Lab 16.4 IPSEC-VPN Client to site in ASA 8.4

I. Mô hình và yêu cầu
1. Mô hình


2. Yêu cầu
- Cấu hình IPSEC-VPN để client ngoài internet truy cập được vào inside của ASA
- cấu hình NAT để client inside ASA ra internet bình thường
- Sơ đồ IP
II. Triển khai
1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được2. Trên ASA
- Cấu hình IP và trỏ default-route về ISP3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách IKEV1- Bước 2: Cấu hình chính sách IPSEC- Bước 3: Tạo Dynamic map- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside- Bước 5: Tạo pool IP để cấp cho các client remote VPN- Bước 6: Tạo 1 group-policy và cấu hình- Bước 7: Cấu hình Tunnel-group- Bước 8: Tạo user và pass cho user remote-VPN4. Cấu hình NAT
- Tạo object-group và thực hiện nat overload trên ASA- Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA


-Login bằng user/pass local trên ASA


- Các bạn sẽ thấy Client VPN thành công sẽ được ASA cấp 1 IP VPN


- Show trạng thái ikev1 trên ASA- Show trạng thái của IPSEC

5. split-tunnel Traffic
- Sau khi VPN thành công client được cấp 1 IP ảo do ASA cấp. Tuy nhiên Client VPN không thể truy cập được vào vùng inside của ASA.
- Để cho phép Client có thể truy cập được những IP or subnet nào trong vùng inside bạn cần thiết lập 1 Split-tunnel để điều khiển luồng traffic này
- Cấu hình NAT exemption - Các bạn vào Group-policy REMOTE-VPN để thực hiện điều khiển luồng traffic này- Bây giờ các bạn thực hiện VPN lại để xem kết quả, các bạn sẽ thấy Client remote VPN đã truy cập được tới subnet 192.168.10.0/24 inside của ASA

Các bài viết rất hay! Cám ơn ROOT!

ROOT cho mình hỏi mấy thắc mắc sau nhé, cám ơn bạn

root said:

I.
II. Triển khai
1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được

[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]


- Ở trên bạn đã thực hiện nat inside f0/1 và f0/0 ra outside f1/0 theo ACL NAT deny kết nối subnet 152.2.2.0/24 đến host 152.1.1.1
Nhưng sao vẫn thực hiện VPN từ client 152.2.2.20 đến host 152.1.1.1 được?
- Các bước cấu hình VPN ở dưới khi thực hiện trên ASA Version 8.0(4) có gì thay đổi không?


​

2. Trên ASA

[/INDENT]
3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách IKEV1

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside
ASA(config)# crypto ikev1 enable outside[/TD]
[/TR]
[/TABLE]
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC​

- Bước 2: Cấu hình chính sách IPSEC

[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ASA(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac[/TD]
[/TR]
[/TABLE]

​

- Bước 3: Tạo Dynamic map

[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET[/TD]
[/TR]
[/TABLE]

​

- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside

[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)# crypto map MYMAP interface outside[/TD]
[/TR]
[/TABLE]

​

- Bước 5: Tạo pool IP để cấp cho các client remote VPN

[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0[/TD]
[/TR]
[/TABLE]

​

- Bước 6: Tạo 1 group-policy và cấu hình

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL[/TD]
[/TR]
[/TABLE]

​

- Bước 7: Cấu hình Tunnel-group

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN

//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit[/TD]
[/TR]
[/TABLE]

​

- Bước 8: Tạo user và pass cho user remote-VPN

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# username svuit password svuit.com[/TD]
[/TR]
[/TABLE]

​

[/INDENT]

Click to expand...

Câu 1:
- Ở trên bạn đã thực hiện nat inside f0/1 và f0/0 ra outside f1/0 theo ACL NAT deny kết nối subnet 152.2.2.0/24 đến host 152.1.1.1
Nhưng sao vẫn thực hiện VPN từ client 152.2.2.20 đến host 152.1.1.1 được?
Bạn để ý ACL ở đây ko dùng apply vào interface mà apply vào bảng NAT của Router với câu lệnh

ip nat inside source list NAT interface FastEthernet1/0 overload

Click to expand...

Ý nghĩa là mọi traffic trong LAN đều ra internet bằng NAT overload trừ các traffic trong ACL là

deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0

Click to expand...

Câu 2:
- Các bước cấu hình VPN ở dưới khi thực hiện trên ASA Version 8.0(4) có gì thay đổi không?
Có thay đổi 1 chút xíu với ASA 8.4 thì dùng 2 kiểu đường hầm IKEV1 và IKEV2. Còn với ASA 8.3 trở về trước (version cũ ý) thì nó dùng đường hầm kiểu ISAKMP.
- Nó chỉ khác có 1 chỗ đó thôi còn lại cấu hình y chang mờ lô . Ở đây là bài cấu hình dành cho version 8.3 trở về trước
http://svuit.com/showthread.php?559-Lab-16-1-IPSEC-VPN-trên-ASA-8-2

Root cho em hỏi?
sau khi kết nối vpn-client thành công nhưng ping đến vùng inside của ASA được là lỗi ở đâu
em đã tạo split-tunnel traffic như anh đã hướng dẫn mà vẫn không ping được.

chào toanqn93,

toanqn93 said:

Root cho em hỏi?
sau khi kết nối vpn-client thành công nhưng ping đến vùng inside của ASA được là lỗi ở đâu
em đã tạo split-tunnel traffic như anh đã hướng dẫn mà vẫn không ping được.

Click to expand...

- Bạn xem lại phần NAT của bạn (PAT và NAT exemption), bạn thử show nat lên và xem traffic NAT có đúng không
- Nếu không được bạn có thể post file config của bạn lên đây, hoặc inbox cho mình skype or yahoo, fb ... để liên hệ mình sẽ hướng dẫn bạn

Facebook của em đây ạ: https://www.facebook.com/toan.truong117
nhờ anh giúp em bài lab này với ạ
em cảm ơn anh
- Mô hình bài lab
View attachment 42
-Show cấu hình
[table="width: 500, class: outer_border"]
[tr]
[td]ciscoasa# show running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 151.1.1.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network INSIDE-ASA
subnet 192.168.10.0 255.255.255.0
object network VPN-Client
subnet 10.0.0.0 255.255.255.0
object network OUTSIDE
subnet 0.0.0.0 0.0.0.0
access-list VPN-ACL extended permit ip 192.168.10.0 255.255.255.0 10.0.0.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network OUTSIDE
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 151.1.1.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac
crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET
crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
crypto map MYMAP interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy REMOTE-VPN internal
group-policy REMOTE-VPN attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-ACL
default-domain value svuit.com
address-pools value MYPOOL
username svuit password 3FjNJPsjvhqGqoXO encrypted
tunnel-group REMOTE-VPN type remote-access
tunnel-group REMOTE-VPN general-attributes
default-group-policy REMOTE-VPN
tunnel-group REMOTE-VPN ipsec-attributes
ikev1 pre-shared-key *****
!
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:4148014184c52f3f7b589f60313598fc
: end
[/td]
[/tr]
[/table]
-IP từ ASA cấp
View attachment 43
- Ping inside ASA
View attachment 44
- Show crypto ikev1 sa
View attachment 45
- show crypto ipsec sa
View attachment 46

- hi toanqn93,
Bạn thêm cho mình dòng này nhé, có lẽ mình viết thiếu trong bài lab. Sr bạn