VPN [Lab 17.1] Remote Access vpn Cisco ASA 8.2

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Bài lab này mình làm theo yêu cầu một người bạn muốn mình làm IPSEC-VPN client to site trên ASA 8.2. Nếu ai có yêu cầu thì có thể gửi mô hình và yêu cầu lên forum hoặc inbox cho mình.

I. Mô hình và yêu cầu

1. Mô hình


2. Yêu cầu
- Cấu hình IPSEC-VPN để client ngoài internet truy cập được vào inside của ASA
- cấu hình NAT để client inside ASA ra internet bình thường
- Sơ đồ IP
ASAg0
g1
nameif: outisde, IP: 151.1.1.1/24
nameif: inside, IP: 192.168.10.0/24
Router ISPf0/0
f0/1
f1/0
IP: 151.1.1.254/24
IP: 152.2.2.254/24
IP: DHCP
PC1IP: 192.168.10.10/24
Gateway: 192.168.10.1
PC2IP: 152.2.2.20/24
Gateway: 152.2.2.254


II. Triển khai

1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được
ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside

2. Trên ASA
- Cấu hình IP và trỏ default-route về ISP
ASA(config-if)# int g0
ASA(config-if)# nameif outside
ASA(config-if)# ip address 151.1.1.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g1
ASA(config-if)# nameif inside
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config)# route outside 0 0 151.1.1.254

3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách isakmp
ASA(config)# crypto isakmp policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside
ASA(config)# crypto isakmp enable outside
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC​
- Bước 2: Cấu hình chính sách IPSEC
ASA(config)# crypto ipsec transform-set MYSET esp-3des esp-md5-hmac

- Bước 3: Tạo Dynamic map
ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set transform-set MYSET

- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside
ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)# crypto map MYMAP interface outside

- Bước 5: Tạo pool IP để cấp cho các client remote VPN
ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0

- Bước 6: Tạo 1 group-policy và cấu hình
ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL

- Bước 7: Cấu hình Tunnel-group
ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN

//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# pre-shared-key svuit

- Bước 8: Tạo user và pass cho user remote-VPN
ASA(config)# username svuit password svuit.com

4. Cấu hình NAT
- Tạo object-group và thực hiện nat overload trên ASA để các PC vùng inside đi ra internet được
ASA(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ASA(config)# global (outside) 1 interface

- Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA


-Login bằng user/pass local trên ASA


- Các bạn sẽ thấy Client VPN thành công sẽ được ASA cấp 1 IP VPN


- Show trạng thái ikev1 trên ASA
ASA# sh crypto isakmp sa


Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 152.2.2.20
Type : user Role : responder
Rekey : no State : AM_ACTIVE

- Show trạng thái của IPSEC
ASA# sh crypto ipsec sa


interface: outside
Crypto map tag: DYNAMIC-MAP, seq num: 10, local addr: 151.1.1.1

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.10/255.255.255.255/0/0)
current_peer: 152.2.2.20, username: svuit
dynamic allocated peer ip: 10.0.0.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 151.1.1.1, remote crypto endpt.: 152.2.2.20

path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 9D641DA5

inbound esp sas:
spi: 0xBE216DC9 (3189861833)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC-MAP
sa timing: remaining key lifetime (sec): 28253
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x9D641DA5 (2640584101)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC-MAP
sa timing: remaining key lifetime (sec): 28253
IV size: 8 bytes
replay detection support: Y
- Xem session VPN của client remote

Code:
ciscoasa# sh vpn-sessiondb remote


Session Type: IPsec


Username     : svuit                  Index        : 2
Assigned IP  : 10.0.0.10              Public IP    : 152.2.2.20
Protocol     : IKE IPsec
Encryption   : 3DES                   Hashing      : MD5
Bytes Tx     : 240                    Bytes Rx     : 240
Group Policy : REMOTE-VPN             Tunnel Group : REMOTE-VPN
Login Time   : 00:40:58 UTC Tue Nov 30 1999
Duration     : 0h:11m:10s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none
 
5. split-tunnel Traffic
- Sau khi VPN thành công client được cấp 1 IP ảo do ASA cấp. Tuy nhiên Client VPN không thể truy cập được vào vùng inside của ASA.
- Để cho phép Client có thể truy cập được những IP or subnet nào trong vùng inside bạn cần thiết lập 1 Split-tunnel để điều khiển luồng traffic này
access-list VPN-ACL extended permit ip 192.168.10.0 255.255.255.0 10.0.0.0 255.255.255.0

- Các bạn vào Group-policy REMOTE-VPN để thực hiện điều khiển luồng traffic này
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# split-tunnel-policy tunnelspecified
ASA(config-group-policy)# split-tunnel-network-list value VPN-ACL

- Bây giờ các bạn thực hiện VPN lại để xem kết quả, các bạn sẽ thấy Client remote VPN đã truy cập được tới subnet 192.168.10.0/24 inside của ASA

 
Anh cho em hỏi. EM làm tớ bước 4 thì có vẻ ok rồi (từ PC client ping tới được địa chỉ 192.168.10.1) nhưng tới bước thứ 5 em ko ping vào được mạng 192.168.10.10 (em dùng router thay cho PC, đã đặt địa chỉ ip trên router).
 
Hi huy8114644,
Anh cho em hỏi. EM làm tớ bước 4 thì có vẻ ok rồi (từ PC client ping tới được địa chỉ 192.168.10.1) nhưng tới bước thứ 5 em ko ping vào được mạng 192.168.10.10 (em dùng router thay cho PC, đã đặt địa chỉ ip trên router).

Bạn kiểm tra dùm mình PC 192.168.10.10 ping được ra internet không. Khi dùng Router thay cho PC thì bạn cần phải trỏ Gateway giống như PC nhé.
Nếu vẫn chưa được có thể inbox cho mình skype, yahoo.. liên hệ mình sẽ giúp bạn :)
 
hi bạn,

Bạn có thể upload file config và mô hình của bạn lên đây để mình và mọi người có thể sửa lỗi cho bạn được không.

Thanks!
 
Hi, Cảm ơn bạn mình đã cấu hình được rùi ạ, cho mình hỏi tại sao ko có bài lab [h=2]" Active-Active Failover trên ASA 8.2" chỉ có 8.4 không vậy bạn ?[/h]
 
hi bạn,

Về cấu hình thì có vài chữ trong lệnh khác nhau thôi, chứ cấu hình giữa ASA 8.2 và 8.4 giống nhau nên mình lười làm cái cũ 8.2 :)

Nếu bạn cần mình có thể chỉ or lab cho bạn

thanks,
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu