Asa настройка vpn

Read this article in English

Эта статья является логическим продолжением инструкции по настройке VPN между двумя маршрутизаторами Cisco, однако выделена в отдельный материал, так как в центре внимание здесь – настройка межсетевого экрана Cisco ASA.

По условию необходимо связать с помощью VPN соединения сети двух офисов – главного и дополнительного. Однако сейчас в головном офисе, вместо маршрутизатора Cisco 2800 будет использоваться межсетевой экран Cisco ASA 5510.

В распоряжении имеются:
Межсетевой экран Cisco ASA 5510 в главном офисе

Пользователи расположены в сети 192.168.10.0 /24
Внешний статический адрес 1.1.1.2 /30
Шлюз провайдера 1.1.1.1 /30

Маршрутизатор Cisco 881 в дополнительном офисе.

Пользователи расположены в сети 192.168.20.0 /24
Внешний статический адрес 2.2.2.2 /30
Шлюз провайдера 2.2.2.1 /30

Команды для маршрутизатора Cisco 881 рассмотрены в описании второго «универсального» способа настройки VPN тоннелей в статье «Настройка VPN между маршрутизаторами Cisco», поэтому здесь будет рассмотрена только конфигурацию Cisco ASA. На межсетевом экране уже будут выполнены предварительные настройки из статьи «Cisco ASA. Основы»: организовано удаленное управление и обеспечен доступ в Интернет из локальной сети офиса.

Шаг 0

Если версия операционной системы IOS старше, чем 8.3 (посмотреть текущую версию можно командой sh ver), то для упрощения конфигурации убираем настройку nat-control
FW-DELTACONFIG-1(config)#
no nat-control

Шаг 1. Проверка настройки интерфейсов

Проверяем, что на межсетевом экране корректно сконфигурированы внешний (outside) и внутренний (inside) интерфейсы. Из-за того, что в этой статье расссматривается модель Cisco ASA 5510 (вместо 5505) настройки чуть отличаются от тех, что приведены в упомянутой статье: ip адреса и иные параметры вместо виртуальных интерфейсов Vlan задаются сразу на физических интерфейсах Ethernet 0 и Ethernet 1.
Внешний интерфейс outside
FW-DELTACONFIG (config)#
interface Ethernet 0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut

Внутренний интерфейс inside для локальной сети.
FW-DELTACONFIG (config)#
interface Ethernet 1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
no shut

Шаг 2. Настройка параметров шифрования

Вводим параметры для шифрования трафика межу головным и дополнительным офисами и включаем шифрование на внешнем интерфейсе outside. Они идентичны тем, которые используются на маршрутизаторе Cisco 881 в удаленном офисе.
Для версий IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto isakmp enable outside

Для версий IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 enable outside

Шаг 3. Определение трафика, подлежащего шифрованию

Создаем список доступа ACL_CRYPTO_DO, в котором указываем трафик, подлежащий шифрованию. Остальные пакеты не будут отправляться в VPN тоннель.
FW-DELTACONFIG-1(config)#
access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

Создаем политику шифрования (crypto map), в которой даем ссылки на все правила и параметры шифрования, которые были созданы в шаге 2 и 3.
Для версии IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set transform-set ESP-3DES-SHA
Привязываем ее к внешнему интерфейсу outside.
FW-DELTACONFIG-1(config)#
crypto map SECMAP interface outside
Задаем ключ шифрования
FW-DELTACONFIG-1(config)#
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
pre-shared-key XXXXX
Вместо XXXXX указываем сам ключ для VPN с удаленной площадкой. Он будет одинаковым и на Cisco ASA в головном офисе и на Cisco 881 на удаленной площадке. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и специальные символы.

