Эта статья рассказывает, как настроить Pix Firewall с последующей привязкой к IPSec.
Примечание: В PIX версии 7.2 и выше, intra-interface является ключевым словом, который позволяет пропускать и выпускать весь трафик на том же самом интерфейсе, а не только IPSEC трафик.
Необходимые требования:
До того, как Вы попытаетесь использовать эту конфигурацию, убедитесь, что Вами соблюдены все требования для установки:
• Cisco VPN Client версии 4.х
• The hub PIX Security устройство нуждается в версии 7.0.1 или выше.
Компонентное использование:
Информация в данном документе основывается на PIX или ASA security устройствах версии 7.0.1. Все устройства, используемые в статье, взяты с заводской конфигурацией.
Соглашение:
Более подробную информацию можно посмотреть здесь: http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml
Сетевая диаграмма
Конфигурация:
В этой статье используются следующие конфигурации:
• PIX/ASA
• VPN Client
PIX/ASA
PIX Version 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname W2N-5.6-PIX515-A
ftp mode passive
!— Command that permits IPsec traffic to enter and exit the same interface.
same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
!— The address pool for the VPN Clients.
ip local pool vpnpool 192.168.10.1-192.168.10.254
no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!— The global address for Internet access used by VPN Clients.
!— Note: Uses an RFC 1918 range for lab setup.
!— Apply an address from your public range provided by your ISP.
global (outside) 1 172.18.124.166
!— The NAT statement to define what to encrypt (the addresses from the vpn-pool).
nat (outside) 1 192.168.10.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
!— The configuration of group-policy for VPN Clients.
group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20
!— Forces VPN Clients over the tunnel for Internet access.
split-tunnel-policy tunnelall
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
!— Configuration of IPsec Phase 2.
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!— Crypto map configuration for VPN Clients that connect to this PIX.
crypto dynamic-map rtpdynmap 20 set transform-set myset
!— Binds the dynamic map to the crypto map process.
crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap
!— Crypto map applied to the outside interface.
crypto map mymap interface outside
!— Enable ISAKMP on the outside interface.
isakmp identity address
isakmp enable outside
!— Configuration of ISAKMP policy.
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
!— Configuration of tunnel-group with group information for VPN Clients.
tunnel-group rtptacvpn type ipsec-ra
!— Configuration of group parameters for the VPN Clients.
tunnel-group rtptacvpn general-attributes
address-pool vpnpool
!— Disable user authentication.
authentication-server-group none
authorization-server-group LOCAL
!— Bind group-policy parameters to the tunnel-group for VPN Clients.
default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end
Примечание 1:
Команда sysopt connection permit-ipsec нуждается в настройке.
Команда show running-config sysopt проверяет была ли она сконфигурирована.
Примечание 2:
Добавьте следующий листинг для опциональной настройки UDP транспорта.
group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
