Sdscompany.ru

Компьютерный журнал
42 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Asa vpn omk ru

Настройка VPN на Cisco ASA

Наши специалисты ответят на любой интересующий вопрос по услуге

Очень часто возникает необходимость связать посредством VPN 2 офиса – главный и дополнительный (процедура для site to site не подходит). При этом в главном офисе будет использоваться фаервол Cisco ASA 5510.

Учитывая, этот факт пользователи главного офиса будут расположены по адресу 192.168.10.0 /24. Внешний статистический адрес — 1.1.1.2 /30. Шлюз провайдера — 1.1.1.1 /30.

В дополнительном офисе будет использоваться маршрутизатор с такими настройками:

  • IP-адрес пользователей — 192.168.20.0 /24.
  • Внешний статический адрес 2.2.2.2 /30.
  • Шлюз провайдера 2.2.2.1 /30.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности — мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа — межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) — сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования — Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования — NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас — Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия — 2 месяца!

Почта для вопросов и заявок — info@lincas.ru, sales@lincas.ru

Горячая линия — Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Для изучения настроек VPN между Cisco ASA и роутером следует рассмотреть конфигурацию фаервола ASA 5510. Изначально на этом межсетевом экране уже организовано удаленное управление. Кроме того, в ASA 5510 обеспечена возможность доступна в интернет из локальной сети офисного помещения.

Шаг 0

Перед тем как начать настройку, стоит обратить внимание на используемую версию ОС IOS. Если она старше 8.3, то следует убрать настройку nat-control.

Шаг 1. Проверка корректности настройки интерфейсов

Первый шаг – проверка корректности конфигурации внешнего и внутреннего интерфейса. Inside-интерфейс для локальной сети должен выглядеть следующим образом:

interface Ethernet 1

ip address 192.168.10.1 255.255.255.0

interface Ethernet 0

ip address 1.1.1.2 255.255.255.252

Шаг 2. Настройка конфигурации шифрования

Следующим шагом будет настройка конфигурации для шифрования трафика между офисами. Для этого следует включить Outside-интерфейс. Для версий IOS до 9.0 используются такие настройки:

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto isakmp policy 1

crypto isakmp enable outside

Для версий операционной системы IOS после 9.0 применяются такие настройки:

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ikev1 policy 1

crypto ikev1 enable outside

Шаг 3. Определение трафика для шифрования

Для указания трафика, предназначенного для шифрования, следует создать список доступа ACL_CRYPTO_DO. Пакеты, не подлежащие шифрованию, будут отправлены в VPN туннель.

access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

На следующем этапе осуществляется создание политики шифрования. Здесь следует указать ссылки на все имеющиеся параметры и правила шифрования.

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set transform-set ESP-3DES-SHA

Привязываем ее к внешнему интерфейсу outside.

crypto map SECMAP interface outside

Задаем ключ шифрования

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

В последней строчке вместо XXXXX следует указать ключ для VPN клиента с удаленной площадкой. Этот ключ будет одинаковым как для главной офиса, так и для дополнительного. Данный ключ должен состоять как минимум из 50 символов. При этом в него должны входить не только буквы, но также цифры и специальные символы. За счет этого обеспечивается требуемый уровень безопасности.

Для версии IOS после 9.0 следует использовать такие же настройки:

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

На этом этапе задается маршрут до сети дополнительного офиса:

route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции

Зачастую межсетевой экран используется не только для подключения VPN, но и в целях обеспечения доступа пользователь в глобальную сеть. Для того чтобы предотвратить трансляцию ненужного трафика, следует осуществить следующие настройки.

Для версии IOS выше 8.3

object-group network NET_PRIVATE_IP

network-object 10.0.0.0 255.0.0.0

network-object 172.16.0.0 255.240.0.0

network-object 192.168.0.0 255.255.0.0

nat (any,any) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Для версии IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0

access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0

access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat (inside) 0 access-list NO-NAT

Данные настройки предотвратят передачу пакетов, но при этом туннель установится.

