Top-office11.ru

IT и мир ПК
33 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Asa2 vpn omk ru

Asa2 vpn omk ru

Read this article in English

Эта статья является логическим продолжением инструкции по настройке VPN между двумя маршрутизаторами Cisco, однако выделена в отдельный материал, так как в центре внимание здесь – настройка межсетевого экрана Cisco ASA.

По условию необходимо связать с помощью VPN соединения сети двух офисов – главного и дополнительного. Однако сейчас в головном офисе, вместо маршрутизатора Cisco 2800 будет использоваться межсетевой экран Cisco ASA 5510.

В распоряжении имеются:
Межсетевой экран Cisco ASA 5510 в главном офисе

  • Пользователи расположены в сети 192.168.10.0 /24
  • Внешний статический адрес 1.1.1.2 /30
  • Шлюз провайдера 1.1.1.1 /30

Маршрутизатор Cisco 881 в дополнительном офисе.

  • Пользователи расположены в сети 192.168.20.0 /24
  • Внешний статический адрес 2.2.2.2 /30
  • Шлюз провайдера 2.2.2.1 /30

Команды для маршрутизатора Cisco 881 рассмотрены в описании второго «универсального» способа настройки VPN тоннелей в статье «Настройка VPN между маршрутизаторами Cisco», поэтому здесь будет рассмотрена только конфигурацию Cisco ASA. На межсетевом экране уже будут выполнены предварительные настройки из статьи «Cisco ASA. Основы»: организовано удаленное управление и обеспечен доступ в Интернет из локальной сети офиса.

Шаг 0

Если версия операционной системы IOS старше, чем 8.3 (посмотреть текущую версию можно командой sh ver), то для упрощения конфигурации убираем настройку nat-control
FW-DELTACONFIG-1(config)#
no nat-control

Шаг 1. Проверка настройки интерфейсов

Проверяем, что на межсетевом экране корректно сконфигурированы внешний (outside) и внутренний (inside) интерфейсы. Из-за того, что в этой статье расссматривается модель Cisco ASA 5510 (вместо 5505) настройки чуть отличаются от тех, что приведены в упомянутой статье: ip адреса и иные параметры вместо виртуальных интерфейсов Vlan задаются сразу на физических интерфейсах Ethernet 0 и Ethernet 1.
Внешний интерфейс outside
FW-DELTACONFIG (config)#
interface Ethernet 0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut

Внутренний интерфейс inside для локальной сети.
FW-DELTACONFIG (config)#
interface Ethernet 1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
no shut

Шаг 2. Настройка параметров шифрования

Вводим параметры для шифрования трафика межу головным и дополнительным офисами и включаем шифрование на внешнем интерфейсе outside. Они идентичны тем, которые используются на маршрутизаторе Cisco 881 в удаленном офисе.
Для версий IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto isakmp enable outside

Для версий IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 enable outside

Шаг 3. Определение трафика, подлежащего шифрованию

Создаем список доступа ACL_CRYPTO_DO, в котором указываем трафик, подлежащий шифрованию. Остальные пакеты не будут отправляться в VPN тоннель.
FW-DELTACONFIG-1(config)#
access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

Создаем политику шифрования (crypto map), в которой даем ссылки на все правила и параметры шифрования, которые были созданы в шаге 2 и 3.
Для версии IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set transform-set ESP-3DES-SHA
Привязываем ее к внешнему интерфейсу outside.
FW-DELTACONFIG-1(config)#
crypto map SECMAP interface outside
Задаем ключ шифрования
FW-DELTACONFIG-1(config)#
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
pre-shared-key XXXXX
Вместо XXXXX указываем сам ключ для VPN с удаленной площадкой. Он будет одинаковым и на Cisco ASA в головном офисе и на Cisco 881 на удаленной площадке. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и специальные символы.

Все то же самое для версии IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

Явно задаем маршрут до сети удаленного офиса через внешний интерфейс (outside) и шлюз провайдера Интернет (1.1.1.1)
FW-DELTACONFIG-1(config)#
route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции адресов (NO-NAT)

Если помимо VPN подключения Cisco ASA используется для доступа пользователей в сеть Интернет (настроен динамический NAT для трансляции внутренних адресов во внешний), то добавьте эти строки, чтобы не транслировать трафик, предназначенный для всех внутренних сетей с частными ip адресами.

