Cisco ASA/Site-to-Site VPN
Материал из Xgu.ru
- Автор: Наташа Самойленко
[править] Общие принципы настройки site-to-site VPN на Cisco ASA
[править] Политика ISAKMP
В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.
Политика ISAKMP указывает параметры первой фазы:
- Метод аутентификации (пароль, сертификаты)
- Протокол шифрования (DES, 3DES, AES)
- Алгоритм хеширования (MD5, SHA)
- Группа DH
- Время жизни SA
В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.
[править] Tunnel-group
Tunnel-group это объект, в котором при настройке site-to-site VPN, указываются параметры для аутентификации на первой фазе IPsec.
При аутентификации по паролю -- пароль, а при аутентификации по сертификатам -- соответствующая trustpoint.
Для site-to-site VPN вместо имени tunnel-group указывается IP-адрес удаленной стороны туннеля.
|
|
В ASDM tunnel-group называется Connection Profile |
Пример настройки:
tunnel-group 192.168.10.5 type ipsec-l2l tunnel-group 192.168.10.5 ipsec-attributes pre-shared-key cisco123
[править] Tunnel-group DefaultL2LGroup
В конфигурации существует tunnel-group DefaultL2LGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.
По умолчанию она выглядит так:
sh run all tunnel-group DefaultL2LGroup tunnel-group DefaultL2LGroup type ipsec-l2l tunnel-group DefaultL2LGroup general-attributes no accounting-server-group default-group-policy DfltGrpPolicy tunnel-group DefaultL2LGroup ipsec-attributes no pre-shared-key peer-id-validate req no chain no trust-point isakmp keepalive threshold 10 retry 2
Tunnel-group DefaultL2LGroup удобно использовать в тех случаях, когда, например, на Cisco ASA терминируется много туннелей VPN с одинаковыми настройками. Можно задать, например, trustpoint, которую используют большинство туннелей, а для тех, которые используют другие, или pre-shared пароль, можно задать параметр в соответствующей tunnel-group.
|
|
К tunnel-group DefaultL2LGroup применена групповая политика DfltGrpPolicy. Большинство параметров в групповой политике относятся к удаленному VPN. Но некоторые относятся к Site-to-site. Изменить их можно для всех туннелей в этой политике. Или, создав отдельную, применить новую политику для конкретных туннелей. Пример изменения параметра idle-timeout для site-to-site VPN (если через туннель не будут передаваться данные 60 минут, то туннель будет разорван): group-policy DfltGrpPolicy attributes vpn-idle-timeout 60 |
[править] Transform-set
Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.
В transform-set указывается:
- Протокол ESP
- Протокол шифрования (DES, 3DES, AES)
- Алгоритм хеширования (MD5, SHA)
[править] Crypto map
Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec. Так как к интерфейсу может быть применена только одна crypto map, то описать все туннели необходимо в одной и той же crypto map.
Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.
В каждом наборе правил crypto map можно указать такие параметры:
- Адрес удаленной стороны туннеля (peer)
- ACL, который указывает какие данные попадут в туннель
- Transform-set
- Группа DH для включения PFS
- Вставка обратного маршрута (RRI)
Пример настройки crypto map для двух туннелей site-to-site и применение её к внешнему интерфейсу:
crypto map TEST_MAP 10 match address VPN_office_1 crypto map TEST_MAP 10 set peer 192.168.2.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 20 match address VPN_office_2 crypto map TEST_MAP 20 set peer 192.168.3.2 crypto map TEST_MAP 20 set transform-set aes-sha crypto map TEST_MAP interface outside
[править] Настройка исключения из правил трансляции
Если на Cisco ASA настроена трансляция адресов, то необходимо исключить трафик, который попадает в VPN из правил трансляции. Для этого используется правило nat 0.
Настройка исключения из правил трансляции:
ASA(config)# nat (inside) 0 access-list No_NAT
|
|
Можно создать только одно правило nat 0. Поэтому все исключения должны быть описаны в одном ACL. |
|
|
В 8.4 синтаксис поменялся и команда будет выглядеть так: nat (inside,outside) source static NET-LOCAL NET-LOCAL destination static NET-REMOTE NET-REMOTE Где NET-LOCAL и NET-REMOTE - заранее созданные object network с указанием нужных подсетей. NET-LOCAL - сеть со стороны ASA, NET-REMOTE - соответственно удалённая сеть. Можно конечно не создавать object network, но это крайне не удобно. Таких правил может быть больше одного - по одному на каждый туннель. |
[править] Фильтрация данных VPN
По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.