Шаг 7. Проверка работы туннеля VPN

После установки необходимых конфигураций на маршрутизаторе, необходимо проверить работу VPN подключения в дополнительном офисе. Для этого запускается команда Ping с хоста локальной сети на главном офисе. Для проверки состояния туннеля следует использовать такие программы:

Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

1 IKE Peer: 2.2.2.2

Type : L2L Role : responder

Rekey : no State : MM_ACTIVE

Туннель будет работать только в том случае, если будет выдаваться значение MM_ACTIVE. Возможны ситуации, когда соединение не устанавливается в течение минуты. В этом случае нужно проверить соответствие введенных параметров на устройствах, которые использовались в процессе шифрования. Полное отсутствие информации, как правило, означает набор неправильно кода.

Важно!

Построение VPN туннеля происходит только после появления трафика, предназначенного для шифрования.

Команда show crypto VPN ipsec демонстрирует число переданных и полученных пакетов. Эту команду обычно используют в процессе отладки подключения. Информация будет доступна лишь в случае установка туннеля.

Читать еще:  Openvpn подключение к серверу

FW-DELTACONFIG-1# sh cry ips sa

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)

#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748

#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#send errors: 0, #recv errors: 0

Строчка pkts encaps показывает число зашифрованных и отправленных пакетов. Строчка pkts decaps показывает число принятых и расшифрованных пакетов. Команда clear crypto isakmp выполнять сброс текущих VPN туннелей и их повторную инициализацию. Команда clear crypto ipsec sa peer 2.2.2.2 сбрасывает счетчики исходящих и входящих пакетов.

Важно!

Для сохранения конфигурации следует использовать программы copy run start ил write. В противном случае изменения будут потеряны после перезагрузки.

Настройка Remote-VPN на Cisco VPN Client и Cisco ASA

Cisco ASA обычно использует 2 интерфейса: внутренний и внешний. Для настройки IPSec VPN используется Wizzards. В меню необходимо выбрать IPSec VPN wizzard.

Таким образом, будет запущена инструкция по создания настроек VPN. Используемый тип VPN — Remote-VPN.

Также выбираем пункт VPN tunnel interface. Направление подключения – outside. Далее следует поставить галочку напротив Enable inbound IPsec и нажать Next. На следующем этапе нужно выбрать метод аутентификации. В качестве примера выбираем pre-shared key. Далее вводим любой ключ. Его следует запомнить, так как в дальнейшем он будет использоваться для настройки пользовательской машины.

В продолжение настройки нужно указать название туннельной группы.

Это имя в дальнейшем будет использоваться для настройки туннеля. На следующем этапе нужно выбрать местонахождение пользователей. Мы используем вариант – локально на Cisco ASA.

После этого необходимо добавить пользователя для VPN-подключения и ввести его данные.

Они должны быть такими же, как для WNS и DNS сервера.

Теперь следует осуществить настройку IKE Policy. Этот этап необходим для построения IPSec туннеля. Как правило, параметр по умолчанию остаются без изменений. При необходимости их можно перестроить под свои требования.

После этого выполнения настройка доступных сетей для удаленного пользователя и сохранение измененной конфигурации.

После выполнения всех вышеперечисленных действий можно перейти к настройке VPN клиента. В примере будет использоваться Mac OSX версию (он практически ничем не отличается от Windows).

Заполняем следующие поля:

  • Connection Entry — имя нашего соединения (любое)
  • Description — описание нашего соединения (можно не заполнять)
  • Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль: test-vpn / 31337_31003 соответственно). Сохраняем.

После этого можно осуществить подключение. Если настройка прошла успешно, пользователь увидит перед собой окно с просьбой ввести свое имя и пароль. После успешного введения этих данных напротив строки с профилем появится замочек. Таким образом, настройка VPN клиента будет завершена.

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.

Рассеянный админ

Страницы

spoiler

понедельник, 30 сентября 2013 г.

Настройка удаленного VPN-доступа на ASA5505

Теорию по VPN туннелям и используемым протоколам вкратце можно почитать тут.
Для начала главное, что построение туннеля происходит в два этапа (фазы):

1 фаза — два узла договариваются о методе идентификации, алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. а так же узлы идентифицируют друг друга.
2 фаза — генерируются данные ключей, узлы договариваются насчёт используемой политики.

VPN-тунели могут быть статические или динамические, в зависимости от того, известен ли нам второй узел или нет. В данной статье рассмотрим настройку динамического варианта, когда у нас есть несколько удаленных сотрудников, которые должны подключаться из разных мест. Сразу скажу, в ASA предусмотрен более гибкий вариант, построение VPN туннеля через Web при использовании anyconnect и если у вас есть куча менеджеров, которым необходимо по максимуму упростить доступ в сеть — лучше использовать именно его.

