Cấu hình VPN Site-to-Site trên Firewall Cisco ASA (VPN on a stick) Ta có 2 site: Site1 (IP LAN: 191.168.1.0/24) và Site2 (IP LAN: 192.168.2.0/24) kết nối với Internet thông qua tường lửa Firewall Cisco ASA và cần cấu hình VPN Site-to-Site. Kịch bản mạng cụ thể như sau: Các yêu cầu của thiết lập mạng là: 2 Site được kết nối với IPSEC VPN Site-to-Site qua Internet. Cả 2 Site đều sử dụng tường lửa Cisco ASA (phiên bản 9.x hoặc 8.4). Site1 là địa điểm trụ sở chính và Site2 là địa điểm chi nhánh ở xa. Các mạng LAN trên mỗi Site giao tiếp với nhau qua đường hầm IPSEC VPN. Các máy trong Site1 (mạng 192.168.1.0/24) có thể truy cập Internet thông qua kết nối Internet cục bộ thông qua ASA1. Các máy trong Site2 (mạng 192.168.2.0/24) chỉ có thể truy cập Internet qua Site1 thông qua đường hầm VPN. Mặc dù có kết nối Internet cục bộ trên Site2, các máy không được phép truy cập Internet trực tiếp. Chúng phải đến Site1 (ASA1 ) qua đường hầm VPN và sau đó dùng tường lửa ASA1 để truy cập Internet. Tình huống có lưu lượng truy cập VPN đi vào và thoát ra cùng một giao diện ASA được gọi là "VPN on a stick" (VPN trên một thanh). Các tình huống như trên rất hữu ích trong các trường hợp bạn muốn kiểm soát tập trung tất cả các truy cập Internet (đối với các máy trong Site chính và cả các máy trong các Site chi nhánh từ xa). Bạn có thể thực hiện lọc nội dung, bộ nhớ đệm, bảo vệ chống vi-rút, v.v. trên Site chính trung tâm và tất cả các Site khác sử dụng các tài nguyên tập trung này. Một số điểm chính cần lưu ý để thực hiện kịch bản trên là: Vì các máy Site2 (địa chỉ IP Private) không được phép truy cập Internet cục bộ, bạn không được cấu hình NAT trên ASA2 để dịch các địa chỉ IP Private sang IP Public. Điều này sẽ ngăn các máy truy cập Internet. Trên ASA1, bạn sẽ có lưu lượng truy cập từ Site2 vào và thoát ra cùng một giao diện (giao diện outside của tường lửa). Để thực hiện điều này, bạn phải bật lưu lượng “intra-interface” trên ASA1, để lưu lượng truy cập có thể vào và thoát ra cùng một giao diện đồng thời. Có thể thực hiện việc này bằng cách sử dụng lệnh “same-security-traffic allow intra-interface”. Trên ASA1, bạn phải thực hiện PAT trên lưu lượng truy cập đến từ Site2 để nó có thể truy cập internet thông qua giao diện bên ngoài ASA1. ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA2 và cho phép 192.168.2.0 đối với “any IP”. Điều này là bắt buộc để các máy Site2 có thể truy cập Internet thông qua đường hầm VPN. ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA1 phải cho phép “any IP” hướng tới 192.168.2.0. Điều này là bắt buộc để lưu lượng truy cập trở lại từ các máy trên Internet có thể qua đường hầm VPN tới Site2. Bây giờ chúng ta hãy xem cấu hình trên cả ASA1 và ASA2. Cấu hình Firewall ASA1 interface GigabitEthernet0 nameif outside security-level 0 ip address 20.20.20.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 !Cho phép lưu lượng truy cập nội bộ (để vào và thoát cùng một giao diện) same-security-traffic permit intra-interface !Cấu hình các đối tượng mạng theo yêu cầu bắt buộc object network obj-local subnet 192.168.1.0 255.255.255.0 object network obj-remote subnet 192.168.2.0 255.255.255.0 object network internal-lan subnet 192.168.1.0 255.255.255.0 ! ACL cho VPN Lưu lượng truy cập, cho phép bất kỳ IP nào hướng tới Site2 access-list VPN-ACL extended permit ip any 192.168.2.0 255.255.255.0 ! Miễn NAT cho lưu lượng VPN giữa Site1 - Site2 nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote ! Cấu hình PAT cho mạng LAN cục bộ để truy cập Internet bằng giao diện bên ngoài ASA1 object network internal-lan nat (inside,outside) dynamic interface ! Cấu hình PAT cho LAN Site2 từ xa để truy cập Internet qua giao diện bên ngoài ASA1 object network obj-remote nat (outside,outside) dynamic interface ! Cấu hình VPN IPSEC Site-to-Site crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 30.30.30.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 30.30.30.1 type ipsec-l2l tunnel-group 30.30.30.1 ipsec-attributes ikev1 pre-shared-key cisco123 Cấu hình Firewall ASA2 interface GigabitEthernet0 nameif outside security-level 0 ip address 30.30.30.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! Cấu hình các đối tượng mạng bắt buộc object network obj-local subnet 192.168.2.0 255.255.255.0 object network obj-remote subnet 192.168.1.0 255.255.255.0 ! ACL cho Lưu lượng truy cập VPN, cho phép Site2 hướng tới bất kỳ IP nào. access-list VPN-ACL extended permit ip 192.168.2.0 255.255.255.0 any ! Miễn NAT cho lưu lượng VPN giữa Site2 - Site1 nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote ! Cấu hình VPN IPSEC Site-to-Site crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 20.20.20.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 20.20.20.1 type ipsec-l2l tunnel-group 20.20.20.1 ipsec-attributes ikev1 pre-shared-key cisco123 Đến đây cấu hình VPN Site-to-Site (VPN on a stick) trên 2 Site sử dụng Firewall Cisco ASA đã hoàn tất. Chúc các bạn thực hiện thành công!
Cấu hình VPN Site-to-Site trên Firewall Cisco ASA bằng ASDM Xin chào các bạn, trong bài viết sau đây mình sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên Firewall Cisco ASA, ta có mô hình kết nối 02 chi nhánh như sau. * Các bước thực hiện: - Cấu hình VPN Site to Site trên site A - Cấu hình VPN Site to Site trên site B - Kiểm tra kết nối * Tiến hành cấu hình: Trước tiên, các bạn đăng nhập vào giao diện quản trị của ASA ở site A. Tiếp theo các bạn vào Configuration > Firewall > Address và chọn Add >> Network Object. Các bạn nhập IP lớp mạng trong ở site A, click OK. Tương tự, các bạn tạo những Object còn lại. Các bạn chọn Apply và send để áp dụng các thay đổi. Các bạn vào Wizard >> VPN Wizards >> Site-to-site VPN Wizard để mở giao diện cài đặt VPN. Ở màn hình Setup Wizard, các bạn click Next. Ở màn hình tiếp theo, các bạn nhập IP wan của ASA ở site B, chọn Interface là outsite, click Next. Màn hình tiếp theo, các bạn để như mặc định và click Next. Đến màn hình này, các bạn chọn Ipv4, Local Network là Site-A-Subnet, Remote Network là Site-B-Subnet, click Next. Tiếp theo, các bạn nhập Pre-shared Key, click Next. Ở màn hình này, cac bạn để mặc định, click Next. Kế tiếp, các bạn check vào những ô tùy chọn, click Next. Ở bước Summary, các bạn click Finish. Các bạn click send để thực thi các lệnh trên ASA. Trở về màn hình configuration, ta sẽ thấy một VPN connection profile được tạo ra. Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi. Các bạn chọn Send để thực thi các lệnh. Như vây, chúng ta đã hoàn tất cấu hình ở Site A. Thực hiện tương tự trên Site B, các bạn vào giao diện quản trị như bên dưới. Các bạn tạo các Network Object sau. Các bạn click Apply và Send để lưu các thay đổi. Bước tiếp theo, các bạn nhập IP Wan của ASA ở Site A à chọn Interface là outsite. Tiếp theo, các bạn chọn IP type là IPv4, Local Network là Site-B-Subnet, Remote Network là Site-A-Subnet. Bước kế tiếp, cac bạn nhập Pre-shared key và click Next. Kế tiếp, các bạn check chọn các check box và click next. Các bạn xem lại các thông tin đã cấu hình và click Finish. Các bạn click Send để thực thi các lệnh. Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi. Tiếp theo, các bạn click Send để thực thi các lệnh. Cuối cùng, các bạn kiểm tra kết nối giữa 2 site bằng lệnh Ping. Đến đây, các bước cấu hình VPN site to site trên Firewall Cisco ASA đã hoàn tất. Chúc các bạn thành công!