Все то же самое для версии IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

Явно задаем маршрут до сети удаленного офиса через внешний интерфейс (outside) и шлюз провайдера Интернет (1.1.1.1)
FW-DELTACONFIG-1(config)#
route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции адресов (NO-NAT)

Если помимо VPN подключения Cisco ASA используется для доступа пользователей в сеть Интернет (настроен динамический NAT для трансляции внутренних адресов во внешний), то добавьте эти строки, чтобы не транслировать трафик, предназначенный для всех внутренних сетей с частными ip адресами.

Команды для новых версий IOS, начиная с 8.3
object-group network NET_PRIVATE_IP
network-object 10.0.0.0 255.0.0.0
network-object 172.16.0.0 255.240.0.0
network-object 192.168.0.0 255.255.0.0

nat ( any,any ) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Команды для старых версий IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0
access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0
access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat ( inside ) 0 access-list NO-NAT

Если этого не сделать, то тоннель установится, но пакеты по нему передаваться не будут.

Шаг 7. Проверка работы VPN тоннеля

После выполнения настроек на маршрутизаторе Cisco 881 в дополнительном офисе проверяем работу VPN подключения, запустив ping с одного из хостов локальной сети головного офиса до одного из хостов дополнительного.
Проверить состояние тоннеля можно следующими командами:

Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Любое значение кроме(!) MM_ACTIVE означает, что тоннель не работает. Если он не устанавливается в течение минуты, следует проверить все введенные параметры и их полное соответствие на обоих устройствах, участвующих в шифровании.
Полное отсутствие информации при выводе этой команды скорее всего означает, что где-то пропущена какая-то строчка, например привязка crypto map ко внешнему интерфейсу.

Важно!
Обратите внимание, что построение VPN тоннеля начинается только после появления трафика, подлежащего шифрованию, между внутренними сетями.

Команда show crypto ipsec sa показывает количество переданных и полученных пакетов внутри VPN тоннеля. Незаменима во время отладки подключения. Информация доступна только(!) в случае, когда тоннель установлен. Если тоннеля нет, то вывод будет пустым.

FW-DELTACONFIG-1# sh cry ips sa
interface: outside
/. вырезано . /
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)
current_peer: 2.2.2.2
#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748
#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
/. вырезано . /
Строчка с pkts encaps отображает количество пакетов, которые были зашифрованы и отправлены в сторону соседнего офиса
Строчка с pkts decaps отображает количество пакетов, которые пришли с другой стороны тоннеля и были расшифрованы.

Команда clear crypto isakmp sa позволяет сбросить текущие vpn тоннели для их повторной инициализации. А команда clear crypto ipsec sa peer 2.2.2.2 сбросит счетчики входящих и исходящих пакетов.

Не стесняйтесь написать мне, если у Вас возникли вопросы или возникают трудности с настройкой подобных подключений. Буду рад помочь.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Поддержка

Категория: Сеть

Описание

Часто пользователям требуется доступ в локальную сеть офиса или предприятия из дома.
Понятно, что в данной ситуации Site-to-Site канал не построишь, поскольку у пользователя скорее всего нет необходимого оборудования.

Читать еще: Как защитить ячейки в гугл таблице

В этой ситуации пользователь может использовать приложение Ciscco VPN Client , а на маршрутизаторе используется технология, которая называется Cisco Easy VPN .

Используемое оборудование Cisco ASA-5505 (Security Appliance Software Version 9.1(6)6)

Пошаговая настройка Easy VPN на маршрутизаторе Cisco ASA с аутентификацией по ключу

Настройка политики ISAKMP

В Cisco ASA необходимо включить ISAKMP на интерфейсе

Здесь Inet — это имя внешнего интерфейса

crypto isakmp policy 10 — приоритет 10

authentication pre-share — аутентификация с помощью обычного ключа

encryption 3des — протокол шифрования 3des

hash md5 — алгоритм хеширования hash md 5

group 2 — по документации для подключения Cisco VPN Client необходима группа минимум 2

lifetime 3600 — для быстрого установления соединения

Настройка назначения адресов

Пул адресов — это адреса из локальной сети, каждый из которых может быть выдан подключившемуся клиенту
Пример настройки этого пула, здесь vpnusers — название пула:

