# Настройка ASAv для IPsec VPN

<!--@include: ../about-adapters.md{7,14}-->

::: info Примечание
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::

## 1. Подключиться к ASAv

1. Подключитесь к устройству ASAv через SSH или консоль.

2. Перейдите в режим конфигурации.

   ```bash
   configure terminal
   ```

## 2. Настроить ACL для трафика VPN

Создайте ACL для трафика, который нужно отправлять в IPsec туннель:

```bash
access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
```

## 3. Настроить IKE (фаза 1)

1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:

   ```bash
   tunnel-group 193.3.230.4 type ipsec-l2l
   tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX
   ```

2. Задайте параметры первой фазы IKE:

   ```bash
   crypto ikev1 policy 1
      authentication pre-share
      encryption aes-256
      hash sha
      group 2
      lifetime 28800
   ```

## 4. Настроить IPsec и cryptomap (фаза 2)

1. Определите алгоритмы шифрования для второй фазы:

   ```bash
   crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac
   ```

2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:

   ```bash
   crypto map outsidemap 10 match address NSX-T-T1-VPN
   crypto map outsidemap 10 set pfs
   crypto map outsidemap 10 set peer 193.3.230.4
   crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA
   ```

3. Назначьте криптокарту на внешний интерфейс OUTSIDE:

   ```bash
   crypto map outsidemap interface OUTSIDE
   ```

4. Включите IKEv1 на интерфейсе OUTSIDE:

   ```bash
   crypto ikev1 enable OUTSIDE
   ```

## 5. Настроить NAT для исключения трафика VPN

1. Определите локальную сеть для VPN:

   ```bash
   object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0
   ```

2. Определите удаленную сеть для VPN:

   ```bash
   object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0
   ```

3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:

   ```bash
   nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE
   ```

## 6. Сохранить конфигурации

1. Выйдите из режима конфигурации.

   ```bash
   end
   ```

2. Сохраните конфигурацию.

   ```bash
   write memory
   ```

3. Перезагрузите устройство.