Меню

Настройка asa 5505 и cisco vpn client

Настройка VPN на Cisco ASA

Read the article CONFIGURING VPN ON CISCO ASA in English

Эта статья является логическим продолжением инструкции по настройке VPN между двумя маршрутизаторами Cisco, однако выделена в отдельный материал, так как в центре внимание здесь – настройка межсетевого экрана Cisco ASA.

По условию необходимо связать с помощью VPN соединения сети двух офисов – главного и дополнительного. Однако сейчас в головном офисе, вместо маршрутизатора Cisco 2800 будет использоваться межсетевой экран Cisco ASA 5510.

В распоряжении имеются:
Межсетевой экран Cisco ASA 5510 в главном офисе

Маршрутизатор Cisco 881 в дополнительном офисе.

Команды для маршрутизатора Cisco 881 рассмотрены в описании второго «универсального» способа настройки VPN тоннелей в статье «Настройка VPN между маршрутизаторами Cisco», поэтому здесь будет рассмотрена только конфигурацию Cisco ASA. На межсетевом экране уже будут выполнены предварительные настройки из статьи «Cisco ASA. Основы»: организовано удаленное управление и обеспечен доступ в Интернет из локальной сети офиса.

Шаг 0

Если версия операционной системы IOS старше, чем 8.3 (посмотреть текущую версию можно командой sh ver), то для упрощения конфигурации убираем настройку nat-control
FW-DELTACONFIG-1(config)#
no nat-control

Шаг 1. Проверка настройки интерфейсов

Проверяем, что на межсетевом экране корректно сконфигурированы внешний (outside) и внутренний (inside) интерфейсы. Из-за того, что в этой статье расссматривается модель Cisco ASA 5510 (вместо 5505) настройки чуть отличаются от тех, что приведены в упомянутой статье: ip адреса и иные параметры вместо виртуальных интерфейсов Vlan задаются сразу на физических интерфейсах Ethernet 0 и Ethernet 1.
Внешний интерфейс outside
FW-DELTACONFIG (config)#
interface Ethernet 0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut

Внутренний интерфейс inside для локальной сети.
FW-DELTACONFIG (config)#
interface Ethernet 1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
no shut

Шаг 2. Настройка параметров шифрования

Вводим параметры для шифрования трафика межу головным и дополнительным офисами и включаем шифрование на внешнем интерфейсе outside. Они идентичны тем, которые используются на маршрутизаторе Cisco 881 в удаленном офисе.
Для версий IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto isakmp enable outside

Для версий IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 enable outside

Шаг 3. Определение трафика, подлежащего шифрованию

Создаем список доступа ACL_CRYPTO_DO, в котором указываем трафик, подлежащий шифрованию. Остальные пакеты не будут отправляться в VPN тоннель.
FW-DELTACONFIG-1(config)#
access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

Создаем политику шифрования (crypto map), в которой даем ссылки на все правила и параметры шифрования, которые были созданы в шаге 2 и 3.
Для версии IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set transform-set ESP-3DES-SHA
Привязываем ее к внешнему интерфейсу outside.
FW-DELTACONFIG-1(config)#
crypto map SECMAP interface outside
Задаем ключ шифрования
FW-DELTACONFIG-1(config)#
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
pre-shared-key XXXXX
Вместо XXXXX указываем сам ключ для VPN с удаленной площадкой. Он будет одинаковым и на Cisco ASA в головном офисе и на Cisco 881 на удаленной площадке. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и специальные символы.

Читайте также:  Кей коллектор настройка для чайников

Все то же самое для версии IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

Явно задаем маршрут до сети удаленного офиса через внешний интерфейс (outside) и шлюз провайдера Интернет (1.1.1.1)
FW-DELTACONFIG-1(config)#
route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции адресов (NO-NAT)

Если помимо VPN подключения Cisco ASA используется для доступа пользователей в сеть Интернет (настроен динамический NAT для трансляции внутренних адресов во внешний), то добавьте эти строки, чтобы не транслировать трафик, предназначенный для всех внутренних сетей с частными ip адресами.

Команды для новых версий IOS, начиная с 8.3
object-group network NET_PRIVATE_IP
network-object 10.0.0.0 255.0.0.0
network-object 172.16.0.0 255.240.0.0
network-object 192.168.0.0 255.255.0.0

nat ( any,any ) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Команды для старых версий IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0
access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0
access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat ( inside ) 0 access-list NO-NAT

Если этого не сделать, то тоннель установится, но пакеты по нему передаваться не будут.

Шаг 7. Проверка работы VPN тоннеля

После выполнения настроек на маршрутизаторе Cisco 881 в дополнительном офисе проверяем работу VPN подключения, запустив ping с одного из хостов локальной сети головного офиса до одного из хостов дополнительного.
Проверить состояние тоннеля можно следующими командами:

FW-DELTACONFIG-1# sh cry isa sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Любое значение кроме(!) MM_ACTIVE означает, что тоннель не работает. Если он не устанавливается в течение минуты, следует проверить все введенные параметры и их полное соответствие на обоих устройствах, участвующих в шифровании.
Полное отсутствие информации при выводе этой команды скорее всего означает, что где-то пропущена какая-то строчка, например привязка crypto map ко внешнему интерфейсу.

Важно!
Обратите внимание, что построение VPN тоннеля начинается только после появления трафика, подлежащего шифрованию, между внутренними сетями.

Не стесняйтесь написать мне, если у Вас возникли вопросы или возникают трудности с настройкой подобных подключений. Буду рад помочь.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Источник

ASA 8. x: Доступ к VPN с помощью VPN-клиента AnyConnect, для которого используется пример конфигурации с недоверительным сертификатом

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описывается способ применения самостоятельно подписанных сертификатов, разрешающих удаленный доступ подключений SSL VPN к ASA из клиента Cisco AnyConnect 2.0.

Читайте также:  Удаленная настройка компьютера в домене

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

Базовая ASA конфигурация, где запущено ПО версии 8.0

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Cisco ASA 8.0(2), ASDM 6.0 (2)

Cisco AnyConnect 2.0

Условные обозначения

Общие сведения

Клиент Cisco AnyConnect 2.0 — это клиент VPN, работающий на базе SSL. AnyConnect Клиент можно использовать и устанавливать в самых разных операционных системах (таких как Windows 2000, XP, Vista, Linux (разные дистрибутивы) и MAC OS X). Системный администратор может установить клиент AnyConnect вручную на удаленный компьютер. Его также можно загрузить в устройство обеспечения безопасности и подготовить для загрузки удаленными пользователями. После загрузки приложение можно автоматически удалить вслед за разрывом подключения либо оставить на удаленном компьютере для будущих подключений VPN SSL. В этом примере клиент AnyConnect подготавливается к загрузке после успешной аутентификации SSL на основе браузера.

Примечание: Сервисы терминалов MS не поддерживаются в сочетании с клиентом AnyConnect. Невозможно подключиться по протоколу удаленного рабочего стола (RDP) к компьютеру, а затем запустить сеанс AnyConnect. К клиенту, подключенному с помощью AnyConnect, невозможно подключиться с помощью RDP.

Примечание: Для первой установки AnyConnect требуется, чтобы пользователь имел права администратора (независимо от того, используете ли вы автономный msi-пакет AnyConnect или получаете файл pkg от ASA). Если у пользователя нет прав администратора, появляется диалоговое окно с соответствующим требованием. Последующие обновления не потребуют наличия прав администратора у пользователя, ранее установившего AnyConnect.

Настройка

Чтобы ASA настроить для доступа через VPN с помощью любого клиента AnyConnect, выполните следующие действия:

Источник

Cisco ASA/Easy VPN

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Cisco ASA 5505 может быть Easy VPN клиентом, остальные модели Cisco ASA поддерживают только функциональность сервера. В примерах на странице в роли клиента используется Cisco VPN Client.

Содержание

[править] Общие принципы настройки Easy VPN на Cisco ASA

[править] Политика ISAKMP

В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.

Политика ISAKMP указывает параметры первой фазы:

В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.

[править] Tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN, указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В ASDM tunnel-group называется Connection Profile

[править] Tunnel-group DefaultRAGroup

В конфигурации существует tunnel-group DefaultRAGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn и ppp удалены):

[править] Групповая политика (group-policy)

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.

В group-policy можно задать, например, такие параметры:

Групповая политика может быть настроена локально или на RADIUS-сервере. Для того чтобы задать групповую политику на RADIUS, можно использовать несколько вариантов.

Для того чтобы обращаться за параметрами для group-policy на RADIUS-сервер, необходимо указать в настройках ASA, что политика внешняя:

Для того чтобы задать соответствующие атрибуты на RADIUS, необходимо создать пользователя TEST_GROUP с паролем cisco123 и указать атрибуты для него.

Xauth на RADIUS-сервере:

Если аутентификация будет выполняться через RADIUS, который связан с существующим каталогом пользователей, например AD, то удобней будет сделать внешней аутентификацию xauth. Политики аутентификации на RADIUS-сервере можно привязать к группам пользователей в AD и для политики назначить атрибуты.

Настройка xauth на RADIUS-сервере:

Эти методы не исключают друг друга и могут использоваться вместе. Атрибуты привязанные к пользователю будут перебивать соответствующие атрибуты для групповой политики. Те атрибуты, которые не заданы для пользователя, будут наследоваться из групповой политики. Те, которые не заданы для групповой, будут наследоваться из политики по умолчанию

[править] Групповая политика по умолчанию DfltGrpPolicy

В конфигурации существует групповая политика по умолчанию DfltGrpPolicy из которой наследуются все настройки, которые не были заданы явно в созданных групповых политиках. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn удалены):

[править] Transform-set

Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.

В transform-set указывается:

[править] Crypto map. Dynamic crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec. Так как к интерфейсу может быть применена только одна crypto map, то описать все туннели необходимо в одной и той же crypto map.

Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.

В каждом наборе правил crypto map можно указать такие параметры:

Однако, для Easy VPN необходимо использовать динамическую crypto map. Она отличается от обычной тем, что в ней указаны не все параметры. Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map.

Пример настройки dynamic crypto map и применение её к обычной crypto map, а затем к внешнему интерфейсу:

[править] Фильтрация данных VPN

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.

Убедиться, что команда включена можно так:

Включить, если отключена:

[править] Настройка Easy VPN с аутентификацией по preshared key

[править] Пример пошаговой настройки

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

Настройка политики ISAKMP:

[править] Настройка назначения адресов

Пример создания пула адресов:

Назначение IP-адреса пользователю:

[править] Настройка групповой политики

Создание внутренней групповой политики (настроен DNS-сервер, политика будет использоваться только для Easy VPN (не для SSLVPN)):

По умолчанию весь трафик клиента попадает в туннель, так как эта настройка наследуется из политики по умолчанию. Для того чтобы указать какой трафик должен попадать в туннель, необходимо создать ACL, который будет его описывать и изменить политику туннелирования.

Эта функция называется split tunneling.

Для групповой политики MANAGER_GROUP в туннель будет попадать только трафик, который идет в сеть 10.0.2.0/24:

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL, который будет описывать разрешенный доступ и применить его к групповой политике:

[править] Настройка tunnel-group

Настройка типа tunnel-group’ы:

Настройка pre-shared key:

Привязка пула адресов и групповой политики к tunnel-group:

Источник

Adblock
detector