER

   Sie können die Konfiguration anpassen, um die IKE- und IPsec-Richtlinie Ihrer Wahl einzuschließen. Es muss mindestens eine Übereinstimmungsrichtlinie zwischen den Peers vorhanden sein:

   1. Geben Sie auf der Registerkarte Authentication Methods (Authentifizierungsmethoden) den vorinstallierten Schlüssel der IKE-Version 1 in das Feld Pre-shared Key (Vorinstallierter Schlüssel) ein. In diesem Beispiel ist dies cisco123.

      

   2. Klicken Sie auf die Registerkarte Verschlüsselungsalgorithmen.
6. Klicken Sie neben dem Feld IKE Policy (IKE-Richtlinie) auf Manage (Verwalten), klicken Sie auf Add (Hinzufügen), und konfigurieren Sie eine benutzerdefinierte IKE-Richtlinie (Phase-1). Sie ist benutzerdefiniert. Klicken Sie abschließend auf OK.

   

7. Klicken Sie neben dem Feld IPsec-Vorschlag auf Auswählen, und wählen Sie den gewünschten IPsec-Vorschlag aus. Klicken Sie abschließend auf Weiter.

   

   Optional können Sie zur Registerkarte Perfect Forward Secrecy (Perfekte Weiterleitungsgeheimnisse) wechseln und das Kontrollkästchen Enable Perfect Forward Secrecy (PFS) aktivieren. Klicken Sie abschließend auf Weiter.

   

8. Aktivieren Sie das Kontrollkästchen neben ASA-seitigen Host/Netzwerk von der Adressumwandlung befreien, um zu verhindern, dass der Tunnel-Datenverkehr zu Beginn der Network Address Translation einsetzt. Wählen Sie entweder local oder inside aus der Dropdown-Liste aus, um die Schnittstelle festzulegen, über die das lokale Netzwerk erreichbar ist. Klicken Sie auf Next (Weiter).

   

9. ASDM zeigt eine Zusammenfassung des gerade konfigurierten VPN an. Überprüfen Sie, und klicken Sie auf Fertig stellen.

   

CLI-Konfiguration

Zentrale ASA-Konfiguration (statisches Peer)

1. Konfigurieren Sie eine NO-NAT/NAT-EXEMPT-Regel für VPN-Datenverkehr, wie in diesem Beispiel gezeigt:

   object network 10.1.1.0-remote_network
     subnet 10.1.1.0 255.255.255.0
   
   	object network 10.1.2.0-inside_network
   	 subnet 10.1.2.0 255.255.255.0
   
   	nat (inside,outside) source static 10.1.2.0-inside_network 10.1.2.0-inside_network
    destination static 10.1.1.0-remote_network 10.1.1.0-remote_network 
   no-proxy-arp route-lookup

2. Konfigurieren Sie den Pre-Shared Key unter DefaultL2LGroup, um Remote-Dynamic-L2L-Peers zu authentifizieren:

   tunnel-group DefaultL2LGroup ipsec-attributes
    ikev1 pre-shared-key cisco123 

3. Definieren Sie die Phase-2/ISAKMP-Richtlinie:

   crypto ikev1 policy 10
    authentication pre-share
    encryption aes-256
    hash sha
    group 2
    lifetime 86400 

4. Definieren der Phase-2-Transformationssatz-/IPsec-Richtlinie:

   crypto ipsec ikev1 transform-set tset esp-aes-256 esp-sha-hmac   

5. Konfigurieren Sie die dynamische Zuordnung mit den folgenden Parametern:
   • Erforderlicher Transformationssatz
   • Aktivieren Sie Reverse Route Injection (RRI), damit die Security Appliance Routing-Informationen für verbundene Clients abrufen kann (optional).

   crypto dynamic-map outside_dyn_map 1 set ikev1 transform-set tset
   crypto dynamic-map outside_dyn_map 1 set reverse-route 

6. Binden Sie die dynamische Zuordnung an die Crypto-Zuordnung an, wenden Sie die Crypto-Zuordnung an, und aktivieren Sie ISAKMP/IKEv1 auf der externen Schnittstelle:

   crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
   
   crypto map outside_map interface outside 
   crypto ikev1 enable outside 

Remote-ASA (Dynamic Peer)

1. Konfigurieren Sie eine NAT-Ausnahmeregelung für VPN-Datenverkehr:

   object network 10.1.1.0-inside_network
    subnet 10.1.1.0 255.255.255.0
   
   object network 10.1.2.0-remote_network
    subnet 10.1.2.0 255.255.255.0
   
   nat (inside,outside) source static 10.1.1.0-inside_network 10.1.1.0-inside_network 
   destination static 10.1.2.0-remote_network 10.1.2.0-remote_network 
   no-proxy-arp route-lookup 

