I. Mô hình
- Mô hình triển khai
- Cấu hình IP cho các interface, route, NAT…
- Dùng 1 client ngoài internet ping tới IP public của Router thành công
2. Router R_VPN
- Cấu hình tương tự như R_VPN
- Tương tự dùng 1 client ngoài internet ping tới IP public của Router R_VPN thành công
3. Cấu hình ASA
- Cấu hình nameif, ip … cho các interface
- Trên ASA bạn thực hiện Tracert Route để thấy đường đi của ASA. Nó sẽ đi thông qua con R_Internet
III. Cấu hình client to site VPN
1. Trên Router R_VPN
- các bạn thực hiện cấu hình NAT static cho 1 IP public với IP trên interface e0/2 của ASA
- Lúc này bạn Ping sẽ không thành công. Nguyên nhân đơn giản là vì
- Các bạn có thể show ip nat translation trên Router R_VPN để kiểm tra bảng trạng thái NAT của Router để thấy rõ vấn đề hơn2. Cấu hình ASA
- Để giải quyết vấn đề trên thì có nhiều cách. Song ở đây mình sẽ làm theo cách củ chuối trước, các cách khác sẽ được tiết lộ ở các bài sau.
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC
3. Client quay VPN
Kết luận
- Mô hình triển khai
- Yêu cầu:
- Client trong inside truy cập ra internet thông qua Router R_internet
- Client ngoài internet thực hiện VPN client to site đến đầu e0/2 của ASA thông qua IP public 1xx.1xx.1xx.225 nằm trên Router R_VPN
1. Router R_internet- Cấu hình IP cho các interface, route, NAT…
interface GigabitEthernet0/0 description “connect to Router ISP” no ip address ip tcp adjust*mss 1452 duplex auto speed auto pppoe enable group global pppoe*client dial*pool*number 1 ! interface GigabitEthernet0/1 description “Connect to interface e0 ASA” ip address 192.168.17.9 255.255.255.252 ip nat inside ip virtual*reassembly in ip tcp adjust*mss 1452 duplex auto speed auto ! interface GigabitEthernet0/2 no ip address ip nat inside ip virtual*reassembly in ip tcp adjust*mss 1452 duplex auto speed auto ! interface Dialer1 ip address 1xx.1xx.1xx.169 255.255.255.248 ip nat outside ip virtual*reassembly in encapsulation ppp dialer pool 1 dialer*group 1 ppp authentication pap chap callin ppp chap hostname svuit ppp chap password 0 svuit.vn ppp pap sent*username svuit password 0 svuit.vn no cdp enable // Thực hiện default-route ra internet qua interface Dialer1 ip route 0.0.0.0 0.0.0.0 Dialer1 // Thực hiện NAT overload access*list 1 permit any ip nat inside source list 1 interface Dialer1 overload |
2. Router R_VPN
- Cấu hình tương tự như R_VPN
interface GigabitEthernet0/0 no ip address ip flow ingress ip nat outside ip virtual*reassembly in ip tcp adjust*mss 1452 duplex auto speed auto pppoe enable group global pppoe*client dial*pool*number 1 ! interface GigabitEthernet0/1 description “Connect to e0/2 ASA” ip address 192.168.25.17 255.255.255.252 ip nat inside ip virtual*reassembly in ip tcp adjust*mss 1452 duplex auto speed auto ! interface GigabitEthernet0/2 no ip address ip nat inside ip virtual*reassembly in ip tcp adjust*mss 1452 duplex auto speed auto ! interface Dialer1 mtu 1492 ip address 1xx.1xx.1xx.225 255.255.255.248 ip nat outside ip virtual*reassembly in encapsulation ppp dialer pool 1 dialer*group 1 ppp authentication pap chap callin ppp chap hostname svuit ppp chap password 0 svuit.com ppp pap sent*username svuit password 0 svuit.com no cdp enable // Thực hiện default-route ra internet qua interface Dialer1 ip route 0.0.0.0 0.0.0.0 Dialer1 // Thực hiện NAT overload access*list 1 permit any ip nat inside source list 1 interface Dialer1 overload |
3. Cấu hình ASA
- Cấu hình nameif, ip … cho các interface
interface Ethernet0/0 nameif Outside security*level 0 ip address 192.168.17.10 255.255.255.252 ! interface Ethernet0/1 nameif inside security*level 100 ip address 10.17.0.100 255.255.248.0 ! interface Ethernet0/2 nameif Outside2 security*level 0 ip address 192.168.25.18 255.255.255.252 ! interface Ethernet0/3 nameif DMZ security*level 50 ip address 192.xxx.xxx.xx1 255.255.255.x ! interface Management0/0 nameif management security*level 100 no ip address // Thực hiện default-route ra internet qua interface e0/1 của router R_Internet ip route 0.0.0.0 0.0.0.0 192.168.17.9 ip route 0.0.0.0 0.0.0.0 192.168.25.18 2 |
ciscoasa(config)# traceroute 8.8.8.8 Type escape sequence to abort. Tracing the route to 8.8.8.8 1 192.168.17.9 0 msec 0 msec 0 msec 2 1xx.11x.1xx.169 msec 0 msec 10 msec 3 1xx.11x.1xx.xxx 0 msec 0 msec 10 msec 4 42.119.255.72 30 msec 70 msec 100 msec 5 118.69.184.81 150 msec 190 msec 180 msec 6 183.80.132.234 190 msec 290 msec 300 msec 7 8.8.8.8 0 msec 10 msec 10 msec |
1. Trên Router R_VPN
- các bạn thực hiện cấu hình NAT static cho 1 IP public với IP trên interface e0/2 của ASA
// IP ASA: 192.168.255.18 // IP public: 113.161.169.226 ip nat inside source static 192.168.25.18 1xx.1xx.1xx.226 |
[*=1]gói ICMP thừ client ngoài internet tới Router R_VPN
[*=1]R_VPN sẽ NAT gói ICMP của client với
[*=1]Source IP: 118.69.60.240 → 118.69.60.240
[*=1]Des IP: 1xx.1xx.1xx.226 →192.168.25.18
[*=1]Gói tin sẽ tiếp tục gửi tới Des IP là 192.168.255.18 là tới e0/2 của ASA
[*=1]ASA nhận gói tin và trả lời lại như sau:
[*=1]Souce IP: 192.168.25.18
[*=1]Des IP: 118.69.60.240
[*=1]Và vấn đề gặp phải ở đây là ASA nhìn vào bảng định tuyến để tra cái Des IP 118.69.60.240 của gói tin để nó quyết định đường đi. Sau một hồi ASA nó ngâm cứu thì nó phát hiện ra rằng nằm trong router:
ip route 0.0.0.0 0.0.0.0 192.168.17.9
Vì vầy gói tin trả về sẽ đi qua đường Router R_Internet
Và đây là cho thấy cái sự khác nhau của bộ não máy tính và não người
- Kết luận đường đi và đường về gói tin là 2 đường hoàn toàn khác nhau. Nên client ngoài internet không thể nào ping được tới ASA đã được public.Và đây là cho thấy cái sự khác nhau của bộ não máy tính và não người
c:\>ping 1xx.1xx.1xx.226 Pinging 113.161.169.226 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 113.161.169.226: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), |
- Để giải quyết vấn đề trên thì có nhiều cách. Song ở đây mình sẽ làm theo cách củ chuối trước, các cách khác sẽ được tiết lộ ở các bài sau.
- Yêu cầu là client remote phải có IP Public nhé. Để xem IP public của bạn, bạn có thể truy cập các web site như:
- Sau đó vào ASA thêm 1 đường Route đến IP Public của bạn
ip route 118.69.60.240 255.255.255.255 192.168.25.18 |
- Kiểm tra lại thì bạn thái nó sẽ ping thành công vì đường đi và đường về là trên 1 con đường mà.
- Sau đó các bạn thực hiện cấu hình VPN trên ASA như thông thường. Mình test thử với VPN client to site nhé!
- Các bạn có thể xem lại ở đây: http://svuit.vn/showthread.php?562-Lab-16-4-IPSEC-VPN-Client-to-site-in-ASA-8-4
- Và lưu ý chỉnh sửa 1 chút cho phù hợp nhé (sửa những phần mà mình đã highlight nhé)
- Bước 1( Pharse 1): Cấu hình chính sách IKEV1
ASA(config)# crypto ikev1 policy 10 ASA(config-ikev1-policy)# authentication pre-share ASA(config-ikev1-policy)# encryption 3des ASA(config-ikev1-policy)# hash md5 ASA(config-ikev1-policy)# group 2 ASA(config-ikev1-policy)# lifetime 86400 // Enable chính sách này trên interface outside2 ASA(config)# crypto ikev1 enable outside2 |
Xong pharse 1 bây giờ chúng ta sẽ chuyển qua Pharse 2 cấu hình IPSEC
- Bước 2: Cấu hình chính sách IPSEC
ASA(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac |
- Bước 3: Tạo Dynamic map
ASA(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET |
- Bước 4: Gán Dynamic map vào Crypto map và đưa vào cổng outside
ASA(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP ASA(config)# crypto map MYMAP interface outside2 |
- Bước 5: Tạo pool IP để cấp cho các client remote VPN
ASA(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0 |
- Bước 6: Tạo 1 group-policy và cấu hình
ASA(config)# group-policy REMOTE-VPN internal ASA(config)# group-policy REMOTE-VPN attributes ASA(config-group-policy)# default-domain value svuit.com ASA(config-group-policy)# address-pools value MYPOOL |
- Bước 7: Cấu hình Tunnel-group
ASA(config)# tunnel-group REMOTE-VPN type remote-access ASA(config)# tunnel-group REMOTE-VPN general-attributes // Đưa group-policy vào trong tunnel-group ASA(config-tunnel-general)# default-group-policy REMOTE-VPN //Xác định thuộc tính của IPSEC và đặt pre-shared key ASA(config)# tunnel-group REMOTE-VPN ipsec-attributes ASA(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit |
- Bước 8: Tạo user và pass cho user remote-VPN
ASA(config)# username svuit password svuit.com |
3. Client quay VPN
- Client thực hiện quay VPN với Group: REMOTE-VPN và Host là public thành công 1xx.1xx.1xx.226
Kết luận
- Với bài lab trên thì các bạn nên triển khai cho VPN site-to-Site lúc này việc route của ASA có ý nghĩa hơn so với VPN client to site (chỉ để test)
Last edited: