Lab 16.4 IPSEC-VPN Client to site in ASA 8.4

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. Mô hình và yêu cầu
1. Mô hình


2. Yêu cầu
- Cấu hình IPSEC-VPN để client ngoài internet truy cập được vào inside của ASA
- cấu hình NAT để client inside ASA ra internet bình thường
- Sơ đồ IP
ASAg0
g1
nameif: outisde, IP: 151.1.1.1/24
nameif: inside, IP: 192.168.10.0/24
Router ISPf0/0
f0/1
f1/0
IP: 151.1.1.254/24
IP: 152.2.2.254/24
IP: DHCP
PC1IP: 192.168.10.10/24
Gateway: 192.168.10.1
PC2IP: 152.2.2.20/24
Gateway: 152.2.2.254


II. Triển khai

1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được
ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside

2. Trên ASA
- Cấu hình IP và trỏ default-route về ISP
ASA(config-if)# int g0
ASA(config-if)# nameif outside
ASA(config-if)# ip address 151.1.1.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g1
ASA(config-if)# nameif inside
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config)# route outside 0 0 151.1.1.254

3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách IKEV1
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside
ASA(config)# crypto ikev1 enable outside
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC​
- Bước 2: Cấu hình chính sách IPSEC
ASA(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac

- Bước 3: Tạo Dynamic map
ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET

- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside
ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)# crypto map MYMAP interface outside

- Bước 5: Tạo pool IP để cấp cho các client remote VPN
ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0

- Bước 6: Tạo 1 group-policy và cấu hình
ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL

- Bước 7: Cấu hình Tunnel-group
ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN

//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit

- Bước 8: Tạo user và pass cho user remote-VPN
ASA(config)# username svuit password svuit.com

4. Cấu hình NAT
- Tạo object-group và thực hiện nat overload trên ASA
ASA(config-if)# object network INSIDE-ASA
ASA(config-network-object)# subnet 192.168.10.0 255.255.255.0
ASA(config-network-object)# object network VPN-Client
ASA(config-network-object)# subnet 10.2.2.0 255.255.255.0
ASA(config-network-object)# object network OUTSIDE
ASA(config-network-object)# subnet 0.0.0.0 0.0.0.0
ASA(config-network-object)# nat (inside,outside) dynamic interface

- Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA


-Login bằng user/pass local trên ASA


- Các bạn sẽ thấy Client VPN thành công sẽ được ASA cấp 1 IP VPN


- Show trạng thái ikev1 trên ASA
ASA# sh crypto ikev1 sa

IKEv1 SAs:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 152.2.2.20
Type : user Role : responder
Rekey : no State : AM_ACTIVE

- Show trạng thái của IPSEC
ASA# sh crypto ipsec sa

interface: outside
Crypto map tag: DYNAMIC, seq num: 10, local addr: 151.1.1.1

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.2/255.255.255.255/0/0)
current_peer: 152.2.2.20, username: svuit
dynamic allocated peer ip: 10.0.0.2

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 151.1.1.1/0, remote crypto endpt.: 152.2.2.20/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 2FDFE1FF
current inbound spi : 46DE7603

inbound esp sas:
spi: 0x46DE7603 (1188984323)
transform: esp-3des esp-md5-hmac no compression
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC
sa timing: remaining key lifetime (sec): 28633
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x0000000F
outbound esp sas:
spi: 0x2FDFE1FF (803201535)
transform: esp-3des esp-md5-hmac no compression
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC
sa timing: remaining key lifetime (sec): 28633
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
 
5. split-tunnel Traffic
- Sau khi VPN thành công client được cấp 1 IP ảo do ASA cấp. Tuy nhiên Client VPN không thể truy cập được vào vùng inside của ASA.
- Để cho phép Client có thể truy cập được những IP or subnet nào trong vùng inside bạn cần thiết lập 1 Split-tunnel để điều khiển luồng traffic này
access-list VPN-ACL extended permit ip 192.168.10.0 255.255.255.0 10.0.0.0 255.255.255.0

- Cấu hình NAT exemption

ASA(config)# nat (inside,outside) source static INSIDE-ASA INSIDE-ASA destination static VPN-Client VPN-Client

- Các bạn vào Group-policy REMOTE-VPN để thực hiện điều khiển luồng traffic này
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# split-tunnel-policy tunnelspecified
ASA(config-group-policy)# split-tunnel-network-list value VPN-ACL

- Bây giờ các bạn thực hiện VPN lại để xem kết quả, các bạn sẽ thấy Client remote VPN đã truy cập được tới subnet 192.168.10.0/24 inside của ASA

 
ROOT cho mình hỏi mấy thắc mắc sau nhé, cám ơn bạn :D

I.
II. Triển khai

1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được
ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside


- Ở trên bạn đã thực hiện nat inside f0/1 và f0/0 ra outside f1/0 theo ACL NAT deny kết nối subnet 152.2.2.0/24 đến host 152.1.1.1
Nhưng sao vẫn thực hiện VPN từ client 152.2.2.20 đến host 152.1.1.1 được?
- Các bước cấu hình VPN ở dưới khi thực hiện trên ASA Version 8.0(4) có gì thay đổi không?