2. Konfigurieren Sie eine Tunnelgruppe für einen statischen VPN-Peer und einen vorinstallierten Schlüssel.

   tunnel-group 172.16.2.1 type ipsec-l2l
   tunnel-group 172.16.2.1 ipsec-attributes
    ikev1 pre-shared-key cisco123 

3. Definieren Sie eine PHASE-1/ISAKMP-Richtlinie:

   crypto ikev1 policy 10
    authentication pre-share
    encryption aes-256
    hash sha
   
    group 2
    lifetime 86400 

4. Definieren einer Phase-2-Transformationssatz-/IPsec-Richtlinie:

   crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

5. Konfigurieren Sie eine Zugriffsliste, die den interessanten VPN-Datenverkehr/-Netzwerk definiert:

   access-list outside_cryptomap extended permit ip object 
   10.1.1.0-inside_network object 10.1.2.0-remote_network 

6. Konfigurieren Sie die statische Crypto Map mit folgenden Parametern:
   • Verschlüsselung/VPN-Zugriffsliste
   • Remote-IPsec-Peer-IP-Adresse
   • Erforderlicher Transformationssatz

   crypto map outside_map 1 match address outside_cryptomap
   crypto map outside_map 1 set peer 172.16.2.1
   crypto map outside_map 1 set ikev1 transform-set ESP-AES-256-SHA  

7. Wenden Sie die Crypto Map an, und aktivieren Sie ISAKMP/IKEv1 auf der externen Schnittstelle:

   crypto map outside_map interface outside 
   crypto ikev1 enable outside

Überprüfung

In diesem Abschnitt können Sie überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.

• show crypto isakmp sa: Zeigt alle aktuellen IKE Security Associations (SAs) an einem Peer an.
• show crypto ipsec sa: Zeigt alle aktuellen IPsec-SAs an.

Dieser Abschnitt zeigt ein Beispiel für die Verifizierung der beiden ASAs.

Zentrale ASA

Central-ASA#show crypto isakmp sa

	 	IKEv1 SAs:

	 	   Active SA: 1
	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
	Total IKE SA: 1

	 	1   IKE Peer: 172.16.1.1
	    Type    : L2L             Role    : responder
	    Rekey   : no              State   : MM_ACTIVE

	 	 	Central-ASA# show crypto ipsec sa
	interface: outside
	    Crypto map tag: outside_dyn_map, seq num: 1, local addr: 172.16.2.1

	 	      local ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
	      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
	      current_peer: 172.16.1.1

	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
	      #pkts compressed: 0, #pkts decompressed: 0
	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
	      #TFC rcvd: 0, #TFC sent: 0
	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
	      #send errors: 0, #recv errors: 0

	 	      local crypto endpt.: 172.16.2.1/0, remote crypto endpt.: 172.16.1.1/0
	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
	      PMTU time remaining (sec): 0, DF policy: copy-df
	      ICMP error validation: disabled, TFC packets: disabled
	      current outbound spi: 30D071C0
	      current inbound spi : 38DA6E51

	 	    inbound esp sas:
	      spi: 0x38DA6E51 (953839185)
	         transform: esp-aes-256 esp-sha-hmac no compression
	         in use settings ={L2L, Tunnel, IKEv1, }
	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
	         IV size: 16 bytes
	         replay detection support: Y
	         Anti replay bitmap:
	          0x00000000 0x0000001F
	    outbound esp sas:
	      spi: 0x30D071C0 (818966976)
	         transform: esp-aes-256 esp-sha-hmac no compression
	         in use settings ={L2L, Tunnel, IKEv1, }
	         slot: 0, conn_id: 28672, crypto-map: outside_dyn_map
	         sa timing: remaining key lifetime (kB/sec): (3914999/28588)
	         IV size: 16 bytes
	         replay detection support: Y
	         Anti replay bitmap:
	          0x00000000 0x00000001

Remote-ASA

Remote-ASA#show crypto isakmp sa

	 	IKEv1 SAs:

	 	   Active SA: 1
	    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
	Total IKE SA: 1

	 	1   IKE Peer: 172.16.2.1
	    Type    : L2L             Role    : initiator
	    Rekey   : no              State   : MM_ACTIVE

	 	Remote-ASA#show crypto ipsec sa
	interface: outside
	    Crypto map tag: outside_map, seq num: 1, local addr: 172.16.1.1

	 	      access-list outside_cryptomap extended permit ip 10.1.1.0 
             255.255.255.0 10.1.2.0 255.255.255.0
	      local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
	      remote ident (addr/mask/prot/port): (10.1.2.0/255.255.255.0/0/0)
	      current_peer: 172.16.2.1

