Cấu hình VPN Site to Site giữa Firewall Cisco ASA và Router Cisco

Thảo luận trong 'Firewall Cisco' bắt đầu bởi hoabanglang, 19/3/18.

  1. hoabanglang

    hoabanglang New Member

    Cấu Hình VPN Site to site thực hiện trên Router Cisco 2951 – Cisco ASA 5516

    upload_2018-3-19_14-33-2.jpeg
    SITE A – ROUTER CISCO 2951:

    Bước 1: Tạo Internet Key Exchange (IKE) key policy:

    Router(config)#crypto isakmp policy 10
    Router(config-isakmp)#encryption 3des
    Router(config-isakmp)#authentication pre-share
    Router(config-isakmp)#group 2

    Bước 2: Tạo shared key để sử dụng cho kết nối VPN

    Router(config)#crypto isakmp key Cisco123 address 210.245.101.100 (IP của ASA site B)

    Bước3: Quy định lifetime

    Router(config)#crypto ipsec security-association lifetime seconds 86400

    Bước4: Cấu hình ACL dãy IP có thể VPN

    – Lưu ý: đối với trường hợp Vừa quoay PPPoE vừa chạy VPN site to site thì trong phần NAT overload làm như sau:

    Router(config)#ip nat inside source route-map nonat interface Dialer0 overload
    Router(config)#route-map nonat petmit 10
    Router(config-route-map)#match ip address 100
    Router(config)#access-list 100 deny ip 192.168.6.0 0.0.0.255 10.16.3.0 0.0.0.255
    Router(config)#access-list 100 permit ip 192.168.6.0 0.0.0.255 any
    Router(config)#access-list 101 permit ip 192.168.6.0 0.0.0.255 10.16.3.0 0.0.0.255

    => Thì mạng bên trong mới vừa vào internet được và vừa VPN được.

    Bước 5: Định nghĩa transformations set cái mà sẽ được sử dụng cho VPN connection này:

    Router(config)#crypto ipsec transform-set SET-VPN esp-3des esp-sha-hmac

    Bước 6: Tạo cypto-map cho các transform, setname

    Router(config)#crypto map MAP-VPN 1 ipsec-isakmp
    Router(config-crypto-map)#set peer 210.245.101.100     (IP của ASA site B)
    Router(config-crypto-map)# set transform-set SET-VPN ( Setname ở bước 5)
    Router(config-crypto-map)#match address 101 (101 : acl-number ở bước 4 )

    Bước7: Gán vào interface

    Router(config)#interface dialer 0
    Router(config-if)#crypto map MAP-VPN

    SITE A – FIREWALL CISCO ASA 5516:

    Bước 1: tạo Connection Profiles:

    – Login vào ASDM và chọn Menu Startup Wizards… rồi sau đó chọn IPsec VPN Wizard…

    upload_2018-3-19_14-33-17.jpeg

    – Tại bước 1 chọn:

    + Tick vào Site-to-Site

    + VPN Tunnel Interface chọn interface: outside (WAN IP)

    + Và tick chọn Enable…. và bấm Next

    upload_2018-3-19_14-33-21.png

    – Ở bước 2:

    + Peer IP Address điền IP WAN của router 2951 (Site A).

    + Pre-shared key: gõ Cisco123 (giống như Pre-shared key ở router cisco 2951 site A) và nhấn Next.

    upload_2018-3-19_14-33-24.jpeg

    – Ở bước 2: chọn IKE Policy mã hóa và Authentication, lưu ý phải cùng loại với Router Cisco 2951. Ở đây ta để mặc định do ở bước 1 site A ta chọn 3des authen và Pre-shared key là : pre-share

    upload_2018-3-19_14-33-28.jpeg

    – Ở bước 3 chọn thuật toán mã hóa và authen cho Tunnel lưu ý phải phù hợp với Cisco 2951 site A. Ở đây ta chọn 3DES và SHA do ở bước 5 site A ta chọn esp-3des esp-sha-hmac

    upload_2018-3-19_14-33-31.jpeg

    – Tại bước 5: tương ứng với bước 4 Ở site A set ACL có thể VPN :

    + Local gõ 10.16.3.0/24

    + Remote 192.168.6.0/24

    + Và chọn interface translation là inside. Sau đó chọn Next
    upload_2018-3-19_14-33-36.jpeg

    – Và bấm Finish để hoàn tất việc tạo kết nối(Connection Profile).

    upload_2018-3-19_14-33-39.jpeg

    – Sau khi tạo kết nối xong tiế hành Enable interface for IPsec access.

    + Tại Access Interface click vào interface outside và click và check box Allow access tương ứng và nhấn Save

    upload_2018-3-19_14-33-42.jpeg

    Bước 2: Tạo Access List:

    – Sau khi tạo Connection Profile xong ta tiến hành set access-list nonat cho kết nối VPN. Lưu ý mặc định nonat sẽ disable, bạn cần phải enable nó lên trước sau đó mới có thể tiến hành tạo access-list cho nonat.

    + Xổ dấu cộng tại Certificate to Connection Profile… và chọn ACL Manager. tại nonat click chuột phải chọn Add ACE…
    upload_2018-3-19_14-33-47.jpeg

    – Permit cho class mạng 192.168.0.0/24 và 16.3.0/24 .

    upload_2018-3-19_14-33-50.jpeg

    – Sau khi tạo xong ta sẽ được như bên dưới.

    upload_2018-3-19_14-36-9.jpeg

    – Tương tự như vậy ta kiểm tra đã permit cho outside và inside chưa( mặc định outside_cryptomap được tự động tạo khi khởi tạo Connection Profile).

    upload_2018-3-19_14-36-40.png

    Kết quả: 2 site ping thấy nhau:
    upload_2018-3-19_14-36-50.jpeg

    upload_2018-3-19_14-36-53.jpeg
     
    hoabanglang, 19/3/18
    #1
  2. toanle

    toanle Member

    Trong bài viết này, sẽ hướng dẫn cấu hình VPN Site-to-Site IPSEC giữa Cisco IOS Router (29xx) và ASA Firewall (51xx). Cấu hình ASA không khác nhiều so với Cisco IOS liên quan đến IPSEC VPN vì các khái niệm cơ bản là giống nhau.

    Hãy xem xét sơ đồ sau: Site-1 (Remote1) được trang bị tường lửa Cisco ASA và Site-2 (Remote2) được trang bị Bộ định tuyến Cisco. Tường lửa Cisco ASA theo mặc định có khả năng hỗ trợ IPSEC VPN nhưng Bộ định tuyến Cisco phải có loại phần mềm IOS thích hợp để hỗ trợ các đường hầm VPN được mã hóa.

    [​IMG]

    Tình huống:

    LAN của Remote1 phải được kết nối với LAN của Remote2 thông qua VPN Tunnel. VPN Tunnel sẽ là kết nối an toàn được cung cấp giữa hai mạng LAN qua Internet.

    Trước hết, phải đảm bảo rằng các giao diện bên ngoài của ASA và bộ định tuyến phải có thể truy cập được qua mạng WAN. Bây giờ, hãy bắt đầu cấu hình IPSEC VPN.

    Cấu hình Firewall Cisco ASA

    Tạo danh sách Truy cập(ACL), danh sách này sẽ khớp với lưu lượng truy cập là lưu lượng được mã hóa. Nếu nguồn là 192.168.3.0/24 và đích là 192.168.4.0/24, thì lưu lượng truy cập sẽ được so khớp với danh sách truy cập và sẽ được mã hóa và đi qua đường hầm.

    ASA(config)# access-list vpn extended permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0

    !IKE PHASE #1
    ! Tạo chính sách phase1. Chính sách này cung cấp quy trình đổi Keys an toàn.
    ASA(config)# crypto isakmp policy 1

    ! Để xác thực, sử dụng Pre-share. Phương pháp này được sử dụng thường xuyên nhất hiện nay.
    ASA(config)# authentication pre-share

    ! Sử dụng mã hóa 3des.
    ASA(config)# encryption 3des

    ! Hashing md5.
    ASA(config)# hash md5

    ! Sử dụng nhóm thứ hai của diffie-hellman. Group1 được sử dụng theo mặc định. Bảo mật nhất là Group5.
    ASA(config)# group 2

    ! Cấu hình crypto key. Các khóa phải khớp với nhau giữa các khóa ngang hàng. Nếu không thì Giai đoạn 1 sẽ không được hoàn thành.
    ASA(config)# crypto isakmp secretsharedkey address 192.168.2.2

    Lưu ý: Khóa mật mã được ẩn trong cấu hình ASA. Nếu chúng ta nhìn vào cấu hình, nó sẽ được hiển thị theo cách sau.
    tunnel-group 192.168.2.2 ipsec-attributes
    pre-shared-key *

    ! Kích hoạt chính sách trên giao diện Bên ngoài.
    ASA(config)# crypto isakmp enable outside

    ! IKE PHASE #2

    ! Đường hầm VPN được thiết lập trong giai đoạn này và lưu lượng giữa các VPN ngang hàng được mã hóa theo các thông số bảo mật của giai đoạn này.

    ! Tạo Transform-set, theo đó lưu lượng sẽ được mã hóa và băm giữa các VPN ngang hàng.
    ASA(config)# crypto ipsec transform-set ts esp-3des esp-md5-hmac

    ! Áp dụng danh sách truy cập đã tạo trước đó để phù hợp với lưu lượng truy cập.
    ASA(config)# crypto map vpn 10 match address vpn

    ! Chỉ định địa chỉ của giao diện bên ngoài công khai ngang hàng của Remote2.
    ASA(config)# crypto map vpn 10 set peer 192.168.2.2

    ! Áp dụng transform-set.
    ASA(config)# crypto map vpn 10 set transform-set ts

    ! Đính kèm Crypto-map và VPN đã được tạo vào giao diện bên ngoài.
    ASA(config)# crypto map vpn interface outside

    Cấu hình ASA đã hoàn tất ở đây.

    Cấu hình Bộ định tuyến Cisco

    ISAKMP Phase 1

    ! Vào chế độ cấu hình chính sách crypto-isakmp để định cấu hình chính sách crypto isakmp.
    Router(config)# crypto isakmp policy 10

    ! Bật 3des làm loại mã hóa.
    Router(config)# encr 3des

    ! Chỉ định MD5 là loại hashing type.
    Router(config)# hash md5

    ! Chỉ định xác thực pre-share.
    Router(config)# authentication pre-share

    ! Sử dụng nhóm thứ hai của diffie-hellman. group1 được sử dụng theo mặc định.
    Router(config)# group 2

    ! Xác định peer key giống như site ASA.
    Router(config)# crypto isakmp secretsharedkey address 192.168.1.2

    Không cần thiết phải khớp với các số policy numbers. Điều quan trọng nhất là phù hợp với các thông số tương ứng của chính sách. Nếu không, việc đàm phán Giai đoạn 1 sẽ không thành công.

    ! Danh sách truy cập (ACL) phù hợp với lưu lượng truy cập.
    Router(config)# ip access-list extended vpn
    Router(config)# permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255

    ISAKMP PHASE 2
    ! Tạo bộ chuyển đổi IPSEC, theo đó cơ chế băm và mã hóa được xác định, theo đó lưu lượng sẽ được băm / mã hóa trong đường hầm VPN sau này.
    Router(config)# crypto ipsec transform-set ts esp-3des esp-md5-hmac

    ! Vào mode cấu hình crypto-map.
    Router(config)# crypto map vpn 10 ipsec-isakmp

    ! Chỉ định địa chỉ IP ngang hàng.
    Router(config)# set peer 192.168.1.2

    ! chỉ định IPsec transform-set được tạo ở trên.
    Router(config)# set transform-set ts

    ! Áp dụng access list được tạo ở trên.
    Router(config)# match address vpn

    ! Áp dụng crypto-map tới cổng interface.
    Router(config)# interface FastEthernet0/0
    Router(config)# crypto map vpn

    Đến đây cấu hình VPN đã hoàn tất, vì vậy hãy bắt đầu xác minh.

    ASA# show crypto isakmp sa

    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1 IKE Peer: 192.168.2.2
    Type : L2L Role : initiator
    Rekey : no State : MM_ACTIVE

    Router# show crypto isakmp sa
    dst src state conn-id slot
    192.168.1.2 192.168.2.2 MM_ACTIVE 1 0

    ! Trong đầu ra ở trên, hiển thị rằng ISAKMP PHASE1 đang hoạt động, có nghĩa là quá trình thương lượng PHASE1 đã hoàn tất thành công.

    ASA# show crypto ipsec sa
    interface: outside
    Crypto map tag: vpn, seq num: 10, local addr: 192.168.1.2

    access-list vpn permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0
    local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
    current_peer: 192.168.2.2

    #pkts encaps: 344, #pkts encrypt: 344, #pkts digest: 344
    #pkts decaps: 344, #pkts decrypt: 344, #pkts verify: 344
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 344, #pkts comp failed: 0, #pkts decomp failed: 0
    #pre-frag successes: 0, #pre-frag failures: 0, #framents created: 0
    #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    #send errors: 0, #recv errors: 0

    Router# show crypto ipsec sa

    interface: FastEthernet0/0
    Crypto map tag: vpn, local addr 192.168.2.2

    protected vrf: (none)
    local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
    current_peer 192.168.1.2 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 344, #pkts encrypt: 344, #pkts digest: 344
    #pkts decaps: 344, #pkts decrypt: 344, #pkts verify: 344
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

    ! Kiểm tra ISAKMP PHASE2 ở trên. Ở đây chúng ta thấy rằng IPSec đang hoạt động với các luồng lưu lượng trong VPN Tunnel.

    Kết luận: Đường hầm VPN được thiết lập và đang hoạt động.

    Chúc các bạn thành công!
     
    toanle, 8/6/21
    #2

trang này