Для построения VPN туннеля с использованием динамической карты (dynamic-map) необходимо следующее:

  1. Подготовить политики первой фазы. Если вы точно не знаете какое шифрование использует второй узел — то можно заготовить политики на все случаи жизни. При установке связи будут перебираться все политики начиная с меньшего порядкового номера. Для того, что бы в будущем иметь возможность «вклинить» какую-нибудь политику можно нумеровать через 5-10 позиций. Для первой фазы можно использовать как IKEv1 так и IKEv2 политики. Для IKEv1 это выглядит следующим образом:

    crypto ikev1 policy 10
    authentication pre-share
    encryption 3des
    hash sha
    group 2
    lifetime 86400
    crypto ikev1 policy 15
    authentication pre-share
    encryption aes
    hash sha
    group 2
    lifetime 86400

    Можно добавить до 200 вариантов политики. Для IKEv2 это выглядит так:
    crypto ikev2 policy 10
    encryption 3des
    integrity sha
    group 2
    prf sha
    lifetime seconds 86400
    crypto ikev2 policy 20
    encryption aes
    integrity sha
    group 2
    prf sha
    lifetime seconds 86400

  2. Не забываем привязать эти политики к интерфейсам:

    crypto ikev1 enable internet
    crypto ikev2 enable internet client-services port 443

  3. Теперь создаем transform set для IKEv1, в которых указываем возможные варианты комбинации шифрования трафика и аутентификации узлов:
    crypto ipsec ikev1 transform-set tset_AesSha esp-aes esp-sha-hmac
    Для IKEv2 создаем предложение (аналогичная функция transform set):

    crypto ipsec ikev2 ipsec-proposal proposal_ikev2
    protocol esp encryption aes 3des des
    protocol esp integrity sha-1 md5

  4. Теперь создадим динамическую карту, в которой все это объединим(в данном случае используется IKEv1):

    crypto dynamic-map DMAP_REMACC 10 set ikev1 transform-set tset_AesSha

  5. Динамическую карту нельзя прикрепить напрямую к интерфейсу, поэтому мы создаем еще и статическую карту, к которую и привязываем к интерфейсу. Если вы предполагаете, что на этом интерфейсе будут и другие туннели, то лучше указать приоритет побольше, тогда динамическая карта будет применяться в последнюю очередь:

    crypto map outside 100 ipsec-isakmp dynamic DMAP_REMACC
    crypto map outside interface internet

  6. Перед завершением настройки самого VPN подготовим отдельные сети для удаленных пользователей. Для этого
    • Создадим объект с подсетью, в которой будут удаленные пользователи:

      object network obj_VPN
      subnet 172.16.17.0 255.255.255.0

    • Создаем пул адресов, выдаваемых клиентам:

      ip local pool POOL_VPN 172.16.17.1-172.16.17.254

    • Создаем так называемый SPLIT ACL, который укажет нашему маршрутизатору где удаленные адреса, а где локальные(можно использовать стандартные ACL указав в них только permit удаленных узлов):

      access-list ACL_VPN extended permit ip object obj_LAN object obj_VPN

    • Если у нас в локальной сети работает NAT, что бы он не действовал для адресов удаленной подсети необходимо прописать еще одно правило:

      nat (LAN,internet) source static obj_LAN obj_LAN destination static obj_VPN obj_VPN route-lookup

  7. Создадим групповые политики:

    group-policy GP_VPN internal
    group-policy GP_VPN attributes
    banner value Welcom to office network
    vpn-tunnel-protocol ikev1
    password-storage enable
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value ACL_VPN

  8. Создаем туннельную группу:

    tunnel-group TG_VPN type remote-access
    tunnel-group TG_VPN general-attributes
    address-pool POOL_VPN
    authentication-server-group
    default-group-policy GP_VPN
    tunnel-group TG_VPN ipsec-attributes
    ikev1 pre-shared-key *****
    isakmp keepalive threshold infinite
    !

    Последняя команда полезна, ну пути между узлами стоит куча NAT или есть другие причины длительной установки связи. Это удобно на стадии отладки, но на постоянный вариант, лучше указать конкретный таймаут.

