Настройка оборудования Cisco

суббота, 26 ноября 2011 г.

Создание VPN Site-to-Site между Cisco и Windows Server 2008

Итак, самое тяжкое — настройка Windows.
Нам потребуется
1. Добавить роли
Network Policy and Access Services, Routing & Remote Acces

Затем открываем опции Routing & Remote Acces
включаем там IPv4 forwarding
обязательно включаем windows firewall
в панели управления Server Manager жмем Go to Windows Firewall
открываем его настройки, заходим во вкладку IPSec settings и жмем Customize
Везде выбираем Advanced
Везде жмем Customize и добавляем нужное нам шифрование, а в Autentication method — все удаляем и добавляем Pre shared key

затем готовим следующие строки:

netsh advfirewall set global mainmode mmsecmethods dhgroup2:3des-md5
netsh advfirewall consec add rule name=»IPSec tunnel to Cisco» enable=yes mode=tunnel localtunnelendpoint=XX.XX.XX.XX remotetunnelendpoint=YY.YY.YY.YY endpoint1=AA.AA.AA.AA/aa endpoint2=BB.BB.BB.BB/bb action=requireinrequireout auth1=computerpsk auth1psk=»CCCCCCCCCCCCC» qmsecmethods=esp:md5-3des qmpfs=dhgroup2
Где XX.XX.XX.XX — внешний адрес Windows Server 2008
YY.YY.YY.YY — внешний адрес Cisco
AA.AA.AA.AA/aa сетка с маской за сервером
BB.BB.BB.BB/bb сетка с маской за Cisco
CCCCCCCCCCCCC — общий ключ

На Cisco делаем традиционную крипто карту
и все что положено

PS:
Удаленные сети за Cisco, в Windows можно через запятую перечислить.
Ну и главное — отладка Windows:
Если чтото не так — перезагрузить!

1 комментарий:

Здравствуйте. Данная схема будет работать между Cisco SB RV 180 и Win2008R2? Если да, буду очень благодарен за болле детальное обяснение. Уже третий день пробую поднять тунель ничего не получается. У меня стоит задача: есть сервер на ДЦ, есть офис с пользователями, нужно чтоб они ходили в интернет через сервер, а также пользовались RDP на этом же сервере.

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Cisco ASA 5506-X: интерфейс BVI

Настройка GRE туннеля на Cisco

Настройка Router-on-a-Stick на Cisco

Траблшутинг Network Management Protocols

Пример настройки IPv6 на Cisco

Cisco IOS: сохранение конфигурации

Траблшутинг DHCP на оборудовании Cisco

Еженедельный дайджест

Настройка Site-To-Site IPSec VPN на Cisco

Защищенный туннель между офисами

Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.

ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.

Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.

Требования к IPSec VPN

Чтобы упростить понимание настройки разделим его на две части:

1. Настройка ISAKMP (Фаза 1 ISAKMP)
2. Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)

Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.

Настройка ISAKMP (IKE) — ISAKMP Phase 1

IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).

Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:

Приведенные выше команды означают следующее:

• 3DES — метод шифрования, который будет использоваться на этапе 1
• MD5 — алгоритм хеширования
• Pre-Share — использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
• Group 2 — группа Диффи-Хеллмана, которая будет использоваться
• 86400 — время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.

Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.

Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:

Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес — 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.

Настройка IPSec – 4 простых шага

Для настройки IPSec нам нужно сделать следующее:

• Создать расширенный ACL
• Создать IPSec Transform
• Создать криптографическую карту (Crypto Map)
• Применить криптографическую карту к общедоступному (public) интерфейсу

Давайте рассмотрим каждый из вышеперечисленных шагов.

Шаг 1: Создаем расширенный ACL

Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.

Шаг 2: Создаем IPSec Transform

Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.

Приведенная выше команда определяет следующее:

• ESP-3DES — метод шифрования
• MD5 — алгоритм хеширования

Шаг 3: Создаем Crypto Map

Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:

Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.

Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу

Последний шаг — применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.

Обратите внимание, что интерфейсу можно назначить только одну криптокарту.

Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.

На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.

Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.

Трансляция сетевых адресов (NAT) и VPN-туннели IPSec

В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.

Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:

Для первого маршрутизатора:

Для второго маршрутизатора:

Инициализация и проверка VPN-туннеля IPSec

К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:

Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.

Чтобы проверить VPN-туннель, используйте команду show crypto session:

Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!