Настройка transform-set для второй фазы

здесь:
transform-1 — имя

esp-3des — метод криптации

esp-md5-hmac — метод аутентификации

Настройка Crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec .
Так как к интерфейсу может быть применена только одна crypto map , то описать все туннели необходимо в одной и той же crypto map .
Однако, для Easy VPN необходимо использовать динамическую crypto map . Она отличается от обычной тем, что в ней указаны не все параметры.

Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map .

Применение transform-set к динамической crypto map

Настройка вставки обратного статического маршрута к адресу выданному клиенту (RRI)

Применение динамической crypto map к статической

Применение crypto map к интерфейсу

Настройка групповой политики

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.
В group-policy можно задать, например, такие параметры:

ACL для фильтрации трафика
Политику туннелирования трафика и какой трафик попадет в туннель
DNS-сервер и др.

Создание внутренней групповой политики

По умолчанию весь трафик клиента попадает в туннель, так как эта настройка наследуется из политики по умолчанию.
Для того чтобы указать какой трафик должен попадать в туннель, необходимо создать ACL, который будет его описывать и изменить политику туннелирования.
Эта функция называется split tunneling.
Для групповой политики EasyVPN в туннель будет попадать только трафик, который идет в сеть 192.168.2.0/24 :

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL,
который будет описывать разрешенный доступ и применить его к групповой политике, например:

Настройка tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN , указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В режиме ipsec-attributes :

Настройки аутентификации устройств:
При аутентификации по паролю — пароль
При аутентификации по сертификатам — соответствующая trustpoint.
Настройки аутентификации пользователей (xauth или hybrid):
Включается аутентификация xauth и указывается, как она будет выполняться
По умолчанию xauth включена и аутентификация выполняется по локальной базе пользователей
Включается аутентификация hybrid (в Cisco VPN клиенте она называется mutual)

В режиме general-attributes :

Привязывается пул адресов, который соответствует этой tunnel-group
Привязывается соответствующая групповая политика

Настройка аутентификации пользователя

Если мы хотим чтобы помимо пароля групповой политики использовалась аутентификация по пользователю, то настраиваем атрибуты пользователя:

Настройка клиента

Предположим, что клиент уже установлен, запускаем и жмем кнопку с плюсиком New

Вводим название политики, описание, ip-адрес, имя групповой политики, пароль групповой политики, нажимаем Сохранить

В результате профиль сохранится в основном окне

При нажатии кнопки подключить будет запрошен пароль и имя пользователя

Если все настроено верно, то после ввода пароля будет установлено соединение VPN , и пользователю станет доступна локальная сеть удаленного офиса.

Cisco ASA/Easy VPN

Материал из Xgu.ru

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Cisco ASA 5505 может быть Easy VPN клиентом, остальные модели Cisco ASA поддерживают только функциональность сервера. В примерах на странице в роли клиента используется Cisco VPN Client.

Содержание

[править] Общие принципы настройки Easy VPN на Cisco ASA

[править] Политика ISAKMP

В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.

Политика ISAKMP указывает параметры первой фазы:

Метод аутентификации (пароль, сертификаты)
Протокол шифрования (DES, 3DES, AES)
Алгоритм хеширования (MD5, SHA)
Группа DH
Время жизни SA

В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.

[править] Tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN, указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В режиме ipsec-attributes:
- Настройки аутентификации устройств:
  - При аутентификации по паролю — пароль
  - при аутентификации по сертификатам — соответствующая trustpoint.
- Настройки аутентификации пользователей (xauth или hybrid):
  - Включается аутентификация xauth и указывается как она будет выполняться
    - по умолчанию xauth включена и аутентификация выполняется по локальной базе пользователей
  - Включается аутентификация hybrid (в Cisco VPN клиенте она называется mutual)
В режиме general-attributes:
- Привязывается пул адресов, который соответствует этой tunnel-group
- Привязывается соответствующая групповая политика

В ASDM tunnel-group называется Connection Profile

[править] Tunnel-group DefaultRAGroup

В конфигурации существует tunnel-group DefaultRAGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn и ppp удалены):

[править] Групповая политика (group-policy)

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.

