Как настроить vpn на cisco

CISCO настройка VPN Site-to-Site

Возникла потребность обмениваться конфиденциальными данными в зашифрованном виде.

Рассмотрим на примере CISCO VPN Site-to-Site

Роутер «Интернет»:
interface FastEthernet0/0
description site1
ip address 1.1.1.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
description site2
ip address 2.2.2.1 255.255.255.252
duplex auto
speed auto

Роутер 1:
interface FastEthernet0/0
description outside
ip address 1.1.1.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
ip access-list extended FOR-NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

Роутер 2:
interface FastEthernet0/0
description outside
ip address 2.2.2.2 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description inside
ip address 192.168.2.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
ip access-list extended FOR-NAT
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any

В access-list»ах добавлена первая строчка, чтоб не натить трафик между сетями филиалов
Если ее не будет, то впн корректно не отработает

В первую очередь при построении IPSec туннеля создается мини-тунель для передачи служебных данных
Для построения используется ISAKMP (Internet Security Association and Key Management Protocol)
Необходимо настроить ряд параметров для его построения

1. алгоритм шифрования
2. алгоритм аутентификации
3. ключ
4. версия алгоритма Диффи-Хелмана (доступны 1,2,5)
5. время жизни туннеля

Данные параметры должны совпасть на обоих роутерах

Пример:

Здесь 1 произвольное число, роутеры ищут совпадающиую политику начиная с 1
Если у вас несколько политик на роутере, разумно будет указать более стойкие политики перед слабыми
crypto isakmp policy 1

des — 56-битное шифрование. Сейчас взламывается за 24 часа
3des — данные шифруются трижды алгоритмом des. Так-же поддается взлому
aes — Наиболее стоек. Возможно указать длину ключа (128, 192, 256 бит)
encr aes

Хеширование говорит о том, что данные не изменились злоумышленниками
md5 Message Digest 5
sha Secure Hash Standard
sha — является более надежным
hash sha

Аутентификация (возможна по ключу или сертификату):
pre-share Pre-Shared Key
rsa-encr Rivest-Shamir-Adleman Encryption
rsa-sig Rivest-Shamir-Adleman Signature
authentication pre-share

Время жизни задается в диапазоне:
lifetime ? lifetime in seconds

Версия алгоритма Диффи-Хелмана
group 2

Настройка ключа(preshared key) аутентификации и пира — роутер 2:
cisco — ключ, укажите свой
crypto isakmp key cisco address 2.2.2.2

Задаются методы шифрования, аутентификации данных, передаваемых между сетями
Параметры должны быть идентичны на обоих маршрутизаторах

Политика для защиты передаваемых данных (transform-set)
crypto ipsec transform-set TS ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
comp-lzs IP Compression using the LZS compression algorithm
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-null ESP transform w/o cipher
esp-seal ESP transform using SEAL cipher (160 bits)
esp-sha-hmac ESP transform using HMAC-SHA auth
Как и в первой фазе логика у вариантов шифрования и хэша идентична
В первой фазе шифруется только содержимое пакета, во второй — весь пакет и заголовок 3 уровня
crypto ipsec transform-set TS esp-aes esp-sha-hmac

Определяем какой трафик шифровать:
ip access-list extended TO_VPN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Настройка crypto, привязка её к isakmp policy, внешнему интерфейсу:
crypto map CRMAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set TS
match address TO_VPN

Привязка к интерфейсу:
interface FastEthernet0/0
crypto map CRMAP

show crypto isakmp sa — отображает состояние

show crypto ipsec sa — отображает статистику активных IPSec туннелей

show crypto engine connections active— отображает общее количество шифрованных/дешированых пакетов

show crypto map – выведет cryptomap

sh crypto session brief – краткое состояние сессий

sh crypto session det – подробное состояние сетей

Настройка Cisco VPN

Перед настройкой ресурса необходимо установить RADIUS Proxy и его компоненты для корректной работы. Инструкция по установке RADIUS Proxy.

• Через командную строку ASA CLI (Adaptive Security Appliance Command Line Interface) для управления сетевыми устройствами Cisco ASA.
• Через графический интерфейс ASDM (Adaptive Security Device Manager) для управления устройствами Cisco ASA, включая настройку VPN-подключений.

Выберите способ настройки и выполните шаги по инструкции.

