Exemplo de configuração de cliente Android L2TP-IPSec ASA e nativo

Opções de download

  • PDF     (96.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (87.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (76.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de fevereiro de 2014
ID do documento:113572

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

O Layer 2 Tunneling Protocol (L2TP) sobre IPSec fornece a capacidade de implantar e administrar uma solução de VPN L2TP ao lado dos serviços de firewall e VPN IPSec em uma única plataforma. O principal benefício da configuração de L2TP sobre IPSec em um cenário de acesso remoto é que os usuários remotos podem acessar uma VPN em uma rede IP pública sem um gateway ou uma linha dedicada, o que permite o acesso remoto de praticamente qualquer lugar com o serviço de telefonia tradicional (POTS). Um benefício adicional é que o único requisito de cliente para acesso VPN é o uso do Windows com DUN (Dial-Up Networking) da Microsoft. Não é necessário nenhum software de cliente adicional, como o software de cliente VPN da Cisco.

Este documento fornece uma configuração de exemplo para o cliente nativo L2TP/IPSec Android. Ele o leva através de todos os comandos necessários em um Cisco Adaptive Security Appliance (ASA), bem como as etapas a serem seguidas no próprio dispositivo Android.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações deste documento são baseadas nas seguintes versões de software e de hardware:

As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Esta seção descreve as informações necessárias para configurar os recursos descritos neste documento.

Configure a conexão L2TP/IPSec no Android

Este procedimento descreve como configurar a conexão L2TP/IPSec no Android:

  1. Abra o menu e escolha Configurações.
  2. Escolha Wireless e ou Wireless Controls. A opção disponível depende da sua versão do Android.
  3. Escolha Configurações de VPN.
  4. Escolha Adicionar VPN.
  5. Escolha Add L2TP/IPsec PSK VPN.
  6. Escolha VPN Name e insira um nome descritivo.
  7. Escolha Set VPN Server e insira um nome descritivo.
  8. Escolha Definir chave pré-compartilhada IPSec.
  9. Desmarque Ativar segredo L2TP.
  10. [Opcional] Defina o identificador de IPSec como o nome do grupo de túnel ASA. Nenhuma configuração significa que ela será classificada como DefaultRAGroup no ASA.
  11. Abra o menu e escolha Salvar.

Configurar a conexão L2TP/IPSec no ASA

Estas são as configurações de política necessárias do ASA Internet Key Exchange Version 1 (IKEv1) (Internet Security Association and Key Management Protocol [ISAKMP]) que permitem aos clientes VPN nativos, integrados ao sistema operacional em um endpoint, fazer uma conexão VPN com o ASA quando o protocolo L2TP sobre IPSec é usado:

  • Fase 1 do IKEv1 - criptografia 3DES (Triple Data Encryption Standard) com método hash SHA1
  • IPSec fase 2 - criptografia 3DES ou AES (Advanced Encryption Standard) com método de hash Message Digest 5 (MD5) ou SHA
  • Autenticação PPP - Password Authentication Protocol (PAP), Microsoft Challenge Handshake Authentication Protocol versão 1 (MS-CHAPv1) ou MS-CHAPv2 (preferencial)
  • Chave pré-compartilhada

Note: O ASA suporta apenas as autenticações PPP PAP e MS-CHAP (versões 1 e 2) no banco de dados local. O EAP (Extensible Authentication Protocol) e o CHAP são executados por servidores de autenticação de proxy. Portanto, se um usuário remoto pertencer a um grupo de túneis configurado com os comandos authentication eap-proxy ou authentication chap e se o ASA estiver configurado para usar o banco de dados local, esse usuário não poderá se conectar.

Além disso, o Android não suporta PAP e, como o LDAP (Lightweight Diretory Access Protocol) não suporta MS-CHAP, o LDAP não é um mecanismo de autenticação viável. A única solução alternativa é usar o RADIUS. Consulte Cisco Bug ID CSCtw58945, "L2TP sobre IPSec falha nas conexões com autorização ldap e mschapv2", para obter mais detalhes sobre problemas com MS-CHAP e LDAP.

Este procedimento descreve como configurar a conexão L2TP/IPSec no ASA:

  1. Defina um pool de endereços local ou use um servidor dhcp para o aplicativo de segurança adaptável para alocar endereços IP aos clientes para a política de grupo.
  2. Crie uma política de grupo interna.
    1. Defina o protocolo de túnel como l2tp-ipsec.
    2. Configure um servidor de nomes de domínio (DNS) a ser usado pelos clientes.
  3. Crie um novo grupo de túneis ou modifique os atributos do DefaultRAGroup existente. (Um novo grupo de túneis pode ser usado se o identificador de IPSec estiver definido como nome de grupo no telefone; consulte a etapa 10 para obter a configuração do telefone.)
  4. Defina os atributos gerais do grupo de túneis que são usados.
    1. Mapeie a política de grupo definida para este grupo de túneis.
    2. Mapeie o pool de endereços definido a ser usado por esse grupo de túneis.
    3. Modifique o grupo do servidor de autenticação se quiser usar algo diferente de LOCAL.
  5. Defina a chave pré-compartilhada sob os atributos de IPSec do grupo de túneis a ser usado.
  6. Modifique os atributos PPP do grupo de túneis que são usados para que somente chap, ms-chap-v1 e ms-chap-v2 sejam usados.
  7. Crie um conjunto de transformações com um tipo de criptografia ESP (encapsulating security payload, payload de segurança de encapsulamento específico) e um tipo de autenticação.
  8. Instrua o IPSec a usar o modo de transporte em vez do modo de túnel.
  9. Defina uma política ISAKMP/IKEv1 usando a criptografia 3DES com método hash SHA1.
  10. Crie um mapa de criptografia dinâmico e mapeie-o para um mapa de criptografia.
  11. Aplique o mapa de criptografia a uma interface.
  12. Ative o ISAKMP nessa interface.

Comandos do arquivo de configuração para compatibilidade com ASA

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Este exemplo mostra os comandos do arquivo de configuração que garantem a compatibilidade do ASA com um cliente VPN nativo em qualquer sistema operacional.

Exemplo de configuração do ASA 8.2.5 ou posterior

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_address
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto dynamic-map dyno 10 set transform-set set trans
crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

Exemplo de configuração do ASA 8.3.2.12 ou posterior

Username <name> password <passwd> mschap
ip local pool l2tp-ipsec_address 192.168.1.1-192.168.1.10
group-policy l2tp-ipsec_policy internal
group-policy l2tp-ipsec_policy attributes
            dns-server value <dns_server>
            vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
            default-group-policy l2tp-ipsec_policy
            address-pool l2tp-ipsec_addresses
tunnel-group DefaultRAGroup ipsec-attributes
            pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
            no authentication pap
            authentication chap
            authentication ms-chap-v1
            authentication ms-chap-v2
crypto ipsec ikev1 transform-set my-transform-set-ikev1 esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set my-transform-set-ikev1 mode transport
crypto dynamic-map dyno 10 set ikev1 transform-set my-transform-set-ikev1
crypto map vpn 20 ipsec-isakmp dynamic dyno
crypto map vpn interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
            authentication pre-share
            encryption 3des
            hash sha
            group 2
            lifetime 86400

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Este procedimento descreve como configurar a conexão:

  1. Abra o menu e escolha Configurações.
  2. Selecione Wireless e Network ou Wireless Controls. (A opção disponível depende da sua versão do Android.)
  3. Selecione a configuração da VPN na lista.
  4. Insira seu nome de usuário e senha.
  5. Selecione Lembrar nome de usuário.
  6. Selecione Conectar.

Este procedimento descreve como desconectar:

  1. Abra o menu e escolha Configurações.
  2. Selecione Wireless e Network ou Wireless Controls. (A opção disponível depende da sua versão do Android.)
  3. Selecione a configuração da VPN na lista.
  4. Selecione Desconectar.

Use estes comandos para confirmar se sua conexão está funcionando corretamente.

  • show run crypto isakmp - Para ASA versão 8.2.5
  • show run crypto ikev1 - Para ASA versão 8.3.2.12 ou posterior
  • show vpn-sessiondb ra-ikev1-ipsec - Para ASA versão 8.3.2.12 ou posterior
  • show vpn-sessiondb remote - para ASA versão 8.2.5

Note: A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Caveats conhecidos

  • ID de bug da Cisco CSCtq21535, "Retorno de rastreamento ASA ao conectar-se com o cliente Android L2TP/IPsec"
  • ID de bug da Cisco CSCtj57256, "A conexão L2TP/IPSec do Android não é estabelecida para o ASA55xx"
  • ID de bug da Cisco CSCtw58945, "conexões L2TP sobre IPSec falham com autorização ldap e mschapv2"

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Atri Basu and Rahul Govindan
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos