cisco ASA VPN — b14esh.com

enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки

interface vlan 2 - настраиваем vlan 2 (по умолчанию 0/0 входит в vlan 2 и подключают к интернет)
ip address 210.210.1.2 255.255.255.252 - задали ip адрес  210.210.1.2/30
no shutdown - включили интерфейс
exit - вышли из настройки vlan 2 

-----------------------------------------
NAT + icmp
route outside 0.0.0.0 0.0.0.0 210.210.1.1 - создаем маршрут по умолчанию для локальки

class-map inspection_default - создаем класс мап inspection_default
match default-inspection-traffic  - добавили правило 
exit - вышли из настройки  inspection_default

policy-map global_policy - создаем правила global_policy
class inspection_default - добавляем созданный ранее класс мап 
inspect icmp - инспектируем  icmp (ping)
exit - вышли из настройки  global_policy

service-policy global_policy global - делаем global_policy глобальной политикой
----------------------------------------
Настройка первой фазы VPN
enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки

crypto ikev1 enable outside - включаем ikev1 на outside (на внешнем интерфейсе)

crypto ikev1 policy 1 - определяем политику
encr 3des - шифрование 3des
hash md5  - хеширование md5
authentication pre-share  - аутентификация  обмен сертификатами
group 2 - - алгоритм Ди́ффи-Хе́ллмана  обмен ключей
lifetime 43200 - (можно оставить по умолчанию)
exit - вышли из crypto ikev1 policy 1
----------------------------------------
Настройка ключа аутентификации и пир
tunnel-group 210.210.2.2 type ipsec-l2l  - создаем туннель указываем ipsec-l2l (site-to-site)

tunnel-group 210.210.2.2 ipsec-attributes - создаем атребуты
ikev1 pre-shared-key cisco - задаем пароль cisco
exit
----------------------------------------
Вторая фаза 
crypto ipsec ikev1  transform-set  TS esp-3des  esp-md5-hmac 
----------------------------------------
Определяем какой трафик шифровать
access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 - создаем access-list c именем FOR-VPN разрешаем icmp (ping)
----------------------------------------
Создаем криптокарту
crypto map To-Site2 1 match address FOR-VPN - создаем карту с именем To-Site2 для трафика accsess-list с именем FOR-VPN
crypto map To-Site2 1 set peer 210.210.2.2 - задаем peer с ip 210.210.2.2 ( удаленный офис)
crypto map To-Site2 1 set security-association lifetime seconds 86400 - время жизни туннеля в секундах
crypto map To-Site2 1 set ikev1  transform-set TS - привязываем к TS 
----------------------------------------
Привязываем к интерфейсу
crypto map To-Site2 interface outside  - привязали на внешний интерфейс
---------------------------------------
Создаем правило что бы  ASA могла расшифровать VPN трафик и отправить его в локалку
access-list FROM-VPN permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 - разрешили трафик из vpn попадать в локалку
access-group FROM-VPN out interface  inside - привязали к локальному интерфейсу
---------------------------------------
На второй ASE будет вот так 
enable
configure terminal

crypto ikev1 enable outside
crypto ikev1 policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 43200
exit
tunnel-group 210.210.1.2 type ipsec-l2l

tunnel-group 210.210.1.2 ipsec-attributes
ikev1 pre-shared-key cisco
exit

crypto ipsec ikev1  transform-set  TS esp-3des  esp-md5-hmac 

access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

crypto map To-Site1 1 match address FOR-VPN
crypto map To-Site1 1 set peer 210.210.1.2
crypto map To-Site1 1 set security-association lifetime seconds 86400
crypto map To-Site1 1 set ikev1  transform-set TS
crypto map To-Site1 interface outside

access-list FROM-VPN permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-group FROM-VPN out interface  inside

end
write mem
---------------------------------------
диагностика
show crypto isakmp sa - проверяем туннель (isakmp) 
show crypto ipsec sa - проверим ipsec (шифрование пакетов)
---------------------------------------

