cisco VPN Site-to-Site

IPsec Site-to-Site VPN - объединение сетей
IPsec RA VPN - подключение удаленного пользователя
IPsec Remout Access VPN  - подключение удаленного пользователя
--------------------------------------
Первая фаза 
enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки
crypto isakmp policy 1  - создаем политику
encryption 3des  - выбираем алгоритм  шифрование 3des
hash md5  - выбираем алгоритм хеширования md5 
authentication  pre-share  - аутентификация обмен сертификатами
group 2 - алгоритм Ди́ффи-Хе́ллмана  обмен ключей
exit - вышли из crypto isakmp policy 1
--------------------------------------
Настройка ключа аутентификации и пира
crypto isakmp key cisco address 210.210.2.2 - секретный ключ будет cisco а адрес пира 
--------------------------------------
Вторая фаза 
crypto ipsec transform-set TS esp-3des esp-md5-hmac - задаем параметры необходимы для построения ipsec тунеля
--------------------------------------
Определяем какой трафик мы будем шифровать
ip access-list extended FOR-VPN - создаем расширенный access-list с именем FOR-VPN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - (используется cisco wild card) разрешаем трафик с 192.168.1.0/24 на 192.168.2.0/24
exit - вышли из FOR-VPN
--------------------------------------
Создаем криптокарту 
crypto map CMAP 10 ipsec-isakmp  - создаем криптокарту с именем CMAP
set peer 210.210.2.2 - указываем пир (внешний адрес филиала)
set transform-set TS - указываем параметры ipsec туннеля
match address FOR-VPN - указываем какой трафик нужны шифровать 
exit - вышли из создания криптокарты CMAP
--------------------------------------
Привязываем к интерфейсу криптокарту 
interface fastEthernet 0/0 - выбираем интерфейс fastEthernet 0/0 (смотрит в интернет outside)
crypto map CMAP - привязали криптокарту к интерфейсу
exit - вышли из настройки интерфейса
--------------------------------------
Также нужно настроить NAT
no ip access-list standard FOR-NAT - удалим существующий access-list с именем FOR-NAT

ip access-list extended FOR-NAT - создадим расширенный access-list с именем FOR-NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - правила запрета NAT трафика из 192.168.1.0/24 в сеть 192.168.2.0/24
permit ip 192.168.1.0 0.0.0.255 any - остальной трафик разрешаем NAT
exit - вышли из создания расширенного списка FOR-NAT☺

--------------------------------------
Повторяем все на другой стороне (изменив ip address !!!)
show crypto isakmp  sa  - проверка состояния технологического туннеля
show crypto ipsec sa - проверка состояния ipsec тунеля

IPsec Site-to-Site VPN - объединение сетей

IPsec RA VPN - подключение удаленного пользователя

IPsec Remout Access VPN - подключение удаленного пользователя

--------------------------------------

Первая фаза

enable - входим в привилегированный режим

configure terminal - входим в режим глобальной настройки

crypto isakmp policy 1 - создаем политику

encryption 3des - выбираем алгоритм шифрование 3des

hash md5 - выбираем алгоритм хеширования md5

authentication pre-share - аутентификация обмен сертификатами

group 2 - алгоритм Ди́ффи-Хе́ллмана обмен ключей

exit - вышли из crypto isakmp policy 1

--------------------------------------

Настройка ключа аутентификации и пира

crypto isakmp key cisco address 210.210.2.2 - секретный ключ будет cisco а адрес пира

--------------------------------------

Вторая фаза

crypto ipsec transform-set TS esp-3des esp-md5-hmac - задаем параметры необходимы для построения ipsec тунеля

--------------------------------------

Определяем какой трафик мы будем шифровать

ip access-list extended FOR-VPN - создаем расширенный access-list с именем FOR-VPN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - (используется cisco wild card) разрешаем трафик с 192.168.1.0/24 на 192.168.2.0/24

exit - вышли из FOR-VPN

--------------------------------------

Создаем криптокарту

crypto map CMAP 10 ipsec-isakmp - создаем криптокарту с именем CMAP

set peer 210.210.2.2 - указываем пир (внешний адрес филиала)

set transform-set TS - указываем параметры ipsec туннеля

match address FOR-VPN - указываем какой трафик нужны шифровать

exit - вышли из создания криптокарты CMAP

--------------------------------------

Привязываем к интерфейсу криптокарту

interface fastEthernet 0/0 - выбираем интерфейс fastEthernet 0/0 (смотрит в интернет outside)

crypto map CMAP - привязали криптокарту к интерфейсу

exit - вышли из настройки интерфейса

--------------------------------------

Также нужно настроить NAT

no ip access-list standard FOR-NAT - удалим существующий access-list с именем FOR-NAT

ip access-list extended FOR-NAT - создадим расширенный access-list с именем FOR-NAT

deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 - правила запрета NAT трафика из 192.168.1.0/24 в сеть 192.168.2.0/24

permit ip 192.168.1.0 0.0.0.255 any - остальной трафик разрешаем NAT

exit - вышли из создания расширенного списка FOR-NAT☺

--------------------------------------

Повторяем все на другой стороне (изменив ip address !!!)

show crypto isakmp sa - проверка состояния технологического туннеля

show crypto ipsec sa - проверка состояния ipsec тунеля