Команды для новых версий IOS, начиная с 8.3
object-group network NET_PRIVATE_IP
network-object 10.0.0.0 255.0.0.0
network-object 172.16.0.0 255.240.0.0
network-object 192.168.0.0 255.255.0.0

nat ( any,any ) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Команды для старых версий IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0
access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0
access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat ( inside ) 0 access-list NO-NAT

Если этого не сделать, то тоннель установится, но пакеты по нему передаваться не будут.

Шаг 7. Проверка работы VPN тоннеля

После выполнения настроек на маршрутизаторе Cisco 881 в дополнительном офисе проверяем работу VPN подключения, запустив ping с одного из хостов локальной сети головного офиса до одного из хостов дополнительного.
Проверить состояние тоннеля можно следующими командами:

  • Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Любое значение кроме(!) MM_ACTIVE означает, что тоннель не работает. Если он не устанавливается в течение минуты, следует проверить все введенные параметры и их полное соответствие на обоих устройствах, участвующих в шифровании.
Полное отсутствие информации при выводе этой команды скорее всего означает, что где-то пропущена какая-то строчка, например привязка crypto map ко внешнему интерфейсу.

Читать еще:  Сертификация сайта на безопасность

Важно!
Обратите внимание, что построение VPN тоннеля начинается только после появления трафика, подлежащего шифрованию, между внутренними сетями.

  • Команда show crypto ipsec sa показывает количество переданных и полученных пакетов внутри VPN тоннеля. Незаменима во время отладки подключения. Информация доступна только(!) в случае, когда тоннель установлен. Если тоннеля нет, то вывод будет пустым.

FW-DELTACONFIG-1# sh cry ips sa
interface: outside
/. вырезано . /
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)
current_peer: 2.2.2.2
#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748
#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
/. вырезано . /
Строчка с pkts encaps отображает количество пакетов, которые были зашифрованы и отправлены в сторону соседнего офиса
Строчка с pkts decaps отображает количество пакетов, которые пришли с другой стороны тоннеля и были расшифрованы.

  • Команда clear crypto isakmp sa позволяет сбросить текущие vpn тоннели для их повторной инициализации. А команда clear crypto ipsec sa peer 2.2.2.2 сбросит счетчики входящих и исходящих пакетов.

Не стесняйтесь написать мне, если у Вас возникли вопросы или возникают трудности с настройкой подобных подключений. Буду рад помочь.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Настройка VPN на Cisco ASA

Наши специалисты ответят на любой интересующий вопрос по услуге

Очень часто возникает необходимость связать посредством VPN 2 офиса – главный и дополнительный (процедура для site to site не подходит). При этом в главном офисе будет использоваться фаервол Cisco ASA 5510.

Учитывая, этот факт пользователи главного офиса будут расположены по адресу 192.168.10.0 /24. Внешний статистический адрес — 1.1.1.2 /30. Шлюз провайдера — 1.1.1.1 /30.

В дополнительном офисе будет использоваться маршрутизатор с такими настройками:

  • IP-адрес пользователей — 192.168.20.0 /24.
  • Внешний статический адрес 2.2.2.2 /30.
  • Шлюз провайдера 2.2.2.1 /30.

Таким образом, будет запущена инструкция по создания настроек VPN. Используемый тип VPN — Remote-VPN.

Также выбираем пункт VPN tunnel interface. Направление подключения – outside. Далее следует поставить галочку напротив Enable inbound IPsec и нажать Next. На следующем этапе нужно выбрать метод аутентификации. В качестве примера выбираем pre-shared key. Далее вводим любой ключ. Его следует запомнить, так как в дальнейшем он будет использоваться для настройки пользовательской машины.

В продолжение настройки нужно указать название туннельной группы.

Это имя в дальнейшем будет использоваться для настройки туннеля. На следующем этапе нужно выбрать местонахождение пользователей. Мы используем вариант – локально на Cisco ASA.

После этого необходимо добавить пользователя для VPN-подключения и ввести его данные.