Cấu hình VPN Site to Site trên Cisco ASA bằng CLI Trong bài viết này mình sẽ hướng dẩn các bạn cấu hình VPN IPSec, cụ thể là cấu hình VPN Site to site trên Firewall Cisco ASA Ta sẽ sử dụng mô hình sau: Trong mô hình trên, yêu cầu đặt ra là thiết lập một VPN tunnel để bảo vệ traffic từ PC1 đi đến PC2. Trước khi có thể cấu hình VPN thì ta cần phải có đầy đủ các thông tin sau : 1) IKE Phase 1 policies: bao gồm encryption, hash, authentication, DH group, lifetime, pre-shared-key là gì? 2) IKE Phase 2 policies (transform set): encryption, hash, lifetime, có dùng PFS hay không? 3) Địa chỉ IP public của 2 VPN peers dùng để thiết lập VPN tunnel. 4) Những network sẽ được bảo vệ bởi VPN tunnel là gì? Trong bài này, chúng ta sẽ sử dụng các thông tin sau cho VPN tunnel : 1) IKE Phase 1 policies: + Encryption: 3DES + Hash: MD5 + Authentication: pre-shared-key + DH group: 2 + Pre-shared-key: cisco123 + Lifetime: 3600s 2) IKE Phase 2 policies: + Encryption: AES 256 + Hash: SHA1 + PFS: Group 5 + Lifetime: 1800s 3) Địa chỉ IP public của ASA1 là 100.0.0.1 (cổng outside1), địa chỉ IP public của ASA2 là 220.0.0.1 4) Hai network sẽ được bảo vệ bởi VPN tunnel là 192.168.2.0/24 và 172.16.2.0/24. Trước tiên ta sẽ bật IKE trên interface outside1 và cấu hình IKE Phase 1 policies. IKE có 2 version là IKEv1 và IKEv2. Ở đây ta sử dụng IKEv1: Tiếp theo ta sẽ cấu hình pre-shared-key để chứng thực VPN peer ở Phase 1 : Bước kế tiếp ta sẽ cấu hình crypto ACL (ACL quy định traffic nào sẽ được bảo vệ bởi VPN tunnel) và transform set. Crypto ACL và transform set sau đó sẽ được tham chiếu đến trong crypto map: Tiếp theo ta sẽ cấu hình crypto map để tham chiếu đến crypto ACL và transform set, đồng thời để set địa chỉ IP của VPN peer: Bước cuối cùng, ta sẽ áp crypto map đã cấu hình vào interface outside1. Ta phải đảm bảo ASA1 có route đến mạng 172.16.2.0/24 trỏ ra interface outside1 thì crypto map mới được kích hoạt, và khi đó traffic mới được mã hóa và bảo vệ bởi VPN tunnel: Cấu hình trên ASA2 hầu như tương tự với ASA1. Ta cũng phải đảm bảo ASA2 có route đến mạng 192.168.2.0/24 trỏ ra interface outside – là interface sẽ áp crypto map: Chú ý rằng lifetime ở cả Phase 1 và Phase 2 không cần phải giống nhau giữa 2 VPN peers, mà chúng sẽ tự thương lượng để sử dụng giá trị nào nhỏ hơn. Ngoài ra, trên ASA2 vì có translation rule dùng để NAT các traffic đi từ cổng inside ra outside – là interface đã áp crypto map – nên ta phải cấu hình Identity NAT để không NAT các traffic được đưa qua VPN tunnel (trên ASA1 không cần vì không có translation rule nào dùng để NAT traffic đi từ cổng inside ra outside1 – là interface đã áp crypto map) : Kiểm tra hoạt động của VPN tunnel bằng cách ping từ PC1 sang PC2. Vì quá trình thiết lập tunnel phải mất một khoảng thời gian nên các gói ping đầu tiên không thành công: Thực hiện bắt gói tin bằng Wireshark, ta thấy cần tổng cộng 6 gói tin để thương lượng xong Phase 1 ở Main Mode, và sau đó thương lượng Phase 2 ở Quick Mode cần thêm 3 gói tin nữa. Các gói tin tiếp theo (ESP) là traffic của PC1 gửi đến PC2 đã được mã hóa bởi VPN tunnel: Xem thông tin tunnel của Phase 1 bằng lệnh show crypto ikev1 sa detail Xem thông tin tunnel của Phase 2 bằng lệnh show crypto ipsec sa detail Xem thông tin tóm tắt tunnel của cả Phase 1 và Phase 2 bằng lệnh show vpn-sessiondb l2l Nếu như các bạn cấu hình site-to-site VPN trên Cisco router thì thực hiện như sau (giả sử trong mô hình trên thay ASA2 bằng router R2, và interface f0/0 của R2 kết nối với ISP2): Các lệnh kiểm tra trên router: show crypto isakmp sa detail để xem thông tin về tunnel của Phase 1, và show crypto ipsec sa detail để xem thông tin về tunnel của Phase 2 (IPsec tunnel).