• Настройка через ASA CLI
• Настройка через ASDM
• Дополнительные возможности

Настройка через ASA CLI

1. Создайте объект RadiusProxy сервера.

# Radius-servers — название группы серверов aaa-server Radius-servers protocol radius # 192.1.0.2 — ip-адрес сервера, где установлен RadiusProxy aaa-server Radius-servers (Inside) host 192.1.0.2 # 1812 — порт, на котором работает RadiusProxy authentication-port 1812 # 60 — количество секунд ожидания пользовательской аутентификации timeout 60 # secret — sharedSecret компонента RadiusProxy из настроек конфигурации key secret # Передача пароля по PAP no mschapv2-capable exit

# DefaultWEBVPNGroup — VPN группа для аутентификации tunnel-group DefaultWEBVPNGroup general-attributes # Radius-servers — группа серверов, созданная на шаге 1 authentication-server-group Radius-servers

Настройка через ASDM

Шаг 1. Откройте настройки VPN

Выберите в меню «Configuration».

Шаг 2. Добавьте сервер с RADIUS Proxy

Выберите «AAA/Local Users» → «AAA Servers Groups» и нажмите на кнопку «Add».

• AAA Server Group — Название группы серверов. Можно использовать своё.
• Protocol — RADIUS.

• Interface Name — интерфейс, который имеет доступ до сервера с RADIUS Proxy.
• Server Name or IP Address — IP-адрес сервера, на котором установлен RADIUS Proxy.
• Timeout — время ожидания пользовательской аутентификации. Рекомендуемое значение — 60 (секунд).
• Server Authentication Port — порт, на котором принимает запросы RADIUS Proxy. По умолчанию — 1812.
• Server Accounting Port — оставить по умолчанию.
• Server Secret Key — shared secret RADIUS Proxy.
• Microsoft CHAPv2 Capable — оставить пустым.

Шаг 3. Назначьте группу серверов для VPN-группы

1. Выберите «Network (Client) Access» → «Secure Client Connection Profiles».
2. В разделе «Connection Profiles» выберите нужный профиль и нажмите на кнопку «Edit».

• AAA — аутентификация только через RADIUS Proxy.
• AAA and certificate — аутентификация через RADIUS Proxy и проверка пользовательского сертификата.

Шаг 4. Примените настройки

Нажмите на кнопку «Apply».

Дополнительные возможности

Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.

Работает только для RADIUS-прокси.

В файл «appsettings.json» добавьте блок « AuthorizationConfiguration »:

"AuthorizationConfiguration":

1. AuthorizationStrategy — стратегия авторизации. Возможные значения:
   • AllUsers — впускать всех пользователей.
   • AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
   • NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
2. AdGroupExceptions — список групп.

После обновления «appsettings» нужно перезапустить RADIUS-прокси.

Настройка Site-To-Site IPSec VPN на Cisco

Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.

В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.

ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.

Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.

Требования к IPSec VPN

Чтобы упростить понимание настройки разделим его на две части:

1. Настройка ISAKMP (Фаза 1 ISAKMP)
2. Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)

Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.

Настройка ISAKMP (IKE) — ISAKMP Phase 1

IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:

R1(config)# crypto isakmp policy 1 R1(config-isakmp)# encr 3des R1(config-isakmp)# hash md5 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 2 R1(config-isakmp)# lifetime 86400

Приведенные выше команды означают следующее:

• 3DES — метод шифрования, который будет использоваться на этапе 1
• MD5 — алгоритм хеширования
• Pre-Share — использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
• Group 2 — группа Диффи-Хеллмана, которая будет использоваться
• 86400 — время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.

Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.

Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

R1(config)# crypto isakmp key merionet address 1.1.1.2

Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес — 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.

Настройка IPSec – 4 простых шага

Для настройки IPSec нам нужно сделать следующее:

• Создать расширенный ACL
• Создать IPSec Transform
• Создать криптографическую карту (Crypto Map)
• Применить криптографическую карту к общедоступному (public) интерфейсу

Давайте рассмотрим каждый из вышеперечисленных шагов.

Шаг 1: Создаем расширенный ACL

Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.

R1(config)# ip access-list extended VPN-TRAFFIC R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

Шаг 2: Создаем IPSec Transform

Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Приведенная выше команда определяет следующее:

• ESP-3DES — метод шифрования
• MD5 — алгоритм хеширования

Шаг 3: Создаем Crypto Map

Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:

R1(config)# crypto map CMAP 10 ipsec-isakmp R1(config-crypto-map)# set peer 1.1.1.2 R1(config-crypto-map)# set transform-set TS R1(config-crypto-map)# match address VPN-TRAFFIC

Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.

Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу

Последний шаг — применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.

R1(config)# interface FastEthernet0/1 R1(config- if)# crypto map CMAP

Обратите внимание, что интерфейсу можно назначить только одну криптокарту.

Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.

На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.

Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.

R2(config)# crypto isakmp policy 1 R2(config-isakmp)# encr 3des R2(config-isakmp)# hash md5 R2(config-isakmp)# authentication pre-share R2(config-isakmp)# group 2 R2(config-isakmp)# lifetime 86400 R2(config)# crypto isakmp key merionet address 1.1.1.1 R2(config)# ip access-list extended VPN-TRAFFIC R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R2(config)# crypto map CMAP 10 ipsec-isakmp R2(config-crypto-map)# set peer 1.1.1.1 R2(config-crypto-map)# set transform-set TS R2(config-crypto-map)# match address VPN-TRAFFIC R2(config)# interface FastEthernet0/1 R2(config- if)# crypto map CMAP

Трансляция сетевых адресов (NAT) и VPN-туннели IPSec

В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.

Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

Для первого маршрутизатора:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255 R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any

Для второго маршрутизатора:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any

Инициализация и проверка VPN-туннеля IPSec

К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:

R1# ping 20.20.20.1 source fastethernet0/0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 . Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.

Чтобы проверить VPN-туннель, используйте команду show crypto session:

R1# show crypto session Crypto session current status Interface: FastEthernet0/1 Session status: UP-ACTIVE Peer: 1.1.1.2 port 500 IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0 Active SAs: 2, origin: crypto map

Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!

12.3. Настройка Site-to-Site VPN между UserGate и Cisco

Site-to-Site VPN (Site-to-Site Virtual Private Network) — один из способов реализации технологии VPN, предназначенный для создания защищённого виртуального туннеля между несколькими частными сетями. Site-to-Site VPN часто используется компаниями, имеющими филиалы в разных городах для объединения их в виртуальную частную сеть.

Для создания постоянного безопасного туннеля используется протокол IPsec.

Рассмотрим создание Site-to-Site VPN подключения между и Cisco.

• IP-адрес сети за UserGate: 10.10.11.0/24.
• IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.
• IP-адрес сети оборудованием Cisco: 10.10.10.0/24.
• IP-адрес интерфейса, через который происходит подключение к Cisco: 2.2.2.1.

Настройка оборудования Cisco (с использованием crypto-map).

На маршрутизаторе произведены настройки интерфейсов, есть выход в сеть Интернет.

1. Настроить политику IKE/ISAKMP (Internet Key Exchange/Internet Security Association and Key Management Protocol), использующуюся для обеспечения защищённого взаимодействия в виртуальных частных сетях. При запуске согласования IKE происходит поиск общей политики на узлах.

crypto isakmp policy 10 encr aes authentication pre-share

1. Указать pre-shared key (общий ключ), который будет использоваться при аутентификации:

crypto isakmp key cisco address 1.1.1.2

1. Указать трафик между сетями, который необходимо шифровать и настроить список доступа для разрешения Site-to-Site VPN.

В данном примере должен шифроваться трафик между сетями 10.10.10.0/24 и 10.10.11.0/24.

ip access-list extended map_vpn permit ip 10.10.10.0 0.0.0.255 10.10.11.0 0.0.0.255 deny ip any any

1. Произвести настройку политики для защиты передаваемых данных (transform-set):

crypto ipsec transform-set map_set128 esp-aes esp-sha-hmac

1. Настроить crypto map (объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec) и её применение на внешнем интерфейсе GigabitEthernet0/0:

crypto map map1 10 ipsec-isakmp set peer 1.1.1.2 set transform-set map_set128 match address map_vpn interface GigabitEthernet0/0 ip address 2.2.2.1 255.255.255.0 duplex auto speed auto crypto map map1

Настройка UserGate.

1. В разделе Сеть —> Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.

1. В разделе Сеть —> Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.

Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей.

1. Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети —> Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.

Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.

1. Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN —> Профили безопасности VPN. В свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на Cisco.

1. В разделе VPN —> Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса на роутере Cisco, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и Cisco.