Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Follow Us On Social Media

VPN [Lab 17.1] Remote Access vpn Cisco ASA 8.2

root

root

Well-Known Member
Joined
Dec 31, 2012
Messages
1,153
Reaction score
71
Points
48
Bài lab này mình làm theo yêu cầu một người bạn muốn mình làm IPSEC-VPN client to site trên ASA 8.2. Nếu ai có yêu cầu thì có thể gửi mô hình và yêu cầu lên forum hoặc inbox cho mình.

I. Mô hình và yêu cầu
1. Mô hình


2. Yêu cầu
- Cấu hình IPSEC-VPN để client ngoài internet truy cập được vào inside của ASA
- cấu hình NAT để client inside ASA ra internet bình thường
- Sơ đồ IP
[TABLE="class: grid, width: 800"]
[TR]
[TD]ASA[/TD]
[TD]g0
g1[/TD]
[TD]nameif: outisde, IP: 151.1.1.1/24
nameif: inside, IP: 192.168.10.0/24[/TD]
[/TR]
[TR]
[TD]Router ISP[/TD]
[TD]f0/0
f0/1
f1/0[/TD]
[TD]IP: 151.1.1.254/24
IP: 152.2.2.254/24
IP: DHCP[/TD]
[/TR]
[TR]
[TD]PC1[/TD]
[TD][/TD]
[TD]IP: 192.168.10.10/24
Gateway: 192.168.10.1[/TD]
[/TR]
[TR]
[TD]PC2[/TD]
[TD][/TD]
[TD]IP: 152.2.2.20/24
Gateway: 152.2.2.254[/TD]
[/TR]
[/TABLE]


II. Triển khai
1. Router ISP
- Cấu hình IP, NAT để PC vừa đi được Internet vừa VPN được
[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ISP(config-if)#int f0/0
ISP(config-if)#ip address 151.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address 152.2.2.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f1/0
ISP(config-if)#ip address dhcp

ISP(config)#ip access-list extended NAT
ISP(config-ext-nacl)#deny ip 152.2.2.0 255.255.255.0 151.1.1.1 255.255.255.0
ISP(config-ext-nacl)#permit ip any any

ISP(config)#ip nat inside source list NAT interface FastEthernet1/0 overload
ISP(config)#int f1/0
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]

2. Trên ASA
- Cấu hình IP và trỏ default-route về ISP
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config-if)# int g0
ASA(config-if)# nameif outside
ASA(config-if)# ip address 151.1.1.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config-if)# int g1
ASA(config-if)# nameif inside
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown

ASA(config)# route outside 0 0 151.1.1.254[/TD]
[/TR]
[/TABLE]

3. Cấu hình IPSEC-VPN client-to-site trên ASA
- Bước 1( Pharse 1): Cấu hình chính sách isakmp
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# crypto isakmp policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside
ASA(config)# crypto isakmp enable outside[/TD]
[/TR]
[/TABLE]
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC​
- Bước 2: Cấu hình chính sách IPSEC
[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ASA(config)# crypto ipsec transform-set MYSET esp-3des esp-md5-hmac[/TD]
[/TR]
[/TABLE]

- Bước 3: Tạo Dynamic map
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set transform-set MYSET[/TD]
[/TR]
[/TABLE]

- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside
[TABLE="class: outer_border, width: 600"]
[TR]
[TD]ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)# crypto map MYMAP interface outside[/TD]
[/TR]
[/TABLE]

- Bước 5: Tạo pool IP để cấp cho các client remote VPN
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0[/TD]
[/TR]
[/TABLE]

- Bước 6: Tạo 1 group-policy và cấu hình
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL[/TD]
[/TR]
[/TABLE]

- Bước 7: Cấu hình Tunnel-group
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN

//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# pre-shared-key svuit[/TD]
[/TR]
[/TABLE]

- Bước 8: Tạo user và pass cho user remote-VPN
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# username svuit password svuit.com[/TD]
[/TR]
[/TABLE]

4. Cấu hình NAT
- Tạo object-group và thực hiện nat overload trên ASA để các PC vùng inside đi ra internet được
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ASA(config)# global (outside) 1 interface[/TD]
[/TR]
[/TABLE]

- Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA


-Login bằng user/pass local trên ASA


- Các bạn sẽ thấy Client VPN thành công sẽ được ASA cấp 1 IP VPN


- Show trạng thái ikev1 trên ASA
ASA# sh crypto isakmp sa


Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 152.2.2.20
Type : user Role : responder
Rekey : no State : AM_ACTIVE
Click to expand...

- Show trạng thái của IPSEC
ASA# sh crypto ipsec sa


interface: outside
Crypto map tag: DYNAMIC-MAP, seq num: 10, local addr: 151.1.1.1

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.10/255.255.255.255/0/0)
current_peer: 152.2.2.20, username: svuit
dynamic allocated peer ip: 10.0.0.10

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 151.1.1.1, remote crypto endpt.: 152.2.2.20

path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 9D641DA5

inbound esp sas:
spi: 0xBE216DC9 (3189861833)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC-MAP
sa timing: remaining key lifetime (sec): 28253
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x9D641DA5 (2640584101)
transform: esp-3des esp-md5-hmac none
in use settings ={RA, Tunnel, }
slot: 0, conn_id: 8192, crypto-map: DYNAMIC-MAP
sa timing: remaining key lifetime (sec): 28253
IV size: 8 bytes
replay detection support: Y
Click to expand...
- Xem session VPN của client remote

Code: 
ciscoasa# sh vpn-sessiondb remote


Session Type: IPsec


Username     : svuit                  Index        : 2
Assigned IP  : 10.0.0.10              Public IP    : 152.2.2.20
Protocol     : IKE IPsec
Encryption   : 3DES                   Hashing      : MD5
Bytes Tx     : 240                    Bytes Rx     : 240
Group Policy : REMOTE-VPN             Tunnel Group : REMOTE-VPN
Login Time   : 00:40:58 UTC Tue Nov 30 1999
Duration     : 0h:11m:10s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none
 
5. split-tunnel Traffic
- Sau khi VPN thành công client được cấp 1 IP ảo do ASA cấp. Tuy nhiên Client VPN không thể truy cập được vào vùng inside của ASA.
- Để cho phép Client có thể truy cập được những IP or subnet nào trong vùng inside bạn cần thiết lập 1 Split-tunnel để điều khiển luồng traffic này
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]access-list VPN-ACL extended permit ip 192.168.10.0 255.255.255.0 10.0.0.0 255.255.255.0[/TD]
[/TR]
[/TABLE]

- Các bạn vào Group-policy REMOTE-VPN để thực hiện điều khiển luồng traffic này
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# split-tunnel-policy tunnelspecified
ASA(config-group-policy)# split-tunnel-network-list value VPN-ACL[/TD]
[/TR]
[/TABLE]

- Bây giờ các bạn thực hiện VPN lại để xem kết quả, các bạn sẽ thấy Client remote VPN đã truy cập được tới subnet 192.168.10.0/24 inside của ASA

 
Anh cho em hỏi. EM làm tớ bước 4 thì có vẻ ok rồi (từ PC client ping tới được địa chỉ 192.168.10.1) nhưng tới bước thứ 5 em ko ping vào được mạng 192.168.10.10 (em dùng router thay cho PC, đã đặt địa chỉ ip trên router).
 
Hi huy8114644,
huy8114644 said:
Anh cho em hỏi. EM làm tớ bước 4 thì có vẻ ok rồi (từ PC client ping tới được địa chỉ 192.168.10.1) nhưng tới bước thứ 5 em ko ping vào được mạng 192.168.10.10 (em dùng router thay cho PC, đã đặt địa chỉ ip trên router).
Click to expand...

Bạn kiểm tra dùm mình PC 192.168.10.10 ping được ra internet không. Khi dùng Router thay cho PC thì bạn cần phải trỏ Gateway giống như PC nhé.
Nếu vẫn chưa được có thể inbox cho mình skype, yahoo.. liên hệ mình sẽ giúp bạn :)
 
Bạn ơi cho mình hỏi tại sao mình cấu hình
5. split-tunnel Traffic
Click to expand...
Vẫn không tin duoc inside vậy bạn? ping request time out !!!
 
hi bạn,

Bạn có thể upload file config và mô hình của bạn lên đây để mình và mọi người có thể sửa lỗi cho bạn được không.

Thanks!
 
Hi, Cảm ơn bạn mình đã cấu hình được rùi ạ, cho mình hỏi tại sao ko có bài lab [h=2]" Active-Active Failover trên ASA 8.2" chỉ có 8.4 không vậy bạn ?[/h]
 
hi bạn,

Về cấu hình thì có vài chữ trong lệnh khác nhau thôi, chứ cấu hình giữa ASA 8.2 và 8.4 giống nhau nên mình lười làm cái cũ 8.2 :)

Nếu bạn cần mình có thể chỉ or lab cho bạn

thanks,
 
You must log in or register to reply here.

Follow Us On Social Media

About Us

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt.

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

What's new

New posts
New profile posts
Latest activity

Online statistics

Members online
0
Guests online
0
Total visitors
0
Totals may include hidden visitors.
Top