Cisco IOS Site-to-Site VPN

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

На странице описываются различные варианты настройки Site-to-Site VPN на маршрутизаторах Cisco.

Пока что информация предоставлена в виде лабораторных, со временем она будет переработана в странички.

К сожалению, сейчас на странице отсутствуют финальные конфигурации устройств, есть только пошаговое выполнение задания. Конфигурации будут, по возможности, добавлены позже.

При использовании этой информации обратите внимание на то, что это учебный материал. Не все сценарии и решения могут соответствовать реальной жизни.

Содержание

[править] Лабораторная 1. Настройка Site-to-site VPN с аутентификацией по pre-shared key. Использование crypto-map

[править] Задание

1. Подготовка к настройке VPN.
   1. Настройка маршрутизации между dyn1 и dyn2
   2. Настройка маршрута по умолчанию на dyn4 и dyn5
   3. Проверить доступность внешних интерфейсов
2. Настроить политику IKE (ISAKMP)
3. Настроить pre-shared ключ, который будет использоваться для аутентификации
4. Указать какой трафик между сетями необходимо шифровать. Шифроваться должен трафик между сетями 10.0.10.0/24 и 10.0.20.0/24
5. Настроить политику для защиты передаваемых данных (transform-set)
6. Настроить crypto-map и применить её на внешнем интерфейсе
7. Проверка работы VPN

[править] Пошаговая настройка

Настроить VPN между маршрутизаторами dyn1 и dyn2 с аутентификацией по pre-shared key.

[править] Подготовка к настройке VPN

[править] Настройка маршрутизации между dyn1 и dyn2

Маршрут к сети внешнего интерфейса dyn2:

Маршрут к сети внешнего интерфейса dyn1:

Когда используются crypto-map, необходимо чтобы был указан маршрут в удаленную локальную сеть, который ведет через внешний интерфейс. Это будет тригером для шифрования трафика, так как crypto-map применяется на внешнем интерфейсе.

Маршрут в локальную сеть за dyn2 на dyn1:

Маршрут в локальную сеть за dyn1 на dyn2:

[править] Настройка маршрута к сети loopback-интерфейса

Настройка маршрута на dyn1 к сети loopback-интерфейса dyn4:

Настройка маршрута на dyn2 к сети loopback-интерфейса dyn5:

[править] Настройка маршрута по умолчанию на dyn4 и dyn5

dyn4 и dyn5 выполняют роль хостов, поэтому на них необходимо настроить маршруты по умолчанию на dyn1 и dyn2, соответственно. Маршрут по умолчанию на dyn4:

Маршрут по умолчанию на dyn5:

[править] Проверить доступность внешних интерфейсов

Проверка доступности внешнего интерфейса dyn2 с dyn1:

[править] Настроить политику IKE (ISAKMP)

Политика IKE одинаковая на dyn1 и dyn2:

[править] Настроить pre-shared ключ, который будет использоваться для аутентификации

Настройка ключа на dyn1:

Настройка ключа на dyn2:

[править] Указать какой трафик между сетями необходимо шифровать

Шифроваться должен трафик между сетями 10.0.10.0/24 и 10.0.20.0/24

Настройка ACL на dyn1:

Настройка ACL на dyn2:

[править] Настроить политику для защиты передаваемых данных (transform-set)

Политика должна быть одинаковой на dyn1 и dyn2:

[править] Настроить crypto map и применить её на внешнем интерфейсе

crypto map это объект в котором собираются все предыдущие настройки.

Настройка crypto map на dyn1 и применение на интерфейса f2/0:

Настройка crypto map на dyn2:

[править] Проверка работы VPN

До генерации трафика:

Генерация трафика, который должен попадать в шифрованный туннель:

Установленные SA первой фазы:

Установленные SA второй фазы:

[править] Лабораторная 2. Настройка Site-to-site VPN с аутентификацией по pre-shared key. Использование VTI

[править] Задание

Настроить VPN между маршрутизаторами dyn2 и dyn3 с аутентификацией по pre-shared key.

1. Подготовка к настройке VPN.
   1. Настроить маршрутизацию между dyn2 и dyn3
   2. Проверить доступность внешних интерфейсов
   3. Настроить динамическую маршрутизацию на dyn2, dyn3, dyn5, dyn6
2. Настроить политику IKE (ISAKMP)
3. Настроить pre-shared ключ, который будет использоваться для аутентификации
4. Настроить политику для защиты передаваемых данных (transform-set)
5. Настроить IPsec profile
6. Настроить туннельный интерфейс и применить к нему IPsec profile
7. Проверить работу VPN

[править] Пошаговая настройка

Настроить VPN между маршрутизаторами dyn2 и dyn3 с аутентификацией по pre-shared key.

[править] Подготовка к настройке VPN.

[править] Настроить маршрутизацию между dyn2 и dyn3

Маршрут на dyn2 к сети внешнего интерфейса dyn3:

Маршрут на dyn3 к сети внешнего интерфейса dyn2:

[править] Проверить доступность внешних интерфейсов

[править] Настроить динамическую маршрутизацию на dyn2, dyn3, dyn5, dyn6

Настройка OSPF на dyn2, dyn3, dyn5, dyn6:

[править] Настроить политику IKE (ISAKMP)

Политика IKE одинаковая на dyn2 (уже настроена) и dyn3:

[править] Настроить pre-shared ключ, который будет использоваться для аутентификации

Настройка ключа на dyn2:

Настройка ключа на dyn3:

[править] Настроить политику для защиты передаваемых данных (transform-set)

Политика должна быть одинаковой на dyn2 (уже создана) и dyn3:

[править] Настроить IPsec profile

На dyn2 и dyn3 будет одинаковый IPsec profile:

[править] Настроить туннельный интерфейс и применить к нему IPsec profile

Настройка интерфейса на dyn2:

Настройка интерфейса на dyn3:

Для удобства, на туннели можно назначить IP-адреса из приватного диапазона. На dyn2:

[править] Проверить работу VPN

Маршруты полученные по OSPF на dyn2:

SA первой фазы на dyn2 (второе SA для туннеля с crypto map):

SA первой фазы на dyn3:

SA второй фазы на dyn2:

Автоматически созданные crypto map на dyn3:

[править] Лабораторная 3. Настройка Site-to-site VPN с аутентификацией по pre-shared key. Использование динамических VTI

[править] Задание

Настроить VPN между маршрутизаторами dyn1, dyn2 и dyn3 с аутентификацией по pre-shared key. Использовать динамический VTI на dyn1, на dyn2 и dyn3 настроить статические VTI.

1. Подготовка к настройке VPN.
   1. Настроить маршрутизацию между dyn1, dyn2 и dyn3
   2. Проверить доступность внешних интерфейсов
2. Политика IKE (ISAKMP) остается из прошлых лабораторных
3. Настроить pre-shared ключи, которые будут использоваться для аутентификации
4. Настроить политику для защиты передаваемых данных (transform-set)
5. Настроить IPsec profile на dyn1, dyn2, dyn3
6. На dyn1 настроить шаблонный интерфейс (Virtual-Template) для создания динамических VTI и применить к нему IPsec profile. Включить OSPF на этом интерфейсе
7. На dyn2 и dyn3 настроить статические VTI и применить к ним IPsec profile
8. Настроить crypto isakmp profile, указать в каких случаях он будет срабатывать и связать его с созданным шаблонным интерфейсом
9. Проверить работу VPN

[править] Пошаговая настройка

Настроить VPN между маршрутизаторами dyn1, dyn2 и dyn3 с аутентификацией по pre-shared key. Использовать динамические VTI на dyn2 и dyn3.

[править] Подготовка к настройке VPN

1.1 Настроить маршрутизацию между dyn1, dyn2 и dyn3 Маршруты на dyn1 к сетям внешних интерфейсов на dyn2 и dyn3:

Маршрут на dyn2 к сети внешнего интерфейса на dyn1:

Маршрут на dyn3 к сети внешнего интерфейса на dyn1:

1.2 Проверить доступность внешних интерфейсов

[править] Политика IKE (ISAKMP) остается из прошлых лабораторных

[править] Настроить pre-shared ключи, которые будут использоваться для аутентификации

Настройка ключей на dyn1:

Настройка ключей на dyn2:

Настройка ключей на dyn3:

[править] Настроить политику для защиты передаваемых данных (transform-set)

[править] Настроить IPsec profile на dyn1, dyn2, dyn3

[править] На dyn1 настроить динамический VTI

На dyn1 настроить шаблонный интерфейс (Virtual-Template) для создания динамических VTI и применить к нему IPsec profile

[править] На dyn2 и dyn3 настроить статические VTI и применить к ним IPsec profile

Настройка на dyn2:

Настройка на dyn3:

[править] Настроить crypto isakmp profile на dyn1

Настроить crypto isakmp profile на dyn1, указать в каких случаях он будет срабатывать и связать его с созданным шаблонным интерфейсом