  9. Создать пользователей на ASA, или использовать удаленный сервер.

На этом собственно и все. Теперь используем VPN клиент, например Cisco VPN Client, где указываем внешний адрес нашей ASA, группу (в нашем случае TG_VPN), пароль, который мы указали в pre-shared-key. Затем, когда спросят логин и пароль, указываем те, которые мы прописывали конкретному пользователю.

Asa vpn omk ru

Объединенная металлургическая компания

Информация

О компании: Объединенная металлургическая компания (АО «ОМК») – один из крупнейших российских производителей металлопродукции для ведущих энергетических, транспортных и промышленных компаний. Показать полностью… ОМК — комплексный производитель и поставщик продукции для добычи и транспортировки газа и нефти. Мы выпускаем стальные трубы, железнодорожные колеса, листовой прокат, соединительные детали трубопроводов, трубопроводную арматуру, рессоры.

В составе ОМК – пять крупных предприятий: Выксунский металлургический завод (АО «ВМЗ», Нижегородская область), Альметьевский трубный завод (АО «АТЗ», Республика Татарстан), завод «Трубодеталь» (АО «Трубодеталь», Челябинская область), Благовещенский арматурный завод (АО «БАЗ», Республика Башкортостан), Чусовской металлургический завод (АО «ЧМЗ», Пермский край). В ноябре 2019 года в состав ОМК вошла Вагонная ремонтная компания — 3.

Основные потребители продукции ОМК – ведущие российские и зарубежные компании: «Газпром», «Российские железные дороги», «ЛУКОЙЛ», «АК Транснефть», «Сургутнефтегаз», «Роснефть», «Сибур», ExxonMobil, RoyalDutch/Shell, GeneralElectric, Samsung, «КамАЗ», ГАЗ, МАЗ и другие.

Продукция ОМК поставляется в десятки стран мира. Сайт: www.omk.ru www.omksteel.com +7 (495) 231-77-71

Другое

Действия

932 записи

Что делает ОМК для профилактики коронавируса — смотрите в коротком видео.

Напоминаем, все вопросы, замечания и предложения отправляйте на почту help@omk.ru, в единый центр оперативного реагирования. Например, на заводе не хватает масок — пишите. Показать полностью… Делают дезинфекцию не так часто, как нужно по стандарту — пишите. Есть идеи, как можно сделать еще эффективнее, или видите организационные проблемы — пишите. И так далее. Сделаем все, чтобы решить проблему в течение 24 часов, и ответим на почту.

Толкаем пол: работник ВМЗ вместе с другом запустили массовый флешмоб

Выксунец Павел Фролов и заводчанин Егор Егоров мотивируют людей по всей стране отжиматься.

– Все началось с дружеского спора. Мы с Егором следим за своим Показать полностью… здоровьем и любим физические нагрузки, рассказал Павел Фролов. – Пришла идея – делать каждый день на три отжимания больше и выкладывать это в «Инстаграм». Мы оба сдержали слово и загрузили видео в интернет. Друзья увидели в ленте активности наши упражнения и захотели присоединиться. Теперь и не сосчитать, сколько людей в этом участвует. Наш хэштег используют в Нижнем Новгороде, Москве и других городах.

Ребята постоянно тренируются. Они занимаются не только отжиманиями. Силовые упражнения, легкая атлетика и другие виды физической активности позволяют спортсменам держать себя в тонусе каждый день. А еще Егор с Павлом выступают против вредных привычек.

– Наша цель – дойти до 120 отжиманий, подчеркнул Егор Егоров. – Этого результата может достичь каждый. Главное – регулярные упражнения и вера в себя. Во флешмобе активно участвуют не только мужчины. В последнее время все больше девушек наравне с нами «толкает пол». Иногда участники отсеиваются. Многие перестали отжиматься после 50 раз. Думаю, еще больше остановится на сотне. Главное – разумно распределять физические нагрузки и не навредить своему организму.

Публикуем обращение председателя Совета директоров ОМК Анатолия Седых к сотрудникам.

Уважаемые сотрудники Объединенной металлургической компании!

Вместе со всей страной мы переживаем новое испытание. Показать полностью… Это испытание касается всех областей нашей жизни, всех существующих в мире систем: экономики, политики, здравоохранения, социальной сферы. Это вызов не только для нас, но и для всего мирового сообщества. У нашей страны есть преимущество – небольшой запас времени для мобилизации. Правительство России и органы здравоохранения анализируют опыт стран Азии, Европы, Америки в борьбе с коронавирусом и принимают все меры, чтобы предотвратить распространение заболевания.