Убедиться, что команда включена можно так:
ASA(config)# sh run all sysopt
Включить, если отключена:
ASA(config)# sysopt connection permit-vpn
[править]
[править] Пример пошаговой настройки
[править] Настройка ISAKMP
Включение ISAKMP (IKE) на интерфейсе:
ASA1(config)# isakmp enable outside
Настройка политики ISAKMP:
ASA1(config)# isakmp policy 10 ASA1(config-isakmp-policy)# authentication pre-share ASA1(config-isakmp-policy)# encryption 3des ASA1(config-isakmp-policy)# hash sha ASA1(config-isakmp-policy)# group 2
[править] Настройка tunnel-group
Настройка типа tunnel-group'ы:
ASA1(config)# tunnel-group 192.168.2.2 type ipsec-l2l
Настройка pre-shared key:
ASA1(config)# tunnel-group 192.168.2.2 ipsec-attributes ASA1(config-tunnel-ipsec)# pre-shared-key cisco
[править] Настройка transform-set
ASA1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac
[править] Настройка и применение crypto map
Создание ACL, который указывает какой трафик попадет в туннель:
ASA1(config)# access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
Настройка crypto map:
ASA1(config)# crypto map TEST_MAP 10 match address L2LACL ASA1(config)# crypto map TEST_MAP 10 set peer 192.168.2.2 ASA1(config)# crypto map TEST_MAP 10 set transform-set 3DES_SHA ASA1(config)# crypto map TEST_MAP 10 set reverse-route
Применение crypto map:
ASA1(config)# crypto map TEST_MAP interface outside
[править] Пример конфигурации
Конфигурация ASA1:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 192.168.1.1 ! crypto isakmp enable outside crypto isakmp policy 10 authentication pre-shared encryption 3des hash sha group 2 lifetime 86400 ! tunnel-group 192.168.2.2 type ipsec-l2l tunnel-group 192.168.2.2 ipsec-attributes pre-shared-key cisco ! access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.2.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route ! crypto map TEST_MAP interface outside
Конфигурация ASA2:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.2.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.2.2 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 192.168.2.1 ! crypto isakmp enable outside crypto isakmp policy 10 authentication pre-shared encryption 3des hash sha group 2 lifetime 86400 ! tunnel-group 192.168.1.2 type ipsec-l2l tunnel-group 192.168.1.2 ipsec-attributes pre-shared-key cisco ! access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.1.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route ! crypto map TEST_MAP interface outside
[править] Настройка site-to-site VPN с аутентификацией по сертификатам
[править] Пример пошаговой настройки
[править] Настройка ASA для получения сертификата
Пример настройки trustpoint для получения сертификата от маршрутизатора Cisco, который выполняет роль CA:
crypto ca trustpoint TEST enrollment url http://192.168.1.1:80 subject-name CN=ASA1
Настройка trustpoint для получения сертификата от MS CA:
ASA1(config)# crypto ca trustpoint TEST ASA1(config-ca-trustpoint)# enrollment url http://172.16.2.10:80/certsrv/mscep/mscep.dll ASA1(config-ca-trustpoint)# subject-name CN=ASA1
Получение сертификата CA-сервера:
ASA1(config)# crypto ca authenticate TEST INFO: Certificate has the following attributes: Fingerprint: 3c6bd334 a8173e1b 28bd4d41 83a02f3a Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted.
