Рубрики
Cisco

cisco ASA VPN

enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки

interface vlan 2 - настраиваем vlan 2 (по умолчанию 0/0 входит в vlan 2 и подключают к интернет)
ip address 210.210.1.2 255.255.255.252 - задали ip адрес  210.210.1.2/30
no shutdown - включили интерфейс
exit - вышли из настройки vlan 2 

-----------------------------------------
NAT + icmp
route outside 0.0.0.0 0.0.0.0 210.210.1.1 - создаем маршрут по умолчанию для локальки

class-map inspection_default - создаем класс мап inspection_default
match default-inspection-traffic  - добавили правило 
exit - вышли из настройки  inspection_default

policy-map global_policy - создаем правила global_policy
class inspection_default - добавляем созданный ранее класс мап 
inspect icmp - инспектируем  icmp (ping)
exit - вышли из настройки  global_policy

service-policy global_policy global - делаем global_policy глобальной политикой
----------------------------------------
Настройка первой фазы VPN
enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки

crypto ikev1 enable outside - включаем ikev1 на outside (на внешнем интерфейсе)

crypto ikev1 policy 1 - определяем политику
encr 3des - шифрование 3des
hash md5  - хеширование md5
authentication pre-share  - аутентификация  обмен сертификатами
group 2 - - алгоритм Ди́ффи-Хе́ллмана  обмен ключей
lifetime 43200 - (можно оставить по умолчанию)
exit - вышли из crypto ikev1 policy 1
----------------------------------------
Настройка ключа аутентификации и пир
tunnel-group 210.210.2.2 type ipsec-l2l  - создаем туннель указываем ipsec-l2l (site-to-site)

tunnel-group 210.210.2.2 ipsec-attributes - создаем атребуты
ikev1 pre-shared-key cisco - задаем пароль cisco
exit
----------------------------------------
Вторая фаза 
crypto ipsec ikev1  transform-set  TS esp-3des  esp-md5-hmac 
----------------------------------------
Определяем какой трафик шифровать
access-list FOR-VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 - создаем access-list c именем FOR-VPN разрешаем icmp (ping)
----------------------------------------
Создаем криптокарту
crypto map To-Site2 1 match address FOR-VPN - создаем карту с именем To-Site2 для трафика accsess-list с именем FOR-VPN
crypto map To-Site2 1 set peer 210.210.2.2 - задаем peer с ip 210.210.2.2 ( удаленный офис)
crypto map To-Site2 1 set security-association lifetime seconds 86400 - время жизни туннеля в секундах
crypto map To-Site2 1 set ikev1  transform-set TS - привязываем к TS 
----------------------------------------
Привязываем к интерфейсу
crypto map To-Site2 interface outside  - привязали на внешний интерфейс
---------------------------------------
Создаем правило что бы  ASA могла расшифровать VPN трафик и отправить его в локалку
access-list FROM-VPN permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 - разрешили трафик из vpn попадать в локалку
access-group FROM-VPN out interface  inside - привязали к локальному интерфейсу
---------------------------------------
На второй ASE будет вот так 
enable
configure terminal

crypto ikev1 enable outside
crypto ikev1 policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 43200
exit
tunnel-group 210.210.1.2 type ipsec-l2l

tunnel-group 210.210.1.2 ipsec-attributes
ikev1 pre-shared-key cisco
exit

crypto ipsec ikev1  transform-set  TS esp-3des  esp-md5-hmac 

access-list FOR-VPN extended permit icmp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

crypto map To-Site1 1 match address FOR-VPN
crypto map To-Site1 1 set peer 210.210.1.2
crypto map To-Site1 1 set security-association lifetime seconds 86400
crypto map To-Site1 1 set ikev1  transform-set TS
crypto map To-Site1 interface outside

access-list FROM-VPN permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-group FROM-VPN out interface  inside

end
write mem
---------------------------------------
диагностика
show crypto isakmp sa - проверяем туннель (isakmp) 
show crypto ipsec sa - проверим ipsec (шифрование пакетов)
---------------------------------------