100

101

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

interface vlan 2 - настраиваем vlan 2 (по умолчанию 0/0 входит в vlan 2 и подключают к интернет)

ip address 210.210.1.2 255.255.255.252 - задали ip адрес 210.210.1.2/30

no shutdown - включили интерфейс

exit - вышли из настройки vlan 2

-----------------------------------------

NAT + icmp

route outside 0.0.0.0 0.0.0.0 210.210.1.1 - создаем маршрут по умолчанию для локальки

class-map inspection_default - создаем класс мап inspection_default

match default-inspection-traffic - добавили правило

exit - вышли из настройки inspection_default

policy-map global_policy - создаем правила global_policy

class inspection_default - добавляем созданный ранее класс мап

inspect icmp - инспектируем icmp (ping)

exit - вышли из настройки global_policy

service-policy global_policy global - делаем global_policy глобальной политикой

----------------------------------------

Настройка первой фазы VPN

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

crypto ikev1 enable outside - включаем ikev1 на outside (на внешнем интерфейсе)

crypto ikev1 policy 1 - определяем политику

encr 3des - шифрование 3des

hash md5 - хеширование md5

authentication pre-share - аутентификация обмен сертификатами

group 2 - - алгоритм Ди́ффи-Хе́ллмана обмен ключей

lifetime 43200 - (можно оставить по умолчанию)

exit - вышли из crypto ikev1 policy 1

----------------------------------------

Настройка ключа аутентификации и пир

tunnel-group 210.210.2.2 type ipsec-l2l - создаем туннель указываем ipsec-l2l (site-to-site)

tunnel-group 210.210.2.2 ipsec-attributes - создаем атребуты

ikev1 pre-shared-key cisco - задаем пароль cisco

exit

----------------------------------------

Вторая фаза

crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac

----------------------------------------

Определяем какой трафик шифровать

access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 - создаем access-list c именем FOR-VPN разрешаем icmp (ping)

----------------------------------------

Создаем криптокарту

crypto map To-Site2 1 match address FOR-VPN - создаем карту с именем To-Site2 для трафика accsess-list с именем FOR-VPN

crypto map To-Site2 1 set peer 210.210.2.2 - задаем peer с ip 210.210.2.2 ( удаленный офис)

crypto map To-Site2 1 set security-association lifetime seconds 86400 - время жизни туннеля в секундах

crypto map To-Site2 1 set ikev1 transform-set TS - привязываем к TS

----------------------------------------

Привязываем к интерфейсу

crypto map To-Site2 interface outside - привязали на внешний интерфейс

---------------------------------------

Создаем правило что бы ASA могла расшифровать VPN трафик и отправить его в локалку

access-list FROM-VPN permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 - разрешили трафик из vpn попадать в локалку

access-group FROM-VPN out interface inside - привязали к локальному интерфейсу

---------------------------------------

На второй ASE будет вот так

enable

configure terminal

crypto ikev1 enable outside

crypto ikev1 policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 43200

exit

tunnel-group 210.210.1.2 type ipsec-l2l

tunnel-group 210.210.1.2 ipsec-attributes

ikev1 pre-shared-key cisco

exit

crypto ipsec ikev1 transform-set TS esp-3des esp-md5-hmac

access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

crypto map To-Site1 1 match address FOR-VPN

crypto map To-Site1 1 set peer 210.210.1.2

crypto map To-Site1 1 set security-association lifetime seconds 86400

crypto map To-Site1 1 set ikev1 transform-set TS

crypto map To-Site1 interface outside

access-list FROM-VPN permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

access-group FROM-VPN out interface inside

end

write mem

---------------------------------------

диагностика

show crypto isakmp sa - проверяем туннель (isakmp)

show crypto ipsec sa - проверим ipsec (шифрование пакетов)

---------------------------------------

Главная » Cisco » cisco ASA VPN