Просмотр полученного сертификата:
ASA1(config)# sh crypto ca certificates
CA Certificate
Status: Available
Certificate Serial Number: 15f28ebb979b248a4d8e7466fa40d5c7
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Issuer Name:
cn=server2
dc=unix2
dc=nt
Subject Name:
cn=server2
dc=unix2
dc=nt
CRL Distribution Points:
[1] ldap:///CN=server2,CN=pc-2,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuratit
[2] http://pc-2.unix2.nt/CertEnroll/server2.crl
Validity Date:
start date: 19:23:19 EEST Nov 22 2009
end date: 19:31:10 EEST Nov 22 2014
Associated Trustpoints: TEST
Запрос на получение сертификата для ASA от CA-сервера:
ASA1(config)# crypto ca enroll TEST noconfirm % % Start certificate enrollment .. % The subject name in the certificate will be: CN=ASA1 % The fully-qualified domain name in the certificate will be: ASA1.unix.nt % Certificate request sent to Certificate Authority ASA1(config)# The certificate has been granted by CA!
|
|
Если в качестве CA используется MS CA, то туннель может не подниматься из-за требований ASA к сертификатам. В дебаг ошибка такого вида: CRYPTO_PKI(make trustedCerts list)CRYPTO_PKI:check_key_usage: ExtendedKeyUsage OID = 1.3.6.1.5.5.7.3.1 CRYPTO_PKI:check_key_usage: ExtendedKeyUsage OID = 1.3.6.1.5.5.7.3.1, NOT acceptable CRYPTO_PKI:check_key_usage: No acceptable ExtendedKeyUsage OIDs found Подробнее [1]. |
[править] Настройка ISAKMP
Включение ISAKMP (IKE) на интерфейсе:
ASA1(config)# isakmp enable outside
Настройка политики ISAKMP:
ASA1(config)# isakmp policy 10 ASA1(config-isakmp-policy)# authentication rsa-sig ASA1(config-isakmp-policy)# encryption 3des ASA1(config-isakmp-policy)# hash sha ASA1(config-isakmp-policy)# group 2
[править] Настройка tunnel-group
Настройка типа tunnel-group'ы:
ASA1(config)# tunnel-group 192.168.2.2 type ipsec-l2l
Настройка trustpoint:
ASA1(config)# tunnel-group 192.168.2.2 ipsec-attributes ASA1(config-tunnel-ipsec)# trust-point TEST
Trustpoint в tunnel-group, указывает какой сертификат использовать, когда ASA1 отвечает на запрос на установку туннеля, и, используя какой CA, проверить сертификат, который инициатор соединения прислал на ASA1.
[править] Настройка соответствия между сертификатом и tunnel-group
Создание правил, которые указывают какое поле в сертификате должно совпадать с указанным значением
crypto ca certificate map L2L 10 subject-name attr cn eq asa2
Включение просмотра правил tunnel-group-map при выборе tunnel-group
tunnel-group-map enable rules
Настройка соответствий между сертификатом и tunnel-group (если поля сертификата совпадут с правилом L2L 10 (то есть, CN = asa2), то это tunnel-group 192.168.2.2):
tunnel-group-map L2L 10 192.168.2.2
[править] Настройка transform-set
ASA1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac
[править] Настройка и применение crypto map
Создание ACL, который указывает какой трафик попадет в туннель:
ASA1(config)# access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
Настройка crypto map:
ASA1(config)# crypto map TEST_MAP 10 match address L2LACL ASA1(config)# crypto map TEST_MAP 10 set peer 192.168.2.2 ASA1(config)# crypto map TEST_MAP 10 set transform-set 3DES_SHA ASA1(config)# crypto map TEST_MAP 10 set reverse-route ASA1(config)# crypto map TEST_MAP 10 set trustpoint TEST
Trustpoint указанная в crypto map, будет использоваться при инициации соединения для того чтобы определить какой сертификат использовать для аутентификации.