Они должны быть такими же, как для WNS и DNS сервера.

Теперь следует осуществить настройку IKE Policy. Этот этап необходим для построения IPSec туннеля. Как правило, параметр по умолчанию остаются без изменений. При необходимости их можно перестроить под свои требования.

После этого выполнения настройка доступных сетей для удаленного пользователя и сохранение измененной конфигурации.

После выполнения всех вышеперечисленных действий можно перейти к настройке VPN клиента. В примере будет использоваться Mac OSX версию (он практически ничем не отличается от Windows).

Заполняем следующие поля:

  • Connection Entry — имя нашего соединения (любое)
  • Description — описание нашего соединения (можно не заполнять)
  • Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль: test-vpn / 31337_31003 соответственно). Сохраняем.

После этого можно осуществить подключение. Если настройка прошла успешно, пользователь увидит перед собой окно с просьбой ввести свое имя и пароль. После успешного введения этих данных напротив строки с профилем появится замочек. Таким образом, настройка VPN клиента будет завершена.

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.

Настройка SSL VPN на Cisco Router

Приветствую, коллеги, хотелось бы описать шаги настройки SSL VPN для Cisco, с описанием некоторых интересных нюансов, встречаемых на практике.

Для реализации схемы, показанной ниже, будем использовать следующее реальное физическое оборудование, также прошу заметить что названия интерфейсов условны и в реализации не применяются (реализовать ssl vpn в unl-eve не удалось, так как ни iol ни vios команды для конфигурирования webvpn не поддерживают):

Cisco 881 (C880DATA-UNIVERSALK9-M 15.2(4)M4)
Windows 7 x64 + AnyConnect 4.4

Для начала, что такое SSL VPN (или WEBVPN) от Cisco. Это своего рода наследник easy vpn или ipsec vpn, который позволяет по протоколу ssl (443 порт) удаленно подключиться к вашей корпоративной или домашней сети. Кроме простоты настройки и относительно «легкого» конфига, самым большим доводом за использование ssl является то, что он использует практически повсеместно «открытый» 443 порт для подключения, т.е. если бы вы, например, использовали ipsec, то необходимо было бы на межсетевом экране или же на граничном роутере открывать isakmp (500) порты, наверняка разрешить nat-t (4500), и еще вдобавок разрешить трафик esp, тогда как в случае с ssl подключение проходит по 443 порту, который в большинстве своем разрешен для хостов. Кроме этого не надо на стороне клиента производить каких либо настроек, удаленному пользователю достаточно знать всего лишь внешний ip или dns имя роутера, а также логин и пароль для входа (при использовании easyvpn помимо вышеперечисленного нужен pre-share ключ, а также наименование client configuration group).

Настройка:

1. Для начала необходимо активировать лицензию на роутере, в нашем случае используется cisco 881 c ios 15.2(4), для ознакомительной активации на 60 дней вводим след. команду в privilege режиме:

После чего соглашаемся с лицензионным соглашением.

2. Далее копируем дистрибутив any connect на роутер любым удобным способом(копирование лучше производить в заранее созданную директорию webvpn, так как если просто скопировать в корень flash, то при установке создастся копия файла установки в той же директории, соответственно займет больше места на flash) и устанавливаем его:

3. Включаем aaa (необходим, чтобы указать authentication list на нашем Web шлюзе (webvpn gateway)), заводим локальных пользователей (логин и пароль, которые здесь указываем необходимы для подключения к порталу из интернета, по типу внешнийадресроутера) и активируем https сервер:

4. Генерируем RSA ключи, создаем trustpoint и затем генерируем самоподписанный сертификат:

5. Настраиваем пул адресов, который будет выдаваться клиентам и создаем WebVPN Gateway, для команды ip interface вместо интерфейса можно указать непосредственно ip адрес командой ip address **** port 443:

6. Далее создаем и привязываем к нашему gateway так называемый webvpn context, в котором указаваем ранее созданный auth list, максимальное кол-во подключаемых пользователей, а также приветствие отображаемое при входе на портал через браузер(команда inservice в этом и предыдущем шаге активирует webvpn gateway и context):