В group-policy можно задать, например, такие параметры:

ACL для фильтрации трафика
Политику туннелирования трафика и какой трафик попадет в туннель
DNS-сервер
и др.

Групповая политика может быть настроена локально или на RADIUS-сервере. Для того чтобы задать групповую политику на RADIUS, можно использовать несколько вариантов.

Для того чтобы обращаться за параметрами для group-policy на RADIUS-сервер, необходимо указать в настройках ASA, что политика внешняя:

Для того чтобы задать соответствующие атрибуты на RADIUS, необходимо создать пользователя TEST_GROUP с паролем cisco123 и указать атрибуты для него.

Xauth на RADIUS-сервере:

Если аутентификация будет выполняться через RADIUS, который связан с существующим каталогом пользователей, например AD, то удобней будет сделать внешней аутентификацию xauth. Политики аутентификации на RADIUS-сервере можно привязать к группам пользователей в AD и для политики назначить атрибуты.

Настройка xauth на RADIUS-сервере:

Эти методы не исключают друг друга и могут использоваться вместе. Атрибуты привязанные к пользователю будут перебивать соответствующие атрибуты для групповой политики. Те атрибуты, которые не заданы для пользователя, будут наследоваться из групповой политики. Те, которые не заданы для групповой, будут наследоваться из политики по умолчанию

[править] Групповая политика по умолчанию DfltGrpPolicy

В конфигурации существует групповая политика по умолчанию DfltGrpPolicy из которой наследуются все настройки, которые не были заданы явно в созданных групповых политиках. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn удалены):

[править] Transform-set

Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.

В transform-set указывается:

Протокол ESP
Протокол шифрования (DES, 3DES, AES)
Алгоритм хеширования (MD5, SHA)

[править] Crypto map. Dynamic crypto map

Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.

В каждом наборе правил crypto map можно указать такие параметры:

Адрес удаленной стороны туннеля (peer)
ACL, который указывает какие данные попадут в туннель
Transform-set
Группа DH для включения PFS
Вставка обратного маршрута (RRI)

Однако, для Easy VPN необходимо использовать динамическую crypto map. Она отличается от обычной тем, что в ней указаны не все параметры. Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map.

Пример настройки dynamic crypto map и применение её к обычной crypto map, а затем к внешнему интерфейсу:

[править] Фильтрация данных VPN

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.

Убедиться, что команда включена можно так:

Включить, если отключена:

[править] Настройка Easy VPN с аутентификацией по preshared key

[править] Пример пошаговой настройки

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

Настройка политики ISAKMP:

[править] Настройка назначения адресов

Пример создания пула адресов:

Назначение IP-адреса пользователю:

[править] Настройка групповой политики

Создание внутренней групповой политики (настроен DNS-сервер, политика будет использоваться только для Easy VPN (не для SSLVPN)):

Эта функция называется split tunneling.

Для групповой политики MANAGER_GROUP в туннель будет попадать только трафик, который идет в сеть 10.0.2.0/24:

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL, который будет описывать разрешенный доступ и применить его к групповой политике:

[править] Настройка tunnel-group

Настройка типа tunnel-group’ы:

Настройка pre-shared key:

Привязка пула адресов и групповой политики к tunnel-group:

Простой пример настройки Remote-VPN на Cisco ASA и Cisco VPN Client

Сегодня я кратко рассмотрю о том, как настроить Cisco ASA для remote-vpn используя ASDM. Так же рассмотрю настройку клиентской машины для настройки VPN используя Cisco VPN Client.

Наша Cisco ASA в простом случае использует два интерфейса: inside (интерфейс, смотрящий в сторону локальной сети) и outside (интерфейс смотрящий в сторону сети Internet).

Итак, как я уже отметил, использовать будем ASDM.

Настраивать будем IPSec VPN используя wizzard.

В меню Wizzards выбираем IPSec VPN wizzard…, тем самым запускается пошаговая инструкция по созданию настроек для VPN.

Выбираем необходимый нам тип VPN’а, в нашем случае это Remote-VPN (будем использовать соединение для мобильного сотрудника). VPN tunnel interface (здесь выбираем тот интерфейс к которому мы будем подкючаться. Т.к мы планируем подключаться из Internet, следовательно и интефейс выбираем — outside).

Ставим галочку: Enable inbound IPsec….

Идем далее (жмем Next).

Далее нам предлагают выбрать тип VPN клиента. Т.к. мы планируем использовать Cisco VPN Client, то соответсвенно выбираем необходимое, и идем дальше.

Далее нам необходимо выбрать метод аутентификации. Можно использовать pre-shared key, сертификаты, и challenge/response.

Мы будем использовать pre-shared key, поэтому вводим ключ, какой нам захочется. Для примера, 31337_31003. (он нам понадобится, когда будем настраивать клиентскую машину).

Так же здесь нам необходимо указать имя туннельной группы. Например test-vpn. (так же понадобится при настройки клиента). Переходим дальше.

Теперь нам необходимо выбрать, где находятся наши пользователи, у нас два варианта:

локально на cisco asa
используя AAA

Будем использовать первый вариант. (Жмем Next).

Теперь нам нужно добавить пользователя, который будет использоваться для vpn-подключения. Заполняем три поля, нажимаем Add. Жмем Next.

Теперь нам нужно создать пул адресов, из которого будет присваиваться адрес подключенному клиенту. Для этого жмем — New, заполняем поля, и Ok.

Теперь нам необходимо ввести дополнительные данные для клиента, такие как DNS сервера, Wins сервера, и доменное имя по умолчанию. Вводим Вам необходимые и переходим дальше.

Теперь нужно настроить IKE Policy (для построение IPSec туннеля).

Оставим все по умолчанию (кому необходимо — подстраиваем под себя), переходим далее.

Здесь мы настраиваем какие сети должен видеть удаленный пользователь, прописываем адреса, добавляем. Должно получится что-то вроде этого:

Ставим галочку : Enable split tunneling … — т.к. делается это для того, чтобы пакеты, которые направлялись на выделенные нами сети (в предыдущем пункте) шли через IPSec туннель (т.е. шифровались), а остальные (нарпимер локальная сеть у клиента, доступ в интернет), ходило без шифрования.

После жмем Next. Перед нами мы видим основные настройки которые мы сделали. Проверяем, если все правильно, жмем Finish.

Так же не забываем сохранить конфигурацию. В меню File — Save Running Configuration to Flash.

Теперь перейдем к настройке Cisco VPN Client. Будем использовать Mac OSX версию (в общем-то ничем не отличается от версий *nix, windows).

Будем считать, что у нас уже установлен Cisco VPN Client. Запускаем.

Connection Entry — имя нашего соединения (любое)

Description — описание нашего соединения (можно не заполнять)

Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль : test-vpn / 31337_31003 соответсвенно). Сохраняем.

Теперь пробуем подключиться. Если все настроено верно, у вас должно появиться приглашение к вводу имени пользователя и пароля (помните мы создавали при настройке ASA ? ). После ввода данных, у вас должен появиться замочек, напротив строки с Вашим профилем.

Настройка VPN на Cisco ASA

Наши специалисты ответят на любой интересующий вопрос по услуге

Очень часто возникает необходимость связать посредством VPN 2 офиса – главный и дополнительный (процедура для site to site не подходит). При этом в главном офисе будет использоваться фаервол Cisco ASA 5510.