Применение crypto map:
ASA1(config)# crypto map TEST_MAP interface outside
[править] Пример конфигурации
Конфигурация ASA1:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 192.168.1.1 ! crypto isakmp enable outside crypto isakmp policy 10 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 ! crypto ca trustpoint TEST enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll subject-name CN=ASA1 ! tunnel-group 192.168.2.2 type ipsec-l2l tunnel-group 192.168.2.2 ipsec-attributes trust-point TEST ! access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.2.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route crypto map TEST_MAP 10 set trustpoint TEST ! crypto map TEST_MAP interface outside ! crypto ca certificate map L2L 10 subject-name attr cn eq asa2 ! tunnel-group-map enable rules tunnel-group-map L2L 10 192.168.2.2
Конфигурация ASA2:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.2.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.2.2 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 192.168.2.1 ! crypto isakmp enable outside crypto isakmp policy 10 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 ! crypto ca trustpoint TEST enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll subject-name CN=ASA2 ! tunnel-group 192.168.1.2 type ipsec-l2l tunnel-group 192.168.1.2 ipsec-attributes trust-point TEST ! access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.1.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route crypto map TEST_MAP 10 set trustpoint TEST ! crypto map TEST_MAP interface outside crypto ca certificate map L2L 10 subject-name attr cn eq asa1 ! tunnel-group-map enable rules tunnel-group-map L2L 10 192.168.1.2
[править] Настройка site-to-site VPN с двумя провайдерами
[править] Пример конфигурации
Конфигурация ASA1:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ! route outside 0.0.0.0 0.0.0.0 192.168.1.1 ! crypto isakmp enable outside crypto isakmp policy 10 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 ! crypto ca trustpoint TEST enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll subject-name CN=ASA1 ! tunnel-group 192.168.2.2 type ipsec-l2l tunnel-group 192.168.2.2 ipsec-attributes trust-point TEST tunnel-group 192.168.3.2 type ipsec-l2l tunnel-group 192.168.3.2 ipsec-attributes trust-point TEST ! access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.2.2 192.168.3.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route crypto map TEST_MAP 10 set trustpoint TEST ! crypto map TEST_MAP interface outside ! crypto ca certificate map L2L 10 subject-name attr cn eq asa2 ! tunnel-group-map enable rules tunnel-group-map L2L 10 192.168.2.2
Конфигурация ASA2:
interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.2.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 192.168.2.2 255.255.255.0 ! interface GigabitEthernet0/2 nameif outside2 security-level 0 ip address 192.168.3.2 255.255.255.0 ! sla monitor 10 type echo protocol ipIcmpEcho 192.168.2.1 interface outside sla monitor schedule 10 life forever start-time now ! track 10 rtr 10 reachability ! route outside 0.0.0.0 0.0.0.0 192.168.2.1 1 track 10 route outside2 0.0.0.0 0.0.0.0 192.168.3.3 2 ! crypto isakmp enable outside crypto isakmp policy 10 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 ! crypto ca trustpoint TEST enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll subject-name CN=ASA2 ! tunnel-group 192.168.1.2 type ipsec-l2l tunnel-group 192.168.1.2 ipsec-attributes trust-point TEST ! access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 ! ! crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac ! crypto map TEST_MAP 10 match address L2LACL crypto map TEST_MAP 10 set peer 192.168.1.2 crypto map TEST_MAP 10 set transform-set 3DES_SHA crypto map TEST_MAP 10 set reverse-route crypto map TEST_MAP 10 set trustpoint TEST ! crypto map TEST_MAP interface outside crypto ca certificate map L2L 10 subject-name attr cn eq asa1 ! tunnel-group-map enable rules tunnel-group-map L2L 10 192.168.1.2
[править] Просмотр информации
sh crypto isakmp sa
sh crypto ipsec sa
asa1# sh vpn-sessiondb l2l
asa1# sh vpn-sessiondb detail l2l
[править] Пример вывода команд
Пример команд show на двух маршрутизаторах с установленным туннелем
Краткий просмотр информации на asa1:
