https://www.opennet.ru/openforum/vsluhforumID6/946.html Всем доброго времени суток! Имеется проблема: На ASA настроил с помощью wizardа IPsec (IKEv1) Remoute Access VPN (для win), но не работает (ошибка 800), если отключить PFS, то vpn поднимается. В чем может быть проблема? <br><br><br>Вот конфиг :<br><br>ASA Version 8.4(6) <br>!<br><br>interface Ethernet0/0<br>nameif outside<br>security-level 0<br>ip address x.x.x.x 255.255.255.240 <br>ospf cost 10 <br>!<br>interface Ethernet0/1<br>no nameif<br>no security-level<br>no ip address<br>!<br>interface Ethernet0/1.10<br>vlan 10<br>nameif dmz10<br>security-level 10<br>ip address 172.16.1.1 255.255.255.0 <br>ospf cost 10<br>!<br>interface Ethernet0/2<br>nameif inside<br>security-level 100<br>ip address 172.16.3.18 255.255.255.240 <br>ospf cost 10<br>!<br>interface Ethernet0/3<br>description LAN Failover Interface<br>no nameif<br>no security-level<br>no ip address<br>!<br>interface Management0/0<br>nameif management<br>security-level 100<br>no ip address<br>ospf cost 10<br>management-only<br><br>ftp mode passive<br>clock timezone MSK 4<br>dns domain-lookup outside<br>dns domain-lookup dmz10<br>dns domain-lookup insi https://www.opennet.ru/openforum/vsluhforumID6/946.html#6 Thu, 05 Sep 2013 06:11:05 GMT Спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID6/946.html#5 Wed, 04 Sep 2013 17:40:17 GMT l2tp(ipsec) с pfs не работает.<br>IPSEC (lan-to-lan, win server/isa server) - pfs поддерживается.<br> https://www.opennet.ru/openforum/vsluhforumID6/946.html#4 Wed, 04 Sep 2013 12:48:28 GMT Так возможно ли сделать для Win клиента VPN с PFS (perfect Forwarding secrecy)????<br>Кто скажет?<br> https://www.opennet.ru/openforum/vsluhforumID6/946.html#3 Mon, 02 Sep 2013 13:48:57 GMT А можете выложить конфигурацию, которая получилась после того, как была сделана настройка через CLI? А то действительно, ASDM столько мусора в конфиг добавляет. Например зачем включать ikev1 на inside интерфейсе (crypto ikev1 enable inside).<br>Вот тут (http://www.go-to-easyit.com/2013/07/cisco-asa-3.html) можно глянуть настройку Remote Access VPN через CLI.<br>По вашему дебагу видно, что не проходит первая фаза (Phase 1 failure). Значит проблема в Ikev1 где то.<br>И вот тут:<br>group-policy DefaultRAGroup attributes<br>dns-server value 195.14.50.1 172.16.2.2<br>vpn-tunnel-protocol l2tp-ipsec <br>попробуйте прописать vpn-tunnel-protocol ikev1.<br> https://www.opennet.ru/openforum/vsluhforumID6/946.html#2 Mon, 02 Sep 2013 10:07:20 GMT &gt; Не используйте визарды. ASDM вообще мало чем удобен, кроме как графики смотреть. <br><br>Стер конфиг, настроил заново через командную строку, все тожн самое.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/946.html#1 Fri, 30 Aug 2013 21:01:23 GMT Не используйте визарды. ASDM вообще мало чем удобен, кроме как графики смотреть.<br>