Учитывая, этот факт пользователи главного офиса будут расположены по адресу 192.168.10.0 /24. Внешний статистический адрес — 1.1.1.2 /30. Шлюз провайдера — 1.1.1.1 /30.

В дополнительном офисе будет использоваться маршрутизатор с такими настройками:

IP-адрес пользователей — 192.168.20.0 /24.
Внешний статический адрес 2.2.2.2 /30.
Шлюз провайдера 2.2.2.1 /30.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности — мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа — межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) — сетевые системы защиты данных, в том числе на уровне конечных устройств:

VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
WAF: Barracuda WAF;
DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

Системы резервного копирования — Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
Системы хранения данных с функциями зеркалирования, резервирования — NetApp (25xx, 85xx, 9xxx);
Реализация любых других решений: AlienVault (SIEM).

Только сейчас — Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия — 2 месяца!

Почта для вопросов и заявок — info@lincas.ru, sales@lincas.ru

Горячая линия — Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Для изучения настроек VPN между Cisco ASA и роутером следует рассмотреть конфигурацию фаервола ASA 5510. Изначально на этом межсетевом экране уже организовано удаленное управление. Кроме того, в ASA 5510 обеспечена возможность доступна в интернет из локальной сети офисного помещения.

Шаг 0

Перед тем как начать настройку, стоит обратить внимание на используемую версию ОС IOS. Если она старше 8.3, то следует убрать настройку nat-control.

Шаг 1. Проверка корректности настройки интерфейсов

Первый шаг – проверка корректности конфигурации внешнего и внутреннего интерфейса. Inside-интерфейс для локальной сети должен выглядеть следующим образом:

interface Ethernet 1

ip address 192.168.10.1 255.255.255.0

interface Ethernet 0

ip address 1.1.1.2 255.255.255.252

Шаг 2. Настройка конфигурации шифрования

Следующим шагом будет настройка конфигурации для шифрования трафика между офисами. Для этого следует включить Outside-интерфейс. Для версий IOS до 9.0 используются такие настройки:

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto isakmp policy 1

crypto isakmp enable outside

Для версий операционной системы IOS после 9.0 применяются такие настройки:

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ikev1 policy 1

crypto ikev1 enable outside

Шаг 3. Определение трафика для шифрования

Для указания трафика, предназначенного для шифрования, следует создать список доступа ACL_CRYPTO_DO. Пакеты, не подлежащие шифрованию, будут отправлены в VPN туннель.

access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

На следующем этапе осуществляется создание политики шифрования. Здесь следует указать ссылки на все имеющиеся параметры и правила шифрования.

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set transform-set ESP-3DES-SHA

Привязываем ее к внешнему интерфейсу outside.

crypto map SECMAP interface outside

Задаем ключ шифрования

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

В последней строчке вместо XXXXX следует указать ключ для VPN клиента с удаленной площадкой. Этот ключ будет одинаковым как для главной офиса, так и для дополнительного. Данный ключ должен состоять как минимум из 50 символов. При этом в него должны входить не только буквы, но также цифры и специальные символы. За счет этого обеспечивается требуемый уровень безопасности.

Для версии IOS после 9.0 следует использовать такие же настройки:

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

На этом этапе задается маршрут до сети дополнительного офиса:

route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции

Зачастую межсетевой экран используется не только для подключения VPN, но и в целях обеспечения доступа пользователь в глобальную сеть. Для того чтобы предотвратить трансляцию ненужного трафика, следует осуществить следующие настройки.

Для версии IOS выше 8.3

object-group network NET_PRIVATE_IP

network-object 10.0.0.0 255.0.0.0

network-object 172.16.0.0 255.240.0.0

network-object 192.168.0.0 255.255.0.0

nat (any,any) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Для версии IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0

access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0

access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat (inside) 0 access-list NO-NAT

Данные настройки предотвратят передачу пакетов, но при этом туннель установится.