Главное для нас сейчас – сохранить здоровье и жизни людей, наших родных и близких. Необходимо неукоснительно соблюдать все рекомендации врачей, выполнять требования представителей власти. Это ответственность каждого! Мы реогранизовали работу наших производственных площадок и административных подразделений. Большинство сотрудников, которые могут работать удаленно, перешли на дистанционный режим работы. Мы внимательно проанализировали загрузку всех наших производств, пересмотрели график работы смен, столовых, транспорта, обеспечиваем сотрудников средствами защиты и реализуем рекомендованные Министерством здравоохранения мероприятия.

Наша компания входит в число системообразующих предприятий России. Наш труд обеспечивает функционирование жизненно важных сфер нашей страны: энергетики, нефтедобычи, транспорта. От непрерывной работы этих производств зависят сохранение рабочих мест, заработных плат, своевременные отчисления в бюджет страны и, следовательно, возможность бороться с коронавирусной инфекцией. Экономическая и социальная стабильность поможет нашей стране и всем нам преодолеть этот кризис. Уверен, вы это понимаете.

В большинстве городов, где работают предприятия ОМК, основная часть жителей – это наши сотрудники и члены их семей. Для компании нет «чужих людей», и мы сделаем все зависящее от нас, чтобы обезопасить наших сограждан. Мы ежедневно общаемся с администрациями городов и помогаем местным властям противостоять распространению вируса. Мы также на связи с нашими партнерами, поставщиками и клиентами – и готовы оказать им всестороннюю поддержку.

Дорогие коллеги! Этот кризис закончится, как заканчивается любой другой кризис. Важно, чему мы научимся, какими станем после. Я рассчитываю на каждого из вас. И вы можете рассчитывать на мою поддержку, на поддержку руководства Объединенной металлургической компании. Наши приоритеты неизменны. Это безопасность и здоровье людей! Давайте сосредоточим наши усилия на важном, будем внимательны друг к другу.

Берегите себя, своих близких, своих коллег! Будьте здоровы!

Анатолий Седых
председатель Совета директоров
Объединенной металлургической компании

CISCO ASA VPN настройка

Рассмотрим кусочек конфига CISCO ASA 5540 для VPN

Адрес 1.1.1.2 выдуманный внешний адрес первой asa
Адрес 2.2.2.2 выдуманный внешний адрес второй asa
Сеть 192.168.10.0 локалка
Сети 10.10.20.0 и 10.10.10.0 за второй асой

Сетевые интерфейсы:
interface GigabitEthernet0/0
nameif WAN01
security-level 0
ip address 1.1.1.2 255.255.255.252

interface GigabitEthernet0/1
nameif VLAN-USER
security-level 50
ip address 192.168.1.1 255.255.255.0

Описаны сети:
object network OBJ-SUBNET-VLAN-USER
subnet 192.168.10.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-DEVEL
subnet 10.10.20.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-SR
subnet 10.10.10.0 255.255.255.0

object-group network GRP-NETWORK-DPC1
network-object object OBJ-SUBNET-DPC1-VLAN-DEVEL
network-object object OBJ-SUBNET-DPC1-VLAN-SR

Добавлены в списки доступа (рназрешено прохождение трафика):
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL extended permit ip object BJ-SUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-DEVEL
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR extended permit ip object OBJSUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-SR

Политики шифрования и аутентификации:
crypto ikev1 policy 1000
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1200
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

Задаем ключ вместо «*****»:
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *****

Методы аутентификации и шифрования:
crypto ipsec ikev1 transform-set CRYPTO-TSET-ESP-SHA esp-aes esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite

Опишем пиров:
crypto map CRYPTO-MAP-WAN01 1000 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL
crypto map CRYPTO-MAP-WAN01 1000 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1000 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1000 set reverse-route

crypto map CRYPTO-MAP-WAN01 1010 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR
crypto map CRYPTO-MAP-WAN01 1010 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1010 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1010 set reverse-route

Применяем к интерфейсу:
crypto map CRYPTO-MAP-WAN01 interface WAN01
crypto ikev1 enable WAN01

Мне понадобилось еще правило ната:
nat (VLAN-USER,WAN01) after-auto source static OBJ-SUBNET-VLAN-USER OBJ-SUBNET-VLAN-USER destination static GRP-NETWORK-DPC1 GRP-NETWORK-DPC1 no-proxy-arp route-lookup

Поддержка

Категория: Сеть

Описание

Часто пользователям требуется доступ в локальную сеть офиса или предприятия из дома.
Понятно, что в данной ситуации Site-to-Site канал не построишь, поскольку у пользователя скорее всего нет необходимого оборудования.