	 	      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
	      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
	      #pkts compressed: 0, #pkts decompressed: 0
	      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
	      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
	      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
	      #TFC rcvd: 0, #TFC sent: 0
	      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
	      #send errors: 0, #recv errors: 0

	 	      local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.2.1/0
	      path mtu 1500, ipsec overhead 74(44), media mtu 1500
	      PMTU time remaining (sec): 0, DF policy: copy-df
	      ICMP error validation: disabled, TFC packets: disabled
	      current outbound spi: 38DA6E51
	      current inbound spi : 30D071C0

	 	    inbound esp sas:
	      spi: 0x30D071C0 (818966976)
	         transform: esp-aes-256 esp-sha-hmac no compression
	         in use settings ={L2L, Tunnel, IKEv1, }
	         slot: 0, conn_id: 8192, crypto-map: outside_map
	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
	         IV size: 16 bytes
	         replay detection support: Y
	         Anti replay bitmap:
	          0x00000000 0x0000001F
	    outbound esp sas:
	      spi: 0x38DA6E51 (953839185)
	         transform: esp-aes-256 esp-sha-hmac no compression
	         in use settings ={L2L, Tunnel, IKEv1, }
	         slot: 0, conn_id: 8192, crypto-map: outside_map
	         sa timing: remaining key lifetime (kB/sec): (4373999/28676)
	         IV size: 16 bytes
	         replay detection support: Y
	         Anti replay bitmap:
	          0x00000000 0x00000001

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Das Output Interpreter Tool unterstützt bestimmteshow Befehle. Verwenden Sie das Output Interpreter Tool, um eine Analyse dershow Befehlsausgabe anzuzeigen.

Verwenden Sie die folgenden Befehle:

clear crypto ikev1 sa <peer IP address> 
Clears the Phase 1 SA for a specific peer.

Vorsicht: Derclear crypto isakmp saBefehl greift ein, da alle aktiven VPN-Tunnel gelöscht werden.

In PIX/ASA Software Release 8.0(3) und höher kann eine einzelne IKE SA mit dem Befehl <clear crypto isakmp sapeer ip address> gelöscht werden. Verwenden Sie in Softwareversionen vor 8.0(3) den Befehl vpn-sessiondb logoff tunnel-group <tunnel-group-name>, um IKE- und IPsec-SAs für einen einzelnen Tunnel zu löschen.

Remote-ASA#vpn-sessiondb logoff tunnel-group 172.16.2.1
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions from TunnelGroup "172.16.2.1" logged off : 1

clear crypto ipsec sa peer <peer IP address>
!!! Clears the required Phase 2 SA for specific peer.

debug crypto condition peer < Peer address>
!!! Set IPsec/ISAKMP debug filters.
debug crypto isakmp sa <debug level> 
!!! Provides debug details of ISAKMP SA negotiation.
debug crypto ipsec sa <debug level>
!!! Provides debug details of IPsec SA negotiations

undebug all
!!! To stop the debugs

Verwendete Debugs:

debug cry condition peer <remote peer public IP>
debug cry ikev1 127
debug cry ipsec 127 

Remote-ASA (Initiator)

Geben Sie den folgenden Befehl zur Paketverfolgung ein, um den Tunnel zu initiieren:

Remote-ASA#packet-tracer input inside icmp 10.1.1.10 8 0 10.1.2.10 detailed 

IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
Jan 19 22:00:06 [IKEv1 DEBUG]Pitcher: received a key acquire message, spi 0x0
IPSEC(crypto_map_check)-3: Looking for crypto map matching 5-tuple: 
Prot=1, saddr=10.1.1.10, sport=0, daddr=10.1.2.10, dport=0
IPSEC(crypto_map_check)-3: Checking crypto map outside_map 1: matched.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE Initiator: New Phase 1, Intf 
inside, IKE Peer 172.16.2.1 local Proxy Address 10.1.1.0, remote Proxy Address 
10.1.2.0, Crypto map (outside_map)
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
VENDOR (13) + NONE (0) total length : 172
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) 
total length : 132
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + 
VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
<skipped>...
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message (msgid=0) with 
payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + VENDOR (13) + 
NONE (0) total length : 96
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
Automatic NAT Detection Status: Remote end is NOT behind a NAT device 
This end is NOT behind a NAT device
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
(msgid=0) with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) 
+ VENDOR (13) + NONE (0) total length : 96
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
ID_IPV4_ADDR ID received 172.16.2.1
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, Connection landed on tunnel_group 172.16.2.1
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, 
Oakley begin quick mode
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, PHASE 1 COMPLETED


Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, IKE Initiator 
starting QM: msg id = c45c7b30
:
.
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, Transmitting Proxy Id:
 Local subnet: 10.1.1.0 mask 255.255.255.0 Protocol 0 Port 0
 Remote subnet: 10.1.2.0 Mask 255.255.255.0 Protocol 0 Port 0
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
(msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE 
(10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE RECEIVED Message 
(msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + 
ID (5) + ID (5) + NONE (0) total length : 172
:
.
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
ID_IPV4_ADDR_SUBNET ID received--10.1.1.0--255.255.255.0
Jan 19 22:00:06 [IKEv1 DEBUG]Group = 172.16.2.1, IP = 172.16.2.1, processing ID payload
Jan 19 22:00:06 [IKEv1 DECODE]Group = 172.16.2.1, IP = 172.16.2.1, 
ID_IPV4_ADDR_SUBNET ID received--10.1.2.0--255.255.255.0
:
.
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
Security negotiation complete for LAN-to-LAN Group (172.16.2.1) 
Initiator, Inbound SPI = 0x30d071c0, Outbound SPI = 0x38da6e51
:
.
Jan 19 22:00:06 [IKEv1]IP = 172.16.2.1, IKE_DECODE SENDING Message 
(msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 76
:
.
Jan 19 22:00:06 [IKEv1]Group = 172.16.2.1, IP = 172.16.2.1, 
PHASE 2 COMPLETED (msgid=c45c7b30) 

Zentrale ASA (Responder)

Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + 
VENDOR (13) + NONE (0) total length : 172
:
.	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length 
: 
132	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) 
+ VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 304
:
.	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, Connection landed on tunnel_group 
DefaultL2LGroup	
Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
Generating keys for Responder...	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + KE (4) + NONCE (10) + 
VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + 
NONE (0) total length : 304	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) 
+ IOS KEEPALIVE (128) + VENDOR (13) + NONE (0) total length : 96	
Jan 20 12:42:35 [IKEv1 DECODE]Group = DefaultL2LGroup, IP = 172.16.1.1, 
ID_IPV4_ADDR ID received	172.16.1.1
:
.	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=0) 
with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (128) + 
VENDOR (13) + NONE (0) total length : 96	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, PHASE 1 COMPLETED	
:
.	
Jan 20 12:42:35 [IKEv1 DECODE]IP = 172.16.1.1, IKE Responder starting QM: 
msg id = c45c7b30	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE 
RECEIVED Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + SA (1) + 
NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200
:
.
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Received remote 
IP Proxy Subnet data in ID Payload: Address 10.1.1.0, Mask 255.255.255.0, 
Protocol 0, Port 0	:
.	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, 
IP = 172.16.1.1, Received local 
IP Proxy Subnet data in ID Payload:   Address 10.1.2.0, Mask 255.255.255.0, 
Protocol 0, Port 0	Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, 
IP = 172.16.1.1, processing notify payload	
Jan 20 12:42:35 [IKEv1] Group = DefaultL2LGroup, IP = 172.16.1.1, QM 
IsRekeyed old sa not found by addr	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Static Crypto Map 
check, map outside_dyn_map, seq = 1 is a successful match	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, IKE 
Remote Peer configured for crypto map: outside_dyn_map
:
.	
Jan 20 12:42:35 [IKEv1 DEBUG]Group = DefaultL2LGroup, IP = 172.16.1.1, 
Transmitting Proxy Id:	  Remote subnet: 10.1.1.0  Mask 255.255.255.0 Protocol 0  Port 0	  
Local subnet:  10.1.2.0  mask 255.255.255.0 Protocol 0  Port 0	:
.	
Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE SENDING Message (msgid=c45c7b30) 
with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE 
(0) total length : 172	Jan 20 12:42:35 [IKEv1]IP = 172.16.1.1, IKE_DECODE RECEIVED 
Message (msgid=c45c7b30) with payloads : HDR + HASH (8) + NONE (0) total length : 52:
.	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Security 
negotiation complete for LAN-to-LAN Group (DefaultL2LGroup)  Responder, 
Inbound SPI = 0x38da6e51, Outbound SPI = 0x30d071c0	:
.	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, 
PHASE 2 COMPLETED (msgid=c45c7b30)	
Jan 20 12:42:35 [IKEv1]Group = DefaultL2LGroup, IP = 172.16.1.1, Adding static 
route for L2L peer coming in on a dynamic map. address: 10.1.1.0, mask: 255.255.255.0

Zugehörige Informationen

• Support-Seite für IPsec-Aushandlung/IKE-Protokolle
• ASA-Befehlsreferenz
• Requests for Comments (RFCs)
• Technischer Support und Downloads von Cisco