asa1# sh vpn-sessiondb l2l Session Type: LAN-to-LAN Connection : 192.168.2.2 Index : 2 IP Addr : 172.16.1.0 Protocol : IKE IPsec Encryption : DES Hashing : SHA1 Bytes Tx : 22140 Bytes Rx : 22140 Login Time : 12:22:24 UTC Fri Apr 8 2011 Duration : 0h:06m:14s
Краткий просмотр информации на asa2:
asa2# sh vpn-sessiondb l2l Session Type: LAN-to-LAN Connection : 192.168.1.2 Index : 4 IP Addr : 10.0.1.0 Protocol : IKE IPsec Encryption : DES Hashing : SHA1 Bytes Tx : 15660 Bytes Rx : 15660 Login Time : 11:36:56 UTC Sat Apr 9 2011 Duration : 0h:04m:25s
Более подробная информация на asa1:
asa1# sh vpn-sessiondb detail l2l Session Type: LAN-to-LAN Detailed Connection : 192.168.2.2 Index : 2 IP Addr : 172.16.1.0 Protocol : IKE IPsec Encryption : DES Hashing : SHA1 Bytes Tx : 22140 Bytes Rx : 22140 Login Time : 12:22:24 UTC Fri Apr 8 2011 Duration : 0h:06m:14s IKE Tunnels: 1 IPsec Tunnels: 1 IKE: Tunnel ID : 2.1 UDP Src Port : 500 UDP Dst Port : 500 IKE Neg Mode : Main Auth Mode : preSharedKeys Encryption : DES Hashing : SHA1 Rekey Int (T): 86400 Seconds Rekey Left(T): 86027 Seconds D/H Group : 5 Filter Name : IPsec: Tunnel ID : 2.2 Local Addr : 10.0.1.0/255.255.255.0/0/0 Remote Addr : 172.16.1.0/255.255.255.0/0/0 Encryption : DES Hashing : SHA1 Encapsulation: Tunnel PFS Group : 5 Rekey Int (T): 28800 Seconds Rekey Left(T): 28427 Seconds Rekey Int (D): 3825000 K-Bytes Rekey Left(D): 3824979 K-Bytes Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Bytes Tx : 22140 Bytes Rx : 22140 Pkts Tx : 369 Pkts Rx : 369 NAC: Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds SQ Int (T) : 0 Seconds EoU Age(T) : 373 Seconds Hold Left (T): 0 Seconds Posture Token: Redirect URL :
Более подробная информация на asa2:
asa2# sh vpn-sessiondb detail l2l Session Type: LAN-to-LAN Detailed Connection : 192.168.1.2 Index : 4 IP Addr : 10.0.1.0 Protocol : IKE IPsec Encryption : DES Hashing : SHA1 Bytes Tx : 16080 Bytes Rx : 16080 Login Time : 11:36:56 UTC Sat Apr 9 2011 Duration : 0h:04m:33s IKE Tunnels: 1 IPsec Tunnels: 1 IKE: Tunnel ID : 4.1 UDP Src Port : 500 UDP Dst Port : 500 IKE Neg Mode : Main Auth Mode : preSharedKeys Encryption : DES Hashing : SHA1 Rekey Int (T): 86400 Seconds Rekey Left(T): 86127 Seconds D/H Group : 5 Filter Name : IPsec: Tunnel ID : 4.2 Local Addr : 172.16.1.0/255.255.255.0/0/0 Remote Addr : 10.0.1.0/255.255.255.0/0/0 Encryption : DES Hashing : SHA1 Encapsulation: Tunnel PFS Group : 5 Rekey Int (T): 28800 Seconds Rekey Left(T): 28527 Seconds Rekey Int (D): 4275000 K-Bytes Rekey Left(D): 4274985 K-Bytes Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Bytes Tx : 16140 Bytes Rx : 16140 Pkts Tx : 269 Pkts Rx : 269 NAC: Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds SQ Int (T) : 0 Seconds EoU Age(T) : 274 Seconds Hold Left (T): 0 Seconds Posture Token: Redirect URL :
[править] Подсказки по настройке VPN в CLI ASA
В Cisco ASA есть команда vpnsetup, которая позволяет посмотреть как настраивать различные виды VPN на ASA. В выводе команды показаны необходимые шаги и команды. Команда пригодится если под рукой нет документации или примера настройки.
Параметры команды (8.2):
- ipsec-remote-access
- l2tp-remote-access
- site-to-site
- ssl-remote-access
Пример вывода для site-to-site vpn:
asa1(config)# vpnsetup site-to-site steps
Steps to configure a simple site-to-site IKE/IPSec connection with examples:
1. Configure Interfaces
interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown
interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown
2. Configure ISAKMP policy
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
3. Configure transform-set
crypto ipsec transform-set myset esp-3des esp-sha-hmac
4. Configure ACL
access-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0
5. Configure Tunnel group
tunnel-group 10.20.20.1 type ipsec-l2l
tunnel-group 10.20.20.1 ipsec-attributes
pre-shared-key P@rtn3rNetw0rk
6. Configure crypto map and attach to interface
crypto map mymap 10 match address L2LAccessList
crypto map mymap 10 set peer 10.10.4.108
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set reverse-route
crypto map mymap interface outside
7. Enable isakmp on interface
crypto isakmp enable outside
[править] Дополнительная информация
- Cisco ASA Configuration Guide 8.2 (англ.) — раздел по настройке VPN