В этой ситуации пользователь может использовать приложение Ciscco VPN Client , а на маршрутизаторе используется технология, которая называется Cisco Easy VPN .

Используемое оборудование Cisco ASA-5505 (Security Appliance Software Version 9.1(6)6)

Пошаговая настройка Easy VPN на маршрутизаторе Cisco ASA с аутентификацией по ключу

Настройка политики ISAKMP

В Cisco ASA необходимо включить ISAKMP на интерфейсе

Здесь Inet — это имя внешнего интерфейса

crypto isakmp policy 10 — приоритет 10

authentication pre-share — аутентификация с помощью обычного ключа

encryption 3des — протокол шифрования 3des

hash md5 — алгоритм хеширования hash md 5

group 2 — по документации для подключения Cisco VPN Client необходима группа минимум 2

lifetime 3600 — для быстрого установления соединения

Настройка назначения адресов

Пул адресов — это адреса из локальной сети, каждый из которых может быть выдан подключившемуся клиенту
Пример настройки этого пула, здесь vpnusers — название пула:

Настройка transform-set для второй фазы

здесь:
transform-1 — имя

esp-3des — метод криптации

esp-md5-hmac — метод аутентификации

Настройка Crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec .
Так как к интерфейсу может быть применена только одна crypto map , то описать все туннели необходимо в одной и той же crypto map .
Однако, для Easy VPN необходимо использовать динамическую crypto map . Она отличается от обычной тем, что в ней указаны не все параметры.

Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map .

Применение transform-set к динамической crypto map

Настройка вставки обратного статического маршрута к адресу выданному клиенту (RRI)

Применение динамической crypto map к статической

Применение crypto map к интерфейсу

Настройка групповой политики

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.
В group-policy можно задать, например, такие параметры:

  • ACL для фильтрации трафика
  • Политику туннелирования трафика и какой трафик попадет в туннель
  • DNS-сервер и др.

Создание внутренней групповой политики

По умолчанию весь трафик клиента попадает в туннель, так как эта настройка наследуется из политики по умолчанию.
Для того чтобы указать какой трафик должен попадать в туннель, необходимо создать ACL, который будет его описывать и изменить политику туннелирования.
Эта функция называется split tunneling.
Для групповой политики EasyVPN в туннель будет попадать только трафик, который идет в сеть 192.168.2.0/24 :

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL,
который будет описывать разрешенный доступ и применить его к групповой политике, например:

Настройка tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN , указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В режиме ipsec-attributes :

  • Настройки аутентификации устройств:
  • При аутентификации по паролю — пароль
  • При аутентификации по сертификатам — соответствующая trustpoint.
  • Настройки аутентификации пользователей (xauth или hybrid):
  • Включается аутентификация xauth и указывается, как она будет выполняться
    По умолчанию xauth включена и аутентификация выполняется по локальной базе пользователей
  • Включается аутентификация hybrid (в Cisco VPN клиенте она называется mutual)

В режиме general-attributes :

  • Привязывается пул адресов, который соответствует этой tunnel-group
  • Привязывается соответствующая групповая политика
    Настройка аутентификации пользователя

    Если мы хотим чтобы помимо пароля групповой политики использовалась аутентификация по пользователю, то настраиваем атрибуты пользователя:

    Настройка клиента

    Предположим, что клиент уже установлен, запускаем и жмем кнопку с плюсиком New

    Вводим название политики, описание, ip-адрес, имя групповой политики, пароль групповой политики, нажимаем Сохранить

    В результате профиль сохранится в основном окне

    При нажатии кнопки подключить будет запрошен пароль и имя пользователя

    Если все настроено верно, то после ввода пароля будет установлено соединение VPN , и пользователю станет доступна локальная сеть удаленного офиса.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector