Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

CISCO ASA VPN настройка

Рассмотрим кусочек конфига CISCO ASA 5540 для VPN

Адрес 1.1.1.2 выдуманный внешний адрес первой asa
Адрес 2.2.2.2 выдуманный внешний адрес второй asa
Сеть 192.168.10.0 локалка
Сети 10.10.20.0 и 10.10.10.0 за второй асой

Сетевые интерфейсы:
interface GigabitEthernet0/0
 nameif WAN01
 security-level 0
 ip address 1.1.1.2 255.255.255.252

interface GigabitEthernet0/1
 nameif VLAN-USER
 security-level 50
 ip address 192.168.1.1 255.255.255.0

Описаны сети:
object network OBJ-SUBNET-VLAN-USER
 subnet 192.168.10.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-DEVEL
 subnet 10.10.20.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-SR
 subnet 10.10.10.0 255.255.255.0

object-group network GRP-NETWORK-DPC1
 network-object object OBJ-SUBNET-DPC1-VLAN-DEVEL
 network-object object OBJ-SUBNET-DPC1-VLAN-SR

Добавлены в списки доступа (рназрешено прохождение трафика):
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL extended permit ip object BJ-SUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-DEVEL
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR extended permit ip object OBJSUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-SR

Политики шифрования и аутентификации:
crypto ikev1 policy 1000
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400

crypto ikev1 policy 1100
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

crypto ikev1 policy 1200
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

Задаем ключ вместо "*****":
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
 ikev1 pre-shared-key *****

Методы аутентификации и шифрования:
crypto ipsec ikev1 transform-set CRYPTO-TSET-ESP-SHA esp-aes esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite

Опишем пиров:
crypto map CRYPTO-MAP-WAN01 1000 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL
crypto map CRYPTO-MAP-WAN01 1000 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1000 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1000 set reverse-route

crypto map CRYPTO-MAP-WAN01 1010 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR
crypto map CRYPTO-MAP-WAN01 1010 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1010 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1010 set reverse-route

Применяем к интерфейсу:
crypto map CRYPTO-MAP-WAN01 interface WAN01
crypto ikev1 enable WAN01

Мне понадобилось еще правило ната:
nat (VLAN-USER,WAN01) after-auto source static OBJ-SUBNET-VLAN-USER OBJ-SUBNET-VLAN-USER destination static GRP-NETWORK-DPC1 GRP-NETWORK-DPC1 no-proxy-arp route-lookup

Комментарии пользователей