Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

VPN IPSEC CISCO продолжение.

В прошлом посте  был рассмотрен IPSEC туннель. Но в целом туннели на Cisco, лично для меня,  порой представляют некую сложность в понимании и траблешутинге. Поэтому сегодня еще раз про это, для закрепления материала в голове.

Другой вариант.

Моя схема:

Приступим к настройке.

Настроим первый маршрутизатор и ISAKMP на нем.

R1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 10.10.10.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

*Mar  1 02:59:03.491: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

*Mar  1 02:59:04.491: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

R1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#interface fastEthernet 0/1

R1(config-if)#ip address 1.1.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

*Mar  1 03:01:01.811: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

*Mar  1 03:01:02.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

 

НАСТРОИМ ISAKMP (IKE) — ISAKMP PHASE 1

IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Начнем с настройки маршрутизатора R1 Головного офиса. Первым шагом является настройка политики ISAKMP Phase 1:

R1(config)#  crypto isakmp policy 1

R1(config-isakmp)# encr 3des

R1(config-isakmp)# hash md5

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# lifetime 86400

Приведенные выше команды означают следующее:

  • 3DES— метод шифрования, который будет использоваться на этапе 1
  • MD5— алгоритм хеширования
  • Pre-Share— использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
  • Group 2— группа Диффи-Хеллмана, которая будет использоваться
  • 86400— время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.

Политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.

Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

R1(config)# crypto isakmp key 12345678 address 1.1.1.2

Pre-Shared ключ партнера установлен на 12345678 (такие ключи лучше не использовать, это просто для примера) , а его публичный IP-адрес — 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.

НАСТРОИМ IPSEC.

Для настройки IPSec нужно сделать следующее:

  • Создать расширенный ACL.
  • Создать IPSec Transform.
  • Создать криптографическую карту (Crypto Map).
  • Применить криптографическую карту к общедоступному (public) интерфейсу.

СОЗДАМ РАСШИРЕННЫЙ ACL.

Нам нужно создать расширенный access-list  и в нем определить какой трафик хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.

R1(config)# ip access-list extended VPN-TRAFIC

R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

СОЗДАМ IPSEC TRANSFORM.

Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных.

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Приведенная выше команда определяет следующее:

  • ESP-3DES— метод шифрования
  • MD5— алгоритм хеширования

СОЗДАМ CRYPTO MAP-у.

Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2

R1(config-crypto-map)# set transform-set TS

R1(config-crypto-map)# match address VPN-TRAFFIC

Карта CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.

ПРИМЕНИМ КРИПТО КАРТУ К ОБЩЕДОСТУПНОМУ ИНТЕРФЕЙСУ.

Последний шаг — применить крипто карту к интерфейсу маршрутизатора, через который выходит трафик. Здесь исходящим интерфейсом является FastEthernet 0/1.

R1(config)# interface FastEthernet0/1

R1(config- if)# crypto map CMAP

Обратите внимание, что интерфейсу можно назначить только одну криптокарту.

Как только применим крипто карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.

Настройка IPSec VPN в Головном офисе завершена.

Теперь перейдем к маршрутизатору Филиала для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des

R2(config-isakmp)# hash md5

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)# group 2

R2(config-isakmp)# lifetime 86400

 

R2(config)# crypto isakmp key merionet address 1.1.1.1

R2(config)# ip access-list extended VPN-TRAFFIC

R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

 

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

R2(config)# crypto map CMAP 10 ipsec-isakmp

R2(config-crypto-map)# set peer 1.1.1.1

R2(config-crypto-map)# set transform-set TS

R2(config-crypto-map)# match address VPN-TRAFFIC

 

R2(config)# interface FastEthernet0/1

R2(config- if)# crypto map CMAP

 

ТРАНСЛЯЦИЯ СЕТЕВЫХ АДРЕСОВ (NAT) И VPN-ТУННЕЛИ IPSEC.

В реальной схеме трансляция сетевых адресов (NAT-PAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.

Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

Для первого маршрутизатора:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any

Для второго маршрутизатора:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0  0.0.0.255

R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any

 

ИНИЦИАЛИЗАЦИЯ И ПРОВЕРКА VPN-ТУННЕЛЯ IPSEC.

VPN-туннель готов. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN (как раз в прошлый раз я с этим столкнулся, пока не пустил ping, туннель никак не поднимался), делаю тоже самое и в этот раз:

R1# ping 20.20.20.1 source fastethernet0/0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:

Packet sent with a source address of 10.10.10.1

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.

Чтобы проверить VPN-туннель, используем команду show crypto session:

R1# show crypto session

Crypto session current status

Interface: FastEthernet0/1

Session status: UP-ACTIVE

Peer: 1.1.1.2 port 500

IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active

IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0

Active SAs: 2, origin: crypto map

Видно, что туннель поднялся и все работает.

Всем хорошей работы !!!

15.10.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи VPN IPSEC CISCO продолжение. отключены