Cisco Easy VPN

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Содержание

[править] Возможности

Cisco Easy VPN Remote позволяет автоматически управлять такими параметрами:

  • Устанавливать общие параметры для установки туннеля -- адреса, алгоритмы, время жизни туннеля
  • Установка туннелей в соответствии с установленными параметрами
  • Автоматическое создание правил трансляции адресов (NAT или PAT) и, при необходимости, соответствующих ACL
  • Аутентификация пользователей -- имена пользователей, имена групп, пароли
  • Управление ключами для шифрование и расшифровки данных
  • Аутентификация, шифрование, дешифрование данных в туннеле

[править] Ограничения

[править] Easy VPN Server

[править] Настройка AAA 

aaa new-model
aaa authentication login [list-name method1] [method2...]
aaa authorization network list-name local group radius
username name password encryption-type encrypted-password

Пример настройки авторизации пользователей: 

R_2(config)# aaa new-model
R_2(config)# aaa authorization network grouplist local group radius

(опционально) Настройка вида строки запроса аутентификации: 

aaa authentication password-prompt text-string
aaa authentication username prompt text-string

[править] Настройка политики isakmp

Настройка политики isakmp: 

R_2(config)#crypto isakmp policy 10
R_2(config-isakmp)#authentication pre-share 
R_2(config-isakmp)#encryption 3des
R_2(config-isakmp)#group 2

[править] Настройка групповой политики

После XAUTH-аутентификации, на Easy VPN клиента передаются настройки, которые хранятся для него на сервере. Настройки хранятся в соответствующей групповой политике и передаются на фазе, которая называется Mode Configuration.

Создание групповой политики (Group Policy): 

crypto isakmp client configuration group <group-name>

Параметры, которые могут быть назначены в групповой политике: 

R_2(config)#crypto isakmp client configuration group testgroup
R_2(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict    Restrict clients in this group to an interface
  acl                Specify split tunneling inclusion access-list number
  auto-update        Configure auto-upgrade
  backup-gateway     Specify backup gateway
  banner             Specify mode config banner
  browser-proxy      Configure browser-proxy
  configuration      Push configuration to the client
  crypto             Client group crypto aaa attribute list
  dhcp               Configure DHCP parameters
  dns                Specify DNS Addresses
  domain             Set default domain name to send to client
  exit               Exit from ISAKMP client group policy configuration mode
  firewall           Enforce group firewall feature
  group-lock         Enforce group lock feature
  include-local-lan  Enable Local LAN Access with no split tunnel
  key                pre-shared key/IKE password
  max-logins         Set maximum simultaneous logins for users in this group
  max-users          Set maximum number of users for this group
  netmask            netmask used by the client for local connectivity
  no                 Negate a command or set its defaults
  pfs                The client should propose PFS
  pool               Set name of address pool
  save-password      Allows remote client to save XAUTH password
  split-dns          DNS name to append for resolution
  wins               Specify WINS Addresses

Пример настройки групповой политики:

Создание политики с именем testgroup: 

R_2(config)# crypto isakmp client configuration group testgroup

Если аутентификация выполняется по pre-shared key, то обязательно нужно указать его в настройках группы: 

R_2(config-isakmp-group)# key vpnpassword

Имя домена: 

R_2(config-isakmp-group)# domain unix.nt

Название пула адресов из которого клиентам будут выдаваться адреса: 

R_2(config-isakmp-group)# pool easypool

[править] Настройка crypto map

[править] Настройка transform set 

R_2(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac

[править] Настройка динамической crypto map 

R_2(config)#crypto dynamic-map DYNAMIC 10

R_2(config-crypto-map)#set transform-set VPNTRANS

R_2(config-crypto-map)#reverse-route

[править] Создание crypto map 

R_2(config)#crypto map EASY client configuration address respond

R_2(config)#crypto map EASY isakmp authorization list grouplist

R_2(config)#crypto map EASY 65535 ipsec-isakmp dynamic DYNAMIC

[править] Применение crypto map 

R_2(config)#int fa0/1
R_2(config-if)#crypto map EASY

[править] черновик 

(Optional) Create IP address pool for connecting clients

Enable group policy lookup via AAA
Create an ISAKMP policy for remote VPN Client access
R1(config)# crypto isakmp enable
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# encryption 3des
R1(config-isakmp)# group 2
R1(config-isakmp)# end