Шаг 7. Проверка работы туннеля VPN

После установки необходимых конфигураций на маршрутизаторе, необходимо проверить работу VPN подключения в дополнительном офисе. Для этого запускается команда Ping с хоста локальной сети на главном офисе. Для проверки состояния туннеля следует использовать такие программы:

Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

1 IKE Peer: 2.2.2.2

Type : L2L Role : responder

Rekey : no State : MM_ACTIVE

Туннель будет работать только в том случае, если будет выдаваться значение MM_ACTIVE. Возможны ситуации, когда соединение не устанавливается в течение минуты. В этом случае нужно проверить соответствие введенных параметров на устройствах, которые использовались в процессе шифрования. Полное отсутствие информации, как правило, означает набор неправильно кода.

Важно!

Построение VPN туннеля происходит только после появления трафика, предназначенного для шифрования.

Команда show crypto VPN ipsec демонстрирует число переданных и полученных пакетов. Эту команду обычно используют в процессе отладки подключения. Информация будет доступна лишь в случае установка туннеля.

FW-DELTACONFIG-1# sh cry ips sa

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)

#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748

#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#send errors: 0, #recv errors: 0

Строчка pkts encaps показывает число зашифрованных и отправленных пакетов. Строчка pkts decaps показывает число принятых и расшифрованных пакетов. Команда clear crypto isakmp выполнять сброс текущих VPN туннелей и их повторную инициализацию. Команда clear crypto ipsec sa peer 2.2.2.2 сбрасывает счетчики исходящих и входящих пакетов.

Важно!

Для сохранения конфигурации следует использовать программы copy run start ил write. В противном случае изменения будут потеряны после перезагрузки.

Настройка Remote-VPN на Cisco VPN Client и Cisco ASA

Cisco ASA обычно использует 2 интерфейса: внутренний и внешний. Для настройки IPSec VPN используется Wizzards. В меню необходимо выбрать IPSec VPN wizzard.

Таким образом, будет запущена инструкция по создания настроек VPN. Используемый тип VPN — Remote-VPN.

Также выбираем пункт VPN tunnel interface. Направление подключения – outside. Далее следует поставить галочку напротив Enable inbound IPsec и нажать Next. На следующем этапе нужно выбрать метод аутентификации. В качестве примера выбираем pre-shared key. Далее вводим любой ключ. Его следует запомнить, так как в дальнейшем он будет использоваться для настройки пользовательской машины.

В продолжение настройки нужно указать название туннельной группы.

Это имя в дальнейшем будет использоваться для настройки туннеля. На следующем этапе нужно выбрать местонахождение пользователей. Мы используем вариант – локально на Cisco ASA.

После этого необходимо добавить пользователя для VPN-подключения и ввести его данные.

Они должны быть такими же, как для WNS и DNS сервера.

Теперь следует осуществить настройку IKE Policy. Этот этап необходим для построения IPSec туннеля. Как правило, параметр по умолчанию остаются без изменений. При необходимости их можно перестроить под свои требования.

После этого выполнения настройка доступных сетей для удаленного пользователя и сохранение измененной конфигурации.

После выполнения всех вышеперечисленных действий можно перейти к настройке VPN клиента. В примере будет использоваться Mac OSX версию (он практически ничем не отличается от Windows).

Заполняем следующие поля:

Connection Entry — имя нашего соединения (любое)
Description — описание нашего соединения (можно не заполнять)
Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль: test-vpn / 31337_31003 соответственно). Сохраняем.

После этого можно осуществить подключение. Если настройка прошла успешно, пользователь увидит перед собой окно с просьбой ввести свое имя и пароль. После успешного введения этих данных напротив строки с профилем появится замочек. Таким образом, настройка VPN клиента будет завершена.

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.