2. Trên ASA

[/INDENT]
3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách IKEV1
ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside
ASA(config)# crypto ikev1 enable outside
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC​
- Bước 2: Cấu hình chính sách IPSEC
ASA(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac

- Bước 3: Tạo Dynamic map
ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET

- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside
ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)# crypto map MYMAP interface outside

- Bước 5: Tạo pool IP để cấp cho các client remote VPN
ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0

- Bước 6: Tạo 1 group-policy và cấu hình
ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL

- Bước 7: Cấu hình Tunnel-group
ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN

//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit

- Bước 8: Tạo user và pass cho user remote-VPN
ASA(config)# username svuit password svuit.com


[/INDENT]
 
Câu 1:
- Ở trên bạn đã thực hiện nat inside f0/1 và f0/0 ra outside f1/0 theo ACL NAT deny kết nối subnet 152.2.2.0/24 đến host 152.1.1.1
Nhưng sao vẫn thực hiện VPN từ client 152.2.2.20 đến host 152.1.1.1 được?
Bạn để ý ACL ở đây ko dùng apply vào interface mà apply vào bảng NAT của Router với câu lệnh
ip nat inside source list NAT interface FastEthernet1/0 overload
Ý nghĩa là mọi traffic trong LAN đều ra internet bằng NAT overload trừ các traffic trong ACL là
deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
Câu 2:
- Các bước cấu hình VPN ở dưới khi thực hiện trên ASA Version 8.0(4) có gì thay đổi không?
Có thay đổi 1 chút xíu với ASA 8.4 thì dùng 2 kiểu đường hầm IKEV1 và IKEV2. Còn với ASA 8.3 trở về trước (version cũ ý) thì nó dùng đường hầm kiểu ISAKMP.
- Nó chỉ khác có 1 chỗ đó thôi còn lại cấu hình y chang mờ lô :). Ở đây là bài cấu hình dành cho version 8.3 trở về trước
http://svuit.com/showthread.php?559-Lab-16-1-IPSEC-VPN-trên-ASA-8-2
 
Root cho em hỏi?
sau khi kết nối vpn-client thành công nhưng ping đến vùng inside của ASA được là lỗi ở đâu
em đã tạo split-tunnel traffic như anh đã hướng dẫn mà vẫn không ping được.
 
chào toanqn93,
Root cho em hỏi?
sau khi kết nối vpn-client thành công nhưng ping đến vùng inside của ASA được là lỗi ở đâu
em đã tạo split-tunnel traffic như anh đã hướng dẫn mà vẫn không ping được.

- Bạn xem lại phần NAT của bạn (PAT và NAT exemption), bạn thử show nat lên và xem traffic NAT có đúng không
- Nếu không được bạn có thể post file config của bạn lên đây, hoặc inbox cho mình skype or yahoo, fb ... để liên hệ mình sẽ hướng dẫn bạn
 
Facebook của em đây ạ: https://www.facebook.com/toan.truong117
nhờ anh giúp em bài lab này với ạ
em cảm ơn anh
- Mô hình bài lab
View attachment 42
-Show cấu hình
ciscoasa# show running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 151.1.1.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network INSIDE-ASA
subnet 192.168.10.0 255.255.255.0
object network VPN-Client
subnet 10.0.0.0 255.255.255.0
object network OUTSIDE
subnet 0.0.0.0 0.0.0.0
access-list VPN-ACL extended permit ip 192.168.10.0 255.255.255.0 10.0.0.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network OUTSIDE
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 151.1.1.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac
crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET
crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
crypto map MYMAP interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy REMOTE-VPN internal
group-policy REMOTE-VPN attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-ACL
default-domain value svuit.com
address-pools value MYPOOL
username svuit password 3FjNJPsjvhqGqoXO encrypted
tunnel-group REMOTE-VPN type remote-access
tunnel-group REMOTE-VPN general-attributes
default-group-policy REMOTE-VPN
tunnel-group REMOTE-VPN ipsec-attributes
ikev1 pre-shared-key *****
!
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:4148014184c52f3f7b589f60313598fc
: end
-IP từ ASA cấp
View attachment 43
- Ping inside ASA
View attachment 44
- Show crypto ikev1 sa
View attachment 45
- show crypto ipsec sa
View attachment 46
 
- hi toanqn93,
Bạn thêm cho mình dòng này nhé, có lẽ mình viết thiếu trong bài lab. Sr bạn :)

Code:
ASA(config)# nat (inside,outside) source static INSIDE-ASA INSIDE-ASA destination static VPN-Client VPN-Client
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu