Lab Dual route ISP ASA - Part 1

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. Mô hình

- Mô hình triển khai



  • Yêu cầu:
    • Client trong inside truy cập ra internet thông qua Router R_internet
    • Client ngoài internet thực hiện VPN client to site đến đầu e0/2 của ASA thông qua IP public 1xx.1xx.1xx.225 nằm trên Router R_VPN
II. Triển khai
1. Router R_internet

- Cấu hình IP cho các interface, route, NAT…


interface GigabitEthernet0/0
description “connect to Router ISP
no ip address
ip tcp adjust*mss 1452
duplex auto
speed auto
pppoe enable group global
pppoe*client dial*pool*number 1
!


interface GigabitEthernet0/1
description “Connect to interface e0 ASA
ip address 192.168.17.9 255.255.255.252
ip nat inside
ip virtual*reassembly in
ip tcp adjust*mss 1452
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
ip nat inside
ip virtual*reassembly in
ip tcp adjust*mss 1452
duplex auto
speed auto
!


interface Dialer1
ip address 1xx.1xx.1xx.169 255.255.255.248
ip nat outside
ip virtual*reassembly in
encapsulation ppp
dialer pool 1
dialer*group 1
ppp authentication pap chap callin
ppp chap hostname svuit
ppp chap password 0 svuit.vn
ppp pap sent*username svuit password 0 svuit.vn
no cdp enable


// Thực hiện default-route ra internet qua interface Dialer1
ip route 0.0.0.0 0.0.0.0 Dialer1

// Thực hiện NAT overload
access*list 1 permit any
ip nat inside source list 1 interface Dialer1 overload




- Dùng 1 client ngoài internet ping tới IP public của Router thành công



2. Router R_VPN
- Cấu hình tương tự như R_VPN


interface GigabitEthernet0/0
no ip address
ip flow ingress
ip nat outside
ip virtual*reassembly in
ip tcp adjust*mss 1452
duplex auto
speed auto
pppoe enable group global
pppoe*client dial*pool*number 1


!

interface GigabitEthernet0/1
description “Connect to e0/2 ASA”
ip address 192.168.25.17 255.255.255.252
ip nat inside
ip virtual*reassembly in
ip tcp adjust*mss 1452
duplex auto
speed auto
!


interface GigabitEthernet0/2
no ip address
ip nat inside
ip virtual*reassembly in
ip tcp adjust*mss 1452
duplex auto
speed auto
!


interface Dialer1
mtu 1492
ip address 1xx.1xx.1xx.225 255.255.255.248
ip nat outside
ip virtual*reassembly in
encapsulation ppp
dialer pool 1


dialer*group 1
ppp authentication pap chap callin
ppp chap hostname svuit
ppp chap password 0 svuit.com
ppp pap sent*username svuit password 0 svuit.com
no cdp enable


// Thực hiện default-route ra internet qua interface Dialer1
ip route 0.0.0.0 0.0.0.0 Dialer1

// Thực hiện NAT overload
access*list 1 permit any
ip nat inside source list 1 interface Dialer1 overload




- Tương tự dùng 1 client ngoài internet ping tới IP public của Router R_VPN thành công


3. Cấu hình ASA
- Cấu hình nameif, ip … cho các interface


interface Ethernet0/0
nameif Outside
security*level 0
ip address 192.168.17.10 255.255.255.252
!


interface Ethernet0/1
nameif inside
security*level 100
ip address 10.17.0.100 255.255.248.0
!


interface Ethernet0/2
nameif Outside2
security*level 0
ip address 192.168.25.18 255.255.255.252
!


interface Ethernet0/3
nameif DMZ
security*level 50
ip address 192.xxx.xxx.xx1 255.255.255.x
!


interface Management0/0
nameif management
security*level 100
no ip address


// Thực hiện default-route ra internet qua interface e0/1 của router R_Internet
ip route 0.0.0.0 0.0.0.0 192.168.17.9
ip route 0.0.0.0 0.0.0.0 192.168.25.18 2





- Trên ASA bạn thực hiện Tracert Route để thấy đường đi của ASA. Nó sẽ đi thông qua con R_Internet


ciscoasa(config)# traceroute 8.8.8.8

Type escape sequence to abort.
Tracing the route to 8.8.8.8
1 192.168.17.9 0 msec 0 msec 0 msec
2 1xx.11x.1xx.169 msec 0 msec 10 msec
3 1xx.11x.1xx.xxx 0 msec 0 msec 10 msec
4 42.119.255.72 30 msec 70 msec 100 msec
5 118.69.184.81 150 msec 190 msec 180 msec
6 183.80.132.234 190 msec 290 msec 300 msec
7 8.8.8.8 0 msec 10 msec 10 msec





III. Cấu hình client to site VPN
1. Trên Router R_VPN
- các bạn thực hiện cấu hình NAT static cho 1 IP public với IP trên interface e0/2 của ASA


// IP ASA: 192.168.255.18
// IP public: 113.161.169.226

ip nat inside source static 192.168.25.18 1xx.1xx.1xx.226




- Lúc này bạn Ping sẽ không thành công. Nguyên nhân đơn giản là vì


  1. [*=1]gói ICMP thừ client ngoài internet tới Router R_VPN
    [*=1]R_VPN sẽ NAT gói ICMP của client với

    1. [*=1]Source IP: 118.69.60.240 → 118.69.60.240
      [*=1]Des IP: 1xx.1xx.1xx.226 →192.168.25.18

    [*=1]Gói tin sẽ tiếp tục gửi tới Des IP là 192.168.255.18 là tới e0/2 của ASA
    [*=1]ASA nhận gói tin và trả lời lại như sau:

    1. [*=1]Souce IP: 192.168.25.18
      [*=1]Des IP: 118.69.60.240

    [*=1]Và vấn đề gặp phải ở đây là ASA nhìn vào bảng định tuyến để tra cái Des IP 118.69.60.240 của gói tin để nó quyết định đường đi. Sau một hồi ASA nó ngâm cứu thì nó phát hiện ra rằng nằm trong router:

ip route 0.0.0.0 0.0.0.0 192.168.17.9


Vì vầy gói tin trả về sẽ đi qua đường Router R_Internet
Và đây là cho thấy cái sự khác nhau của bộ não máy tính và não người
:cool:
- Kết luận đường đi và đường về gói tin là 2 đường hoàn toàn khác nhau. Nên client ngoài internet không thể nào ping được tới ASA đã được public.

c:\>ping 1xx.1xx.1xx.226

Pinging 113.161.169.226 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.


Ping statistics for 113.161.169.226:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),




- Các bạn có thể show ip nat translation trên Router R_VPN để kiểm tra bảng trạng thái NAT của Router để thấy rõ vấn đề hơn2. Cấu hình ASA
- Để giải quyết vấn đề trên thì có nhiều cách. Song ở đây mình sẽ làm theo cách củ chuối trước, các cách khác sẽ được tiết lộ ở các bài sau.


  • Sau đó vào ASA thêm 1 đường Route đến IP Public của bạn

ip route 118.69.60.240 255.255.255.255 192.168.25.18

  • Kiểm tra lại thì bạn thái nó sẽ ping thành công vì đường đi và đường về là trên 1 con đường mà.
  • Sau đó các bạn thực hiện cấu hình VPN trên ASA như thông thường. Mình test thử với VPN client to site nhé!
  • Các bạn có thể xem lại ở đây: http://svuit.vn/showthread.php?562-Lab-16-4-IPSEC-VPN-Client-to-site-in-ASA-8-4
  • Và lưu ý chỉnh sửa 1 chút cho phù hợp nhé (sửa những phần mà mình đã highlight nhé)

  • Bước 1( Pharse 1): Cấu hình chính sách IKEV1

ASA(config)# crypto ikev1 policy 10
ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400

// Enable chính sách này trên interface outside2
ASA(config)# crypto ikev1 enable outside2

Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC



  • Bước 2: Cấu hình chính sách IPSEC

ASA(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac



  • Bước 3: Tạo Dynamic map

ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET



  • Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside

ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ASA(config)#
crypto map MYMAP interface outside2



  • Bước 5: Tạo pool IP để cấp cho các client remote VPN

ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0



  • Bước 6: Tạo 1 group-policy và cấu hình

ASA(config)# group-policy REMOTE-VPN internal
ASA(config)# group-policy REMOTE-VPN attributes
ASA(config-group-policy)# default-domain value svuit.com
ASA(config-group-policy)# address-pools value MYPOOL



  • Bước 7: Cấu hình Tunnel-group

ASA(config)# tunnel-group REMOTE-VPN type remote-access
ASA(config)# tunnel-group REMOTE-VPN general-attributes

// Đưa group-policy vào trong tunnel-group
ASA(config-tunnel-general)# default-group-policy REMOTE-VPN
//Xác định thuộc tính của IPSEC và đặt pre-shared key
ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes
ASA(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit



  • Bước 8: Tạo user và pass cho user remote-VPN

ASA(config)# username svuit password svuit.com

3. Client quay VPN


  • Client thực hiện quay VPN với Group: REMOTE-VPN và Host là public thành công 1xx.1xx.1xx.226





Kết luận


  • Với bài lab trên thì các bạn nên triển khai cho VPN site-to-Site lúc này việc route của ASA có ý nghĩa hơn so với VPN client to site (chỉ để test)
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu