Chào bạn!
Nếu cấu hình VPN trên ASA thì việc xác thực user để nối vào Lan thì phải thông wa ASA bạn ah!

Uhm mình hỏi là trên ASA có thể cấu hình VPN để cho user bên ngoài VPN Client vào bên trong mà ASA sẽ dùng AD để xác thực user thay vì dùng RADIUS server hoac database LOCAL để xác thực.

chào anh, anh xem sách Lab trang 187 nhé. Bài Thực hiện Ipsec VPN RA (remote-access) dùng LDAP

Hiện tại thì mình cấu hình chạy ok. Mình muôn cấu hình con ASA vừa chạy Ipsec VPN RA, vừa chạy Ipsec VPN dùng pre-shared thì mình sẽ cấu hình thế nào?

Hi anh. Đoạn này em chưa hiểu lắm: Ipsec VPN RA, vừa chạy Ipsec VPN dùng pre-shared. Pre-share là thông số xác thực cho Phare 1 thôi chứ không phải là VPN type.Anh nói rõ hơn yêu cầu tí nhé. Thank a.

@lenhung: Bạn làm theo hướng dẫn phía dưới nhé.

Ipsec VPN dùng pre-shared(vpn site to site) là tên bài LAB trong sách SNAP & SNAA.

tạo 2 policy cho ISAKMP, 1 cái cho RA (easy VPN),1 cái cho site to site, khi bạn xác thực bằng LDAP thực ra là bạn cũng dùng pre-share đó, quá trình xác thực user bằng LDAP là cuối của phase 1 rồi, sau quá trình tạo shared key bằng Diffie-Hellmann

bạn lenhung nì!
Mình cũng đã cấu hình thử thấy okay, nhưng bạn nói là tích hợp xác thực AD.... zị bạn làm được chưa?
Chứ theo mình thì kết nối VPN thì xác thực toàn trên ASA.

tùy theo yêu cầu thì pan xác thực dựa trên policy nào!
Nếu pan muốn cùng chạy thì tạo 2 policy.

site to site đâu cần phải dùng AD xác thực đâu bạn. Chỉ xác thực cho user trong mô hình Ipsec VPN RA. Ý mình là như vậy.

Mình làm đúng giống như trong sách (VPN LDAP), chẳng hiểu sao lại ko chạy được. Có ai giúp mình với.


ldap attribute-map VNPRO
map-name memberOf ietf-Radius-class
map-value memberOf CN=ADMIN,OU=vnpro,DC=test,DC=com ADMIN

aaa-server LDAP protocol ldap
aaa-server LDAP host 172.16.40.5

ldap-base-dn OU=vnpro,DC=test,DC=com
ldap-naming-attribute sAMAccountName
ldap-login-password P@ssw0rd
ldap-login-dn CN=Administrator,CN=Users,DC=test,DC=com
server-type microsoft
ldap-attribute-map VNPRO

tunnel-group VPN type remote-access
tunnel-group VPN general-attributes
authentication-server-group LDAP
tunnel-group VPN ipsec-attributes
pre-shared-key 123

group-policy ADMIN internal
group-policy ADMIN attributes
address-pools value ADMIN


ip local pool ADMIN 172.16.50.50-172.16.50.100 mask 255.255.255.0


crypto ipsec transform-set MYSET esp-des esp-md5-hmac
crypto dynamic-map DYNMAP 10 set transform-set MYSET
crypto map MYMAP 10 ipsec-isakmp dynamic DYNMAP
crypto map MYMAP interface outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

where does the "group-policy ADMIN" apply to?

you might try:

tunnel-group VPN general-attributes
default-group-policy ADMIN

HTH

Tao Lao