Polytech-soft.com

ПК журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Cisco asa vpn site to site

CISCO настройка VPN Site-to-Site

Допустим есть у нас 2 офиса.

В обоих поднят overload nat, люди ходят в интернет.

Возникла потребность обмениваться конфиденциальными данными в зашифрованном виде.

Рассмотрим на примере CISCO VPN Site-to-Site

Роутер «Интернет»:
interface FastEthernet0/0
description site1
ip address 1.1.1.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
description site2
ip address 2.2.2.1 255.255.255.252
duplex auto
speed auto

Роутер 1:
interface FastEthernet0/0
description outside
ip address 1.1.1.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
ip access-list extended FOR-NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

Роутер 2:
interface FastEthernet0/0
description outside
ip address 2.2.2.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.2.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
ip access-list extended FOR-NAT
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any

В access-list»ах добавлена первая строчка, чтоб не натить трафик между сетями филиалов
Если ее не будет, то впн корректно не отработает

В первую очередь при построении IPSec туннеля создается мини-тунель для передачи служебных данных
Для построения используется ISAKMP (Internet Security Association and Key Management Protocol)
Необходимо настроить ряд параметров для его построения

1. алгоритм шифрования
2. алгоритм аутентификации
3. ключ
4. версия алгоритма Диффи-Хелмана (доступны 1,2,5)
5. время жизни туннеля

Данные параметры должны совпасть на обоих роутерах

Пример:

Здесь 1 произвольное число, роутеры ищут совпадающиую политику начиная с 1
Если у вас несколько политик на роутере, разумно будет указать более стойкие политики перед слабыми
crypto isakmp policy 1

des — 56-битное шифрование. Сейчас взламывается за 24 часа
3des — данные шифруются трижды алгоритмом des. Так-же поддается взлому
aes — Наиболее стоек. Возможно указать длину ключа (128, 192, 256 бит)
encr aes

Хеширование говорит о том, что данные не изменились злоумышленниками
md5 Message Digest 5
sha Secure Hash Standard
sha — является более надежным
hash sha

Аутентификация (возможна по ключу или сертификату):
pre-share Pre-Shared Key
rsa-encr Rivest-Shamir-Adleman Encryption
rsa-sig Rivest-Shamir-Adleman Signature
authentication pre-share

Время жизни задается в диапазоне:
lifetime ? lifetime in seconds

Версия алгоритма Диффи-Хелмана
group 2

Настройка ключа(preshared key) аутентификации и пира — роутер 2:
cisco — ключ, укажите свой
crypto isakmp key cisco address 2.2.2.2

Задаются методы шифрования, аутентификации данных, передаваемых между сетями
Параметры должны быть идентичны на обоих маршрутизаторах

Политика для защиты передаваемых данных (transform-set)
crypto ipsec transform-set TS ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
Как и в первой фазе логика у вариантов шифрования и хэша идентична
В первой фазе шифруется только содержимое пакета, во второй — весь пакет и заголовок 3 уровня
crypto ipsec transform-set TS esp-aes esp-sha-hmac

Определяем какой трафик шифровать:
ip access-list extended TO_VPN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Настройка crypto, привязка её к isakmp policy, внешнему интерфейсу:
crypto map CRMAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set TS
match address TO_VPN

Привязка к интерфейсу:
interface FastEthernet0/0
crypto map CRMAP

show crypto isakmp sa — отображает состояние

show crypto ipsec sa — отображает статистику активных IPSec туннелей

show crypto engine connections active— отображает общее количество шифрованных/дешированых пакетов

show crypto map – выведет cryptomap

sh crypto session brief – краткое состояние сессий

sh crypto session det – подробное состояние сетей

Cisco ASA/Site-to-Site VPN

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Содержание

[править] Общие принципы настройки site-to-site VPN на Cisco ASA

[править] Политика ISAKMP

В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.

Политика ISAKMP указывает параметры первой фазы:

  • Метод аутентификации (пароль, сертификаты)
  • Протокол шифрования (DES, 3DES, AES)
  • Алгоритм хеширования (MD5, SHA)
  • Группа DH
  • Время жизни SA

В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.

[править] Tunnel-group

Tunnel-group это объект, в котором при настройке site-to-site VPN, указываются параметры для аутентификации на первой фазе IPsec.

При аутентификации по паролю — пароль, а при аутентификации по сертификатам — соответствующая trustpoint.

Для site-to-site VPN вместо имени tunnel-group указывается IP-адрес удаленной стороны туннеля.

В ASDM tunnel-group называется Connection Profile

[править] Tunnel-group DefaultL2LGroup

В конфигурации существует tunnel-group DefaultL2LGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.

