src/vdc/vdc-how-to/networks/ipsec/asav.md

# Настройка ASAv для IPsec VPN

<!--@include: ../about-adapters.md{7,14}-->

::: info Примечание
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::

## 1. Подключиться к ASAv

1. Подключитесь к устройству ASAv через SSH или консоль.

2. Перейдите в режим конфигурации.

   ```bash
   configure terminal
   ```

## 2. Настроить ACL для трафика VPN

Создайте ACL для трафика, который нужно отправлять в IPsec туннель:

```bash
access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
```

## 3. Настроить IKE (фаза 1)

1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:

   ```bash
   tunnel-group 193.3.230.4 type ipsec-l2l
   tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX
   ```

2. Задайте параметры первой фазы IKE:

   ```bash
   crypto ikev1 policy 1
      authentication pre-share
      encryption aes-256
      hash sha
      group 2
      lifetime 28800
   ```

## 4. Настроить IPsec и cryptomap (фаза 2)

1. Определите алгоритмы шифрования для второй фазы:

   ```bash
   crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac
   ```

2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:

   ```bash
   crypto map outsidemap 10 match address NSX-T-T1-VPN
   crypto map outsidemap 10 set pfs
   crypto map outsidemap 10 set peer 193.3.230.4
   crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA
   ```

3. Назначьте криптокарту на внешний интерфейс OUTSIDE:

   ```bash
   crypto map outsidemap interface OUTSIDE
   ```

4. Включите IKEv1 на интерфейсе OUTSIDE:

   ```bash
   crypto ikev1 enable OUTSIDE
   ```

## 5. Настроить NAT для исключения трафика VPN

1. Определите локальную сеть для VPN:

   ```bash
   object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0
   ```

2. Определите удаленную сеть для VPN:

   ```bash
   object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0
   ```

3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:

   ```bash
   nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE
   ```

## 6. Сохранить конфигурации

1. Выйдите из режима конфигурации.

   ```bash
   end
   ```

2. Сохраните конфигурацию.

   ```bash
   write memory
   ```

3. Перезагрузите устройство.
Документация по настройке VPN #VEGA-6073 2025-12-15 10:11:41 +00:00			`# Настройка ASAv для IPsec VPN`

			`<!--@include: ../about-adapters.md{7,14}-->`

			`::: info Примечание`
			`Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.`
			`:::`

			`## 1. Подключиться к ASAv`

			`1. Подключитесь к устройству ASAv через SSH или консоль.`

			`2. Перейдите в режим конфигурации.`

			```bash
			`configure terminal`
			```

			`## 2. Настроить ACL для трафика VPN`

			`Создайте ACL для трафика, который нужно отправлять в IPsec туннель:`

			```bash
			`access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0`
			```

			`## 3. Настроить IKE (фаза 1)`

			`1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:`

			```bash
			`tunnel-group 193.3.230.4 type ipsec-l2l`
			`tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX`
			```

			`2. Задайте параметры первой фазы IKE:`

			```bash
			`crypto ikev1 policy 1`
			`authentication pre-share`
			`encryption aes-256`
			`hash sha`
			`group 2`
			`lifetime 28800`
			```

			`## 4. Настроить IPsec и cryptomap (фаза 2)`

			`1. Определите алгоритмы шифрования для второй фазы:`

			```bash
			`crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac`
			```

			`2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:`

			```bash
			`crypto map outsidemap 10 match address NSX-T-T1-VPN`
			`crypto map outsidemap 10 set pfs`
			`crypto map outsidemap 10 set peer 193.3.230.4`
			`crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA`
			```

			`3. Назначьте криптокарту на внешний интерфейс OUTSIDE:`

			```bash
			`crypto map outsidemap interface OUTSIDE`
			```

			`4. Включите IKEv1 на интерфейсе OUTSIDE:`

			```bash
			`crypto ikev1 enable OUTSIDE`
			```

			`## 5. Настроить NAT для исключения трафика VPN`

			`1. Определите локальную сеть для VPN:`

			```bash
			`object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0`
			```

			`2. Определите удаленную сеть для VPN:`

			```bash
			`object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0`
			```

			`3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:`

			```bash
			`nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE`
			```

			`## 6. Сохранить конфигурации`

			`1. Выйдите из режима конфигурации.`

			```bash
			`end`
			```

			`2. Сохраните конфигурацию.`

			```bash
			`write memory`
			```

			`3. Перезагрузите устройство.`