7. Там же в конфигурации webvpn context создаем policy group, в которой задаем наш пул адресов, указываем какой трафик от клиентов будет заворачиваться в туннель (в нашем случае, когда destination у клиентов будут сети 192.168.1.0 /24 или 172.16.1.0/24 в таблице маршрутизации на клиентах появятся соответствующие записи только для этих двух сетей, указывающие на то, что этот трафик будет уходить в шифрованный туннель), команда functions svc-enabled указывает, что удаленный пользователь может подключаться с помощью самостоятельно установленного клиента anyconnect, т.е. не надо заходить через браузер:

8. Если у нас на внешнем интерфейсе висит ACL, то необходимо дописать правило:

В итоге запускаем на нашем клиенте браузер, вводим внешний адрес нашего роутера 212.212.0.1 и видим приглашение:

Осталось ввести логин пароль и установить соединение, на этом бы все, но есть один нюанс.
Если обратиться к нашей схеме, то сеть 192.168.1.0/24, та самая к которой мы подключаемся, находится за NATом, настройка NAT для роутера R1 следующая:

что произойдет если мы будем пинговать сеть 192.168.1.0 с подключившегося по vpn клиента(клиент получил адрес 10.0.0.12)? Пакеты от него зашифрованными будут уходить на R1, тот в свою очередь создает ответ с destination 10.0.0.12 и смотрит в таблицу маршрутизации:

Т.е. пакеты уходят с интерфейса dialer 1, а согласно вот этой замечательной таблице порядка операций над трафиком

после routing у нас идет NAT, а наше правило nat говорит нам, что наш source заменится на публичный адрес и в таком виде уйдет на клиента, который понятия не имеет о нашем внешнем адресе, следовательно пинг не пройдет и ничего работать не будет, исправляем добавлением следующей команды в acl NAT_POOL:

CISCO ASA VPN настройка

Рассмотрим кусочек конфига CISCO ASA 5540 для VPN

Адрес 1.1.1.2 выдуманный внешний адрес первой asa
Адрес 2.2.2.2 выдуманный внешний адрес второй asa
Сеть 192.168.10.0 локалка
Сети 10.10.20.0 и 10.10.10.0 за второй асой

Сетевые интерфейсы:
interface GigabitEthernet0/0
nameif WAN01
security-level 0
ip address 1.1.1.2 255.255.255.252

interface GigabitEthernet0/1
nameif VLAN-USER
security-level 50
ip address 192.168.1.1 255.255.255.0

Описаны сети:
object network OBJ-SUBNET-VLAN-USER
subnet 192.168.10.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-DEVEL
subnet 10.10.20.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-SR
subnet 10.10.10.0 255.255.255.0

object-group network GRP-NETWORK-DPC1
network-object object OBJ-SUBNET-DPC1-VLAN-DEVEL
network-object object OBJ-SUBNET-DPC1-VLAN-SR

Добавлены в списки доступа (рназрешено прохождение трафика):
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL extended permit ip object BJ-SUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-DEVEL
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR extended permit ip object OBJSUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-SR

Политики шифрования и аутентификации:
crypto ikev1 policy 1000
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1200
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

Задаем ключ вместо «*****»:
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *****

Методы аутентификации и шифрования:
crypto ipsec ikev1 transform-set CRYPTO-TSET-ESP-SHA esp-aes esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite

Опишем пиров:
crypto map CRYPTO-MAP-WAN01 1000 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL
crypto map CRYPTO-MAP-WAN01 1000 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1000 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1000 set reverse-route

crypto map CRYPTO-MAP-WAN01 1010 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR
crypto map CRYPTO-MAP-WAN01 1010 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1010 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1010 set reverse-route

Применяем к интерфейсу:
crypto map CRYPTO-MAP-WAN01 interface WAN01
crypto ikev1 enable WAN01

Мне понадобилось еще правило ната:
nat (VLAN-USER,WAN01) after-auto source static OBJ-SUBNET-VLAN-USER OBJ-SUBNET-VLAN-USER destination static GRP-NETWORK-DPC1 GRP-NETWORK-DPC1 no-proxy-arp route-lookup

Ссылка на основную публикацию
Adblock
detector