По умолчанию она выглядит так:

Tunnel-group DefaultL2LGroup удобно использовать в тех случаях, когда, например, на Cisco ASA терминируется много туннелей VPN с одинаковыми настройками. Можно задать, например, trustpoint, которую используют большинство туннелей, а для тех, которые используют другие, или pre-shared пароль, можно задать параметр в соответствующей tunnel-group.

К tunnel-group DefaultL2LGroup применена групповая политика DfltGrpPolicy. Большинство параметров в групповой политике относятся к удаленному VPN. Но некоторые относятся к Site-to-site. Изменить их можно для всех туннелей в этой политике. Или, создав отдельную, применить новую политику для конкретных туннелей.

Пример изменения параметра idle-timeout для site-to-site VPN (если через туннель не будут передаваться данные 60 минут, то туннель будет разорван):

[править] Transform-set

Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.

В transform-set указывается:

  • Протокол ESP
  • Протокол шифрования (DES, 3DES, AES)
  • Алгоритм хеширования (MD5, SHA)

[править] Crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec. Так как к интерфейсу может быть применена только одна crypto map, то описать все туннели необходимо в одной и той же crypto map.

Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.

В каждом наборе правил crypto map можно указать такие параметры:

  • Адрес удаленной стороны туннеля (peer)
  • ACL, который указывает какие данные попадут в туннель
  • Transform-set
  • Группа DH для включения PFS
  • Вставка обратного маршрута (RRI)

Пример настройки crypto map для двух туннелей site-to-site и применение её к внешнему интерфейсу:

[править] Настройка исключения из правил трансляции

Если на Cisco ASA настроена трансляция адресов, то необходимо исключить трафик, который попадает в VPN из правил трансляции. Для этого используется правило nat 0.

Настройка исключения из правил трансляции:

Можно создать только одно правило nat 0. Поэтому все исключения должны быть описаны в одном ACL.

В 8.4 синтаксис поменялся и команда будет выглядеть так:

Где NET-LOCAL и NET-REMOTE — заранее созданные object network с указанием нужных подсетей. NET-LOCAL — сеть со стороны ASA, NET-REMOTE — соответственно удалённая сеть. Можно конечно не создавать object network, но это крайне не удобно. Таких правил может быть больше одного — по одному на каждый туннель.

[править] Фильтрация данных VPN

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.

Убедиться, что команда включена можно так:

Включить, если отключена:

[править] Настройка site-to-site VPN с аутентификацией по preshared key

[править] Пример пошаговой настройки

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

Настройка политики ISAKMP:

[править] Настройка tunnel-group

Настройка типа tunnel-group’ы:

Настройка pre-shared key:

[править] Настройка transform-set

[править] Настройка и применение crypto map

Создание ACL, который указывает какой трафик попадет в туннель:

Настройка crypto map:

Применение crypto map:

[править] Пример конфигурации

[править] Настройка site-to-site VPN с аутентификацией по сертификатам

[править] Пример пошаговой настройки

[править] Настройка ASA для получения сертификата

Пример настройки trustpoint для получения сертификата от маршрутизатора Cisco, который выполняет роль CA:

Настройка trustpoint для получения сертификата от MS CA:

Получение сертификата CA-сервера:

Просмотр полученного сертификата:

Запрос на получение сертификата для ASA от CA-сервера:

Если в качестве CA используется MS CA, то туннель может не подниматься из-за требований ASA к сертификатам. В дебаг ошибка такого вида:

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

Настройка политики ISAKMP:

[править] Настройка tunnel-group

Настройка типа tunnel-group’ы:

Trustpoint в tunnel-group, указывает какой сертификат использовать, когда ASA1 отвечает на запрос на установку туннеля, и, используя какой CA, проверить сертификат, который инициатор соединения прислал на ASA1.

[править] Настройка соответствия между сертификатом и tunnel-group

Создание правил, которые указывают какое поле в сертификате должно совпадать с указанным значением

Включение просмотра правил tunnel-group-map при выборе tunnel-group

Настройка соответствий между сертификатом и tunnel-group (если поля сертификата совпадут с правилом L2L 10 (то есть, CN = asa2), то это tunnel-group 192.168.2.2):

[править] Настройка transform-set

[править] Настройка и применение crypto map

Создание ACL, который указывает какой трафик попадет в туннель:

Настройка crypto map:

Trustpoint указанная в crypto map, будет использоваться при инициации соединения для того чтобы определить какой сертификат использовать для аутентификации.

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка GRE туннеля на Cisco

Настройка Router-on-a-Stick на Cisco

Настройка интерфейсов коммутатора Cisco

Разбираемся с DTE/DCE интерфейсами

Настройка Site-To-Site IPSec VPN на Cisco

Защищенный туннель между офисами

Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.

В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.

ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.

Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.

Требования к IPSec VPN

Чтобы упростить понимание настройки разделим его на две части:

  1. Настройка ISAKMP (Фаза 1 ISAKMP)
  2. Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)

Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.

Настройка ISAKMP (IKE) — ISAKMP Phase 1

IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:

Приведенные выше команды означают следующее:

  • 3DES — метод шифрования, который будет использоваться на этапе 1
  • MD5 — алгоритм хеширования
  • Pre-Share — использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
  • Group 2 — группа Диффи-Хеллмана, которая будет использоваться
  • 86400 — время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.

Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.

Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес — 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.

Настройка IPSec – 4 простых шага

Для настройки IPSec нам нужно сделать следующее:

  • Создать расширенный ACL
  • Создать IPSec Transform
  • Создать криптографическую карту (Crypto Map)
  • Применить криптографическую карту к общедоступному (public) интерфейсу

Давайте рассмотрим каждый из вышеперечисленных шагов.

Шаг 1: Создаем расширенный ACL

Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.

Шаг 2: Создаем IPSec Transform

Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.

Приведенная выше команда определяет следующее:

  • ESP-3DES — метод шифрования
  • MD5 — алгоритм хеширования
Шаг 3: Создаем Crypto Map

Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:

Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.

Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу

Последний шаг — применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.

Обратите внимание, что интерфейсу можно назначить только одну криптокарту.

Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.

На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.

Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.

Трансляция сетевых адресов (NAT) и VPN-туннели IPSec

В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.

Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

Для первого маршрутизатора:

Для второго маршрутизатора:

Инициализация и проверка VPN-туннеля IPSec

К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:

Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.

Чтобы проверить VPN-туннель, используйте команду show crypto session:

Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Cisco ASA Site To Site VPN IKEv2 “Using CLI”

KB ID 0001429

Problem

You want a secure IPSEC VPN between two sites using IKEv2.

Note: If the device you are connecting to does not support IKEv2 (i.e. its not a Cisco ASA, or it’s running code older than 8.4) then you need to go to the older version of this article;

Solution

Before you start – you need to ask yourself “Do I already have any IPSEC VPN’s configured on this firewall?” Because if it’s not already been done, you need to enable ISAKMPВ IKEv2 on the outside interface. To ascertain whether yours is on or off, issue a “show run crypto ” command and check the results, if you do NOT see В “crypto ikev2 enable outside” then you need to issue that command.

1. I’m going to create access control lists next, one to tell the ASA what is “Interesting traffic”, that’s traffic that it needs to encrypt.

So below I’m saying “Don’t NAT Traffic from the network behind the ASA (10.254.254.0) that’s going to network behind the VPN device at the other end of the tunnel (172.16.254.0).

2. Now I’m going to create a “Tunnel Group” to tell the firewall it’s a site to site VPN tunnel “l2l”, and create a shared secret that will need to be entered at the OTHER end of the site to site VPN Tunnel. I also set a keep alive value.

Note: Ensure the Tunnel Group Name is the IP address of the firewall/device that the other end of the VPN Tunnel is terminating on.

3. Now we need to create a policy that will setup how “Phase 1” of the VPN tunnel will be established. It sets the encryption type (AES-256), the hashing/integrity algorithm (SHA-256), The Diffie Hellman group exchange version, and the Level of PRFВ (Pseudo Random Function). Finally it sets the timeout before phase 1 needs to be re-established. It sets the timeout value to 86400 seconds (That’s 1440 Minutes – or 24 hours if your still confused рџ™‚ ).

4. We stated above that we are going to use AES-256В and SHA-256, for Phase 1, so let’s use the same for the IPSEC proposal (Phase 2), ‘Transform Set’.

5. Finally we need to create a “Cryptomap”, this is the ‘thing’ that fires up the tunnel, when the ACL INTERESTING TRAFFIC is used, it also defines the transform set for “Phase 2” of the VPN Tunnel, that will also use 3DES and SHA and PFS. And last of all we apply that Cryptomap to the outside interface.

5. Don’t forget to save your hard work with a “write mem” command.

6. Simply configure the other end as a “Mirror Image” of this one.

ASA 5500 Site to Site IKEv2 VPN Copy and Paste Config

Note: This uses AES-256 and SHA-256. It also assumes your outside interface is called ‘outside’. Check! I’ve seen them called Outside (capital O), wan, and WAN.

Simply change the values in red where;

  • 10.0.0.0 255.255.255.0 is the network behind the ASA you are working on.
  • 10.0.3.0 255.255.255.0 is the destination network behind the device you are connecting to.
  • 2.2.2.2 is the peer IP address of the device you are attempting to connect to.
  • 1234567 Is the shared secret you will use at both ends.
Читать еще:  Кнопка сохранения html в pdf
Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector