Не так давно встала необходимость создание туннеля между головным офисом (далее ГО) и региональным (далее РО). В ГО стоит оборудование Cisco ASA, а в РО имеется маршрутизатор Cisco 1900 серии. Так же пользователям РО необходимо выходить в интернет
Строим IPsec туннель между ГО и РО
Опишу имеющиеся настройки IP адресов внешних и внутренних интерфейсов оборудования:
Router:
Outside IP - 1.1.1.2/30
Inside network - 10.10.10.0/24
ASA:
Outside IP - 2.2.2.2/30
Inside network - 10.10.20.0/24
Приводить буду только настройки касаемые туннеля, информацию по первоначальной настройке роутера и ASA можно найти в интернете
Первое на что необходимо обратить внимание, это на наличие необходимой лицензий на оборудовании.
Для Cisco Router 1941 вводим команду
Router#show version
и смотрим что имеется лицензия Securityk9
Туннель будет организован с использованием Pre-shared Key
Далее привожу строки из конфигурации отвечающие за организацию туннеля и выхода в интернет
Router Config
-Настраиваем полиси для isakmp и указываем ключ
crypto isakmp policy 2
authentication pre-share
group 2
crypto isakmp key вводим_ключ address 2.2.2.2
-указываем тип шифрации (можно использовать различные, главное что бы на обеих сторонах было одинаково
crypto ipsec transform-set ASA-IPSec esp-des esp-sha-hmac
mode tunnel
-Настраиваем crypto map
crypto map CMAP 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set ASA-IPSec
match address VPN-Traffic
-на интерфейсе который смотрит в интернет указываем созданный crypto map, а так же указываем использование НАТ для выхода в интернет
interface GigabitEthernet0/0
description internet
ip address 1.1.1.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map CMAP
-на интерфейсе который смотрит в локальную сеть так же указываем НАТ, только inside
interface GigabitEthernet0/1
description inside
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 1.1.1.1
-указываем внутренние сети РО и ГО соотвественно, через extended access-list
ip access-list extended VPN-Traffic
permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255
!
Для того что бы пользователи могли выходить в интернет, разделяем трафик который необходимо натить в интернет
access-list 101 remark NAT
access-list 101 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255 -трафик, который не нужно натить
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 remark
-указываем интерфейс на котором происходит НАТ
ip nat inside source list 101 interface GigabitEthernet0/0 overload
Настроить туннель на Cisco ASA можно с использованием ASDM и мастера создания туннелей, но так же привожу часть конфигурации для настройки через консоль
Конфигурация для Cisco ASA
object network RO
subnet 10.10.10.0 255.255.255.0
object network GO
subnet 10.10.20.0 255.255.255.0
access-list outside_cryptomap_1 extended permit ip object GO object RO
nat (inside,outside) source static GO GO destination static RO RO no-proxy-arp route-lookup
route outside 0.0.0.0 0.0.0.0 2.2.2.1 1
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map outside_map 2 match address outside_cryptomap_1
crypto map outside_map 2 set pfs
crypto map outside_map 2 set peer 1.1.1.2
crypto map outside_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESPES-SHA ESP-DES-MD5
crypto map outside_map 2 set nat-t-disable
crypto map outside_map interface outside
crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
group-policy GroupPolicy_1.1.1.2 internal
group-policy GroupPolicy_1.1.1.2 attributes
vpn-tunnel-protocol ikev1
tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 general-attributes
default-group-policy GroupPolicy_1.1.1.2
tunnel-group 1.1.1.2 ipsec-attributes
ikev1 pre-shared-key вводим_ключ
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 2.2.2.2 255.255.255.252
!
interface GigabitEthernet0/1
shutdown
nameif inside
security-level 100
ip address 10.10.20.1 255.255.255.0
Строим IPsec туннель между ГО и РО
Опишу имеющиеся настройки IP адресов внешних и внутренних интерфейсов оборудования:
Router:
Outside IP - 1.1.1.2/30
Inside network - 10.10.10.0/24
ASA:
Outside IP - 2.2.2.2/30
Inside network - 10.10.20.0/24
Приводить буду только настройки касаемые туннеля, информацию по первоначальной настройке роутера и ASA можно найти в интернете
Первое на что необходимо обратить внимание, это на наличие необходимой лицензий на оборудовании.
Для Cisco Router 1941 вводим команду
Router#show version
и смотрим что имеется лицензия Securityk9
Туннель будет организован с использованием Pre-shared Key
Далее привожу строки из конфигурации отвечающие за организацию туннеля и выхода в интернет
Router Config
-Настраиваем полиси для isakmp и указываем ключ
crypto isakmp policy 2
authentication pre-share
group 2
crypto isakmp key вводим_ключ address 2.2.2.2
-указываем тип шифрации (можно использовать различные, главное что бы на обеих сторонах было одинаково
crypto ipsec transform-set ASA-IPSec esp-des esp-sha-hmac
mode tunnel
-Настраиваем crypto map
crypto map CMAP 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set ASA-IPSec
match address VPN-Traffic
-на интерфейсе который смотрит в интернет указываем созданный crypto map, а так же указываем использование НАТ для выхода в интернет
interface GigabitEthernet0/0
description internet
ip address 1.1.1.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map CMAP
-на интерфейсе который смотрит в локальную сеть так же указываем НАТ, только inside
interface GigabitEthernet0/1
description inside
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 1.1.1.1
-указываем внутренние сети РО и ГО соотвественно, через extended access-list
ip access-list extended VPN-Traffic
permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255
!
Для того что бы пользователи могли выходить в интернет, разделяем трафик который необходимо натить в интернет
access-list 101 remark NAT
access-list 101 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255 -трафик, который не нужно натить
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 remark
-указываем интерфейс на котором происходит НАТ
ip nat inside source list 101 interface GigabitEthernet0/0 overload
Настроить туннель на Cisco ASA можно с использованием ASDM и мастера создания туннелей, но так же привожу часть конфигурации для настройки через консоль
Конфигурация для Cisco ASA
object network RO
subnet 10.10.10.0 255.255.255.0
object network GO
subnet 10.10.20.0 255.255.255.0
access-list outside_cryptomap_1 extended permit ip object GO object RO
nat (inside,outside) source static GO GO destination static RO RO no-proxy-arp route-lookup
route outside 0.0.0.0 0.0.0.0 2.2.2.1 1
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map outside_map 2 match address outside_cryptomap_1
crypto map outside_map 2 set pfs
crypto map outside_map 2 set peer 1.1.1.2
crypto map outside_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESPES-SHA ESP-DES-MD5
crypto map outside_map 2 set nat-t-disable
crypto map outside_map interface outside
crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
group-policy GroupPolicy_1.1.1.2 internal
group-policy GroupPolicy_1.1.1.2 attributes
vpn-tunnel-protocol ikev1
tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 general-attributes
default-group-policy GroupPolicy_1.1.1.2
tunnel-group 1.1.1.2 ipsec-attributes
ikev1 pre-shared-key вводим_ключ
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 2.2.2.2 255.255.255.252
!
interface GigabitEthernet0/1
shutdown
nameif inside
security-level 100
ip address 10.10.20.1 255.255.255.0
