Cisco Easy VPN
Материал из Xgu.ru
Содержание |
[править] Возможности
Cisco Easy VPN Remote позволяет автоматически управлять такими параметрами:
- Устанавливать общие параметры для установки туннеля -- адреса, алгоритмы, время жизни туннеля
- Установка туннелей в соответствии с установленными параметрами
- Автоматическое создание правил трансляции адресов (NAT или PAT) и, при необходимости, соответствующих ACL
- Аутентификация пользователей -- имена пользователей, имена групп, пароли
- Управление ключами для шифрование и расшифровки данных
- Аутентификация, шифрование, дешифрование данных в туннеле
[править] Ограничения
[править] Easy VPN Server
[править] Настройка AAA
aaa new-model aaa authentication login [list-name method1] [method2...] aaa authorization network list-name local group radius username name password encryption-type encrypted-password
Пример настройки авторизации пользователей:
R_2(config)# aaa new-model R_2(config)# aaa authorization network grouplist local group radius
(опционально) Настройка вида строки запроса аутентификации:
aaa authentication password-prompt text-string aaa authentication username prompt text-string
[править] Настройка политики isakmp
Настройка политики isakmp:
R_2(config)#crypto isakmp policy 10 R_2(config-isakmp)#authentication pre-share R_2(config-isakmp)#encryption 3des R_2(config-isakmp)#group 2
[править] Настройка групповой политики
После XAUTH-аутентификации, на Easy VPN клиента передаются настройки, которые хранятся для него на сервере. Настройки хранятся в соответствующей групповой политике и передаются на фазе, которая называется Mode Configuration.
Создание групповой политики (Group Policy):
crypto isakmp client configuration group <group-name>
Параметры, которые могут быть назначены в групповой политике:
R_2(config)#crypto isakmp client configuration group testgroup R_2(config-isakmp-group)#? ISAKMP group policy config commands: access-restrict Restrict clients in this group to an interface acl Specify split tunneling inclusion access-list number auto-update Configure auto-upgrade backup-gateway Specify backup gateway banner Specify mode config banner browser-proxy Configure browser-proxy configuration Push configuration to the client crypto Client group crypto aaa attribute list dhcp Configure DHCP parameters dns Specify DNS Addresses domain Set default domain name to send to client exit Exit from ISAKMP client group policy configuration mode firewall Enforce group firewall feature group-lock Enforce group lock feature include-local-lan Enable Local LAN Access with no split tunnel key pre-shared key/IKE password max-logins Set maximum simultaneous logins for users in this group max-users Set maximum number of users for this group netmask netmask used by the client for local connectivity no Negate a command or set its defaults pfs The client should propose PFS pool Set name of address pool save-password Allows remote client to save XAUTH password split-dns DNS name to append for resolution wins Specify WINS Addresses
Пример настройки групповой политики:
Создание политики с именем testgroup:
R_2(config)# crypto isakmp client configuration group testgroup
Если аутентификация выполняется по pre-shared key, то обязательно нужно указать его в настройках группы:
R_2(config-isakmp-group)# key vpnpassword
Имя домена:
R_2(config-isakmp-group)# domain unix.nt
Название пула адресов из которого клиентам будут выдаваться адреса:
R_2(config-isakmp-group)# pool easypool
[править] Настройка crypto map
[править] Настройка transform set
R_2(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac
[править] Настройка динамической crypto map
R_2(config)#crypto dynamic-map DYNAMIC 10
R_2(config-crypto-map)#set transform-set VPNTRANS
R_2(config-crypto-map)#reverse-route
[править] Создание crypto map
R_2(config)#crypto map EASY client configuration address respond
R_2(config)#crypto map EASY isakmp authorization list grouplist
R_2(config)#crypto map EASY 65535 ipsec-isakmp dynamic DYNAMIC
[править] Применение crypto map
R_2(config)#int fa0/1 R_2(config-if)#crypto map EASY
[править] черновик
(Optional) Create IP address pool for connecting clients Enable group policy lookup via AAA Create an ISAKMP policy for remote VPN Client access R1(config)# crypto isakmp enable R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption 3des R1(config-isakmp)# group 2 R1(config-isakmp)# end Define a group policy for mode configuration push Step 1: Add the group profile to be defined. Step 2: Configure the ISAKMP pre-shared key. Step 3: Specify the DNS servers. Step 4: Specify the Microsoft WINS servers. Step 5: Specify the DNS domain. Step 6: Specify the local IP address pool. Apply mode configuration and XAUTH Step 1: Configure the router to respond to mode configuration requests. Step 2: Enable IKE querying for a group policy. Step 3: Enforce XAUTH Step 3: Apply the dynamic crypto map to the crypto map. Enable RRI for the client Enable IKE DPD Configure XAUTH (Optional) Enable the XAUTH Save Password feature Create Transform Sets Step 1: Create a dynamic crypto map. Step 2: Assign a transform set. Step 3: Enable RRI.
[править] Easy VPN Client
Клиент
Configure the DHCP server pool. Configure the Cisco Easy VPN Remote client profile. Group and key Peer Mode Manual or automatic tunnel control (Optional) Configure XAUTH Save Password Feature Assign the Cisco Easy VPN Remote client profile to the interfaces. Verify the Cisco Easy VPN configuration.
Server
dyn3(config)#aaa new-model dyn3(config)#aaa authorization network vpn-group local dyn3(config)#username cisco password 0 cisco
dyn3(config)#ip local pool Remote-Pool 192.168.1.30 192.168.1.40
dyn3(config)#crypto isakmp policy 10 dyn3(config-isakmp)#authentication pre-share dyn3(config-isakmp)#encryption 3des dyn3(config-isakmp)#group 2 dyn3(config-isakmp)#end
dyn3(config)#crypto isakmp client configuration group DYN dyn3(config-isakmp-group)#key VPNKEY dyn3(config-isakmp-group)#domain cisco.com dyn3(config-isakmp-group)#pool Remote-Pool dyn3(config-isakmp-group)#exit
dyn3(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac
dyn3(config)#crypto dynamic-map DYNAMIC 10 dyn3(config-crypto-map)#set transform-set VPNTRANS dyn3(config-crypto-map)#reverse-route
dyn3(config)#crypto map ClientMap client configuration address respond dyn3(config)#crypto map ClientMap isakmp authorization list vpn-group dyn3(config)#crypto map ClientMap 65535 ipsec-isakmp dynamic DYNAMIC
dyn3(config)#int fa0/0 dyn3(config-if)#cryp dyn3(config-if)#crypto map ClientMap dyn3(config-if)#end
dyn3#sh crypto map Crypto Map "ClientMap" 65535 ipsec-isakmp Dynamic map template tag: DYNAMIC Interfaces using crypto map ClientMap: FastEthernet0/0
Client
Cisco Easy VPN Client Profile
dyn1(config)#crypto ipsec client ezvpn Client dyn1(config-crypto-ezvpn)#group DYN key VPNKEY dyn1(config-crypto-ezvpn)#peer 192.168.2.3 dyn1(config-crypto-ezvpn)#mode client dyn1(config-crypto-ezvpn)#connect auto
dyn1(config)#int fa1/0 dyn1(config-if)#crypto ipsec client ezvpn Client
dyn1(config-if)#int fa0/0 dyn1(config-if)#crypto ipsec client ezvpn Client inside
[править] Проверка работы
show crypto ipsec client ezvpn
show crypto session