[править] Проверить работу VPN

Для dyn2 и dyn3 автоматически созданы 2 виртуальных интерфейса

(хотя они отображаются в текущей конфигурации в стартовую они не попадут), посмотреть на их конфигурацию можно только командой sh run interface Virtual-Access :

[править] Лабораторная 4. Настройка Site-to-site VPN с аутентификацией по сертификатам

[править] Задание

Настроить аутентификацию по сертификатам для существующих туннелей VPN

1. Проверить время на всех маршрутизаторах, которые будут участвовать в схеме аутентификации по сертификатам
2. Настроить центр сертификатов на маршрутизаторе dyn4.
   1. Задать имя домена
   2. Включить HTTP-сервер
   3. Сгенерировать пару ключей, которые будет использовать CA
   4. Включить CA-сервер
3. Выдать сертификаты маршрутизаторам dyn1, dyn2, dyn3 (процедура повторяется для каждого маршрутизатора)
   1. Проверить доступность CA
   2. Задать имя домена
   3. Сгенерировать пару ключей
   4. Настроить trustpoint
   5. Запросить сертификат CA
   6. Запросить сертификат для маршрутизатора
4. На CA dyn4 выдать сертификаты для dyn1, dyn2, dyn3
5. Выдать сертификат маршрутизатору, который работает как центр сертификатов
6. Настроить VPN для аутентификации по сертификатам
   1. Настроить политику IKE с аутентификацией по сертификатам
   2. Настроить certificate map
   3. Настроить isakmp profile
7. Проверить работу VPN

[править] Пошаговая настройка

Настроить аутентификацию по сертификатам для существующих туннелей VPN

[править] Синхронизация времени

Проверить время на всех маршрутизаторах, которые будут участвовать в схеме аутентификации по сертификатам

[править] Настроить центр сертификатов на маршрутизаторе dyn4

Задать имя домена

Сгенерировать пару ключей, которые будет использовать центр сертификатов=====

[править] Выдать сертификаты маршрутизаторам dyn1, dyn2, dyn3

Процедура повторяется для каждого маршрутизатора

3.1 Проверить доступность CA

Сгенерировать пару ключей

Запросить сертификат CA

Запросить сертификат для маршрутизатора

[править] На CA dyn4 выдать сертификаты для dyn1, dyn2, dyn3

Проверить пришедшие запросы на CA:

Выдать всем сертификаты:

На маршрутизаторах появится сообщение о том, что пришел сертификат:

[править] Выдать сертификат маршрутизатору, который работает как центр сертификатов

Для того чтбоы выбать сертификат маршрутизатору, на котором находится CA, на нем необходимо сгенерировать ещё одну trustpoint (нельзя использовать автоматически созданную trustpoint):

[править] Настроить VPN для аутентификации по сертификатам

Настроить политику IKE с аутентификацией по сертификатам Исправить в существующей политике аутентификацию на сертификаты:

Настроить certificate map

Настроить isakmp profile

[править] Проверить работу VPN

SA первой фазы (аутентификация по сертификатам):

[править] Лабораторная 5. Настройка Site-to-site VPN с аутентификацией по сертификатам. Использование GRE-туннелей

[править] Задание

1. Настроить GRE-туннели
   1. Настроить шифрование данных (два варианта)
   2. Настроить и применить ipsec profile
   3. Настроить и применить crypto map
2. Проверить работу VPN
   1. С ipsec profile
   2. С crypto map

[править] Пошаговая настройка

[править] Настроить GRE-туннели

[править] Настроить шифрование данных

[править] Настроить и применить ipsec profile

Настройка ipsec profile (используется существующий transform-set) на dyn2 и dyn3:

Применить ipsec profile к туннельному интерфейсу:

[править] Настроить и применить crypto map

ACL с указанием какой трафик необходимо шифровать на dyn3:

Зеркальный ACL на dyn2:

Настройка и применение crypto map на dyn2:

Настройка и применение crypto map на dyn3:

[править] Проверить работу VPN

[править] С ipsec profile

[править] С crypto map

[править] Использование Xentaur

Xentaur — это средство для быстрой и удобной организации гетерогенных сетей, объединяющих виртуальные машины Xen, эмуляторы сетевых устройств, реальные хосты и сетевые устройства, а также управлениями ими и исследования их работы. Сети могут предназначаться как для решения учебных и исследовательских, так и для решения производственных задач. Подробнее о Xentaur