Tenho um problema com uma mistura de acesso remoto, túneis L2L e L2L dinâmico em um ASA5540 executando 8.2
Aqui está um trecho da configuração relevante: -
crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 201 match address outside-crypto-map-201
crypto map outside-crypto-map 201 set peer X.X.X.X
crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 202 match address outside-crypto-map-202
crypto map outside-crypto-map 202 set peer Y.Y.Y.Y
crypto map outside-crypto-map 202 set transform-set ESP-AES256-SHA
crypto map outside-crypto-map 65535 ipsec-isakmp dynamic outside-crypto-dynamic-map
crypto map outside-crypto-map interface outside
Eu tenho vários sites remotos que usam IPs dinâmicos. As sub-redes da LAN para elas estão em uma ACL "outside-crypto-dynamic-map-10".
Eles correspondem bem com base nesta linha: -
crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
Eu tenho outros túneis L2L "estáticos" que funcionam bem por 201 e 202 na configuração acima.
Com meus usuários de acesso remoto (Cisco VPN Client), a menos que eu tenha a seguinte linha, eles não se conectam: -
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
Se eu tentar adicionar uma instrução "endereço de correspondência" a essa sequência (como abaixo), o acesso remoto deixará de funcionar (onde "vpc-client-subnet" é uma ACL que contém a sub-rede do pool IP usado para os clientes de acesso remoto) pois não consegue encontrar um local / remoto correspondente.
crypto dynamic-map outside-crypto-dynamic-map 20 match address vpc-client-subnet
O problema é que tenho vários pontos de extremidade L2L por aí (que não quero mais conectar, mas não tenho controle) que ainda estão configurados (na extremidade remota) com o PSK usado pelos pares L2L dinâmicos. Eu removi as sub-redes da LAN do "outside-crypto-dynamic-map-10" (como eu não as quero mais conectadas) para que não correspondam mais no mapa dinâmico seq 10, no entanto, elas ainda podem concluir com êxito a fase 2 contra o "mapa dinâmico fora da criptografia 20" e parece que esse fim aceita apenas o que o controle remoto propõe como local / remoto para a SA.
Não estou em condições de alterar o PSK. Não consigo adicionar um "endereço de correspondência" ao "mapa dinâmico fora da criptografia 20", pois impedirá a conexão de clientes de acesso remoto; no entanto, se não o fizer, ele funcionará como um atrativo para outros pares. que de outra forma conhecem o PSK.
Idealmente, eu poderia adicionar "endereço de correspondência" à seq 20, para que os usuários de acesso remoto correspondam a ela, mas os pares "antigos" da seq 10 não. Como alternativa, existe uma maneira de impedir que o ASA aceite a idéia de pares remotos do local / remoto para o SA quando ele corresponder a um mapa que não possui uma declaração de "endereço de correspondência"?
EDITAR:
A configuração relevante do grupo de túneis: -
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *****
peer-id-validate nocheck
isakmp keepalive threshold 30 retry 5
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *****
isakmp keepalive threshold 30 retry 5
tunnel-group ravpn type remote-access
tunnel-group ravpn general-attributes
address-pool ip-pool-ravpn
authentication-server-group Edirectory
default-group-policy ravpn
tunnel-group ravpn ipsec-attributes
pre-shared-key *****
isakmp keepalive threshold 30 retry 2
tunnel-group-map default-group DefaultL2LGroup
Existem vários grupos de túneis para os túneis "estáticos" (conforme o exemplo xxxx acima). Os usuários de acesso remoto acessam o grupo de túneis "ravpn" e os dinâmicos correspondem ao "DefaultL2LGroup". O PSK não é o mesmo entre estes.