суббота, 6 декабря 2014 г.

Site-to-Site между Cisco ASA и Cisco Router 1941

Не так давно встала необходимость создание туннеля между головным офисом (далее ГО) и региональным (далее РО). В ГО стоит оборудование Cisco ASA, а в РО имеется маршрутизатор Cisco 1900 серии. Так же пользователям РО необходимо выходить в интернет
 Строим IPsec туннель между ГО и РО
Опишу имеющиеся настройки IP адресов внешних и внутренних интерфейсов оборудования:

Router:
Outside IP - 1.1.1.2/30
Inside network - 10.10.10.0/24

ASA:
Outside IP - 2.2.2.2/30
Inside network - 10.10.20.0/24




Приводить буду только настройки касаемые туннеля, информацию по первоначальной настройке роутера и ASA можно найти в интернете
Первое на что необходимо обратить внимание, это на наличие необходимой лицензий на оборудовании.
Для Cisco Router 1941 вводим команду

Router#show version

и смотрим что имеется лицензия Securityk9


Туннель будет организован с использованием Pre-shared Key
Далее привожу строки из конфигурации отвечающие за организацию туннеля и выхода в интернет

Router Config
-Настраиваем полиси для isakmp и указываем ключ

crypto isakmp policy 2
 authentication pre-share
 group 2
crypto isakmp key вводим_ключ address 2.2.2.2

-указываем тип шифрации (можно использовать различные, главное что бы на обеих сторонах было одинаково

crypto ipsec transform-set ASA-IPSec esp-des esp-sha-hmac
 mode tunnel

-Настраиваем crypto map

crypto map CMAP 10 ipsec-isakmp
 set peer 2.2.2.2
 set transform-set ASA-IPSec
 match address VPN-Traffic

-на интерфейсе который смотрит в интернет указываем созданный crypto map, а так же указываем использование НАТ для выхода в интернет
interface GigabitEthernet0/0
 description internet
 ip address 1.1.1.2 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map CMAP

-на интерфейсе который смотрит в локальную сеть так же указываем НАТ, только inside
interface GigabitEthernet0/1
 description inside
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto

ip route 0.0.0.0 0.0.0.0 1.1.1.1

-указываем внутренние сети РО и ГО соотвественно, через extended access-list

ip access-list extended VPN-Traffic
 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255
!

Для того что бы пользователи могли выходить в интернет, разделяем трафик который необходимо натить в интернет

access-list 101 remark NAT
access-list 101 deny   ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255 -трафик, который не нужно натить
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 remark

-указываем интерфейс на котором происходит НАТ

ip nat inside source list 101 interface GigabitEthernet0/0 overload


Настроить туннель на Cisco ASA можно с использованием ASDM и мастера создания туннелей, но так же привожу часть конфигурации для настройки через консоль
Конфигурация для Cisco ASA

object network RO
 subnet 10.10.10.0 255.255.255.0

object network GO
 subnet 10.10.20.0 255.255.255.0

access-list outside_cryptomap_1 extended permit ip object GO object RO
nat (inside,outside) source static GO GO destination static RO RO no-proxy-arp route-lookup

route outside 0.0.0.0 0.0.0.0 2.2.2.1 1

crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto map outside_map 2 match address outside_cryptomap_1
crypto map outside_map 2 set pfs
crypto map outside_map 2 set peer 1.1.1.2
crypto map outside_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESPES-SHA ESP-DES-MD5
crypto map outside_map 2 set nat-t-disable

crypto map outside_map interface outside

crypto ikev1 policy 150
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

group-policy GroupPolicy_1.1.1.2 internal
group-policy GroupPolicy_1.1.1.2 attributes
 vpn-tunnel-protocol ikev1

tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 general-attributes
 default-group-policy GroupPolicy_1.1.1.2
tunnel-group 1.1.1.2 ipsec-attributes
 ikev1 pre-shared-key вводим_ключ

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 2.2.2.2 255.255.255.252
!
interface GigabitEthernet0/1
 shutdown
 nameif inside
 security-level 100
 ip address 10.10.20.1 255.255.255.0