Cisco——ASA和winserver2016配置l2tp over ipsec连接

Cisco——ASA和winserver2016配置l2tp over ipsec连接

L2tp over ipsec vpn配置

网络拓扑图：

配置vpn时要确保Winserver15能够ping通ASA的eth0接口上的IP地址

ASA的配置：

配置ike策略：（配置模式下操作）

crypto ikev1 policy 10 //配置ike1的策略（进入策略后配置以下命令）

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

配置地址池：（地址池名字：l2tp，配置模式下操作）

ip local pool l2tp 192.168.2.2-192.168.2.10（地址范围）//配置名为l2tp的地址池

配置隧道组（L2tp要用默认隧道DefaultRAGroup，配置模式下操作）

tunnel-group DefaultRAGroup general-attributes

address-pool l2tp //关联地址池

tunnel-group DefaultRAGroup ipsec-attributes

ikev1 pre-shared-key cisco //预共享密钥

tunnel-group DefaultRAGroup ppp-attributes

authentication ms-chap-v2 //win支持MS-CHAP-v2

配置transform-set（配置模式下操作）

crypto ipsec ikev1 transform-set trans esp-3des esp-sha-hmac

crypto ipsec ikev1 transform-set trans mode transport（默认是tunnel，L2tp要走transport）

配置 dynamic-map（用来绑定上面的transform-set，配置模式下操作）

crypto dynamic-map dy 1001 set ikev1 transform-set trans

配置map（用来绑定上面的dynamic-map，配置模式下操作）

crypto map map 1001 ipsec-isakmp dynamic dy

在接口上应用map（配置模式下操作）

crypto ikev1 enable outside

crypto map map interface outside

创建vpn用户（配置模式下操作）

username chen password chen mschap

win的配置：（实验可以关闭防火墙，现实中是防火墙放行vpn）

创建vpn连接：

1、右键网络——打开网络和共享中心

2、点击“设置新的网络连接或网络”

3、点击“连接到工作区”

4、点击“使用我的Internet连接（vpn）”

5、点击“我将稍后设置Inetnet连接”

6、输入ASA的地址

7、点击“更改适配器设置”

8、右键VPN连接——属性

9、选择安全——修改以下内容

10、右键VPN连接——连接

11、输入ASA配置好的账号和密码

结果：（连接vpn后可以ping通172.16.10.0网段）

没有连接vpn时：【winserver15主机ping主机winserver（172.16.10.1）】

ping：

连接vpn后：【再次用winserver15主机ping主机winserver（172.16.10.1）】

ping：