Define a group policy for mode configuration push
Step 1: Add the group profile to be defined.
Step 2: Configure the ISAKMP pre-shared key.
Step 3: Specify the DNS servers.
Step 4: Specify the Microsoft WINS servers.
Step 5: Specify the DNS domain.
Step 6: Specify the local IP address pool.
Apply mode configuration and XAUTH

Step 1: Configure the router to respond to mode 
configuration requests.
Step 2: Enable IKE querying for a group policy.
Step 3: Enforce XAUTH
Step 3: Apply the dynamic crypto map to the crypto map.


Enable RRI for the client
Enable IKE DPD
Configure XAUTH
(Optional) Enable the XAUTH Save Password feature

Create Transform Sets

Step 1: Create a dynamic crypto map.
Step 2: Assign a transform set.
Step 3: Enable RRI.

[править] Easy VPN Client

Клиент 

Configure the DHCP server pool.
Configure the Cisco Easy VPN Remote client profile.
  Group and key
  Peer
  Mode
  Manual or automatic tunnel control

(Optional) Configure XAUTH Save Password Feature 
Assign the Cisco Easy VPN Remote client profile to the interfaces.
Verify the Cisco Easy VPN configuration.


Server 

dyn3(config)#aaa new-model 
dyn3(config)#aaa authorization network vpn-group local 
dyn3(config)#username cisco password 0 cisco

dyn3(config)#ip local pool Remote-Pool 192.168.1.30 192.168.1.40

dyn3(config)#crypto isakmp policy 10
dyn3(config-isakmp)#authentication pre-share 
dyn3(config-isakmp)#encryption 3des
dyn3(config-isakmp)#group 2
dyn3(config-isakmp)#end

dyn3(config)#crypto isakmp client configuration group DYN
dyn3(config-isakmp-group)#key VPNKEY
dyn3(config-isakmp-group)#domain cisco.com
dyn3(config-isakmp-group)#pool Remote-Pool
dyn3(config-isakmp-group)#exit

dyn3(config)#crypto ipsec transform-set VPNTRANS esp-3des esp-sha-hmac



dyn3(config)#crypto dynamic-map DYNAMIC 10
dyn3(config-crypto-map)#set transform-set VPNTRANS
dyn3(config-crypto-map)#reverse-route

dyn3(config)#crypto map ClientMap client configuration address respond
dyn3(config)#crypto map ClientMap isakmp authorization list vpn-group
dyn3(config)#crypto map ClientMap 65535 ipsec-isakmp dynamic DYNAMIC



dyn3(config)#int fa0/0
dyn3(config-if)#cryp
dyn3(config-if)#crypto map ClientMap
dyn3(config-if)#end

dyn3#sh crypto map
Crypto Map "ClientMap" 65535 ipsec-isakmp
        Dynamic map template tag: DYNAMIC
        Interfaces using crypto map ClientMap:
                FastEthernet0/0


Client

Cisco Easy VPN Client Profile 

dyn1(config)#crypto ipsec client ezvpn Client
dyn1(config-crypto-ezvpn)#group DYN key VPNKEY
dyn1(config-crypto-ezvpn)#peer 192.168.2.3
dyn1(config-crypto-ezvpn)#mode client
dyn1(config-crypto-ezvpn)#connect auto



dyn1(config)#int fa1/0
dyn1(config-if)#crypto ipsec client ezvpn Client

dyn1(config-if)#int fa0/0
dyn1(config-if)#crypto ipsec client ezvpn Client inside

[править] Проверка работы 

show crypto ipsec client ezvpn

show crypto session
Источник — «http://xgu.ru/wiki/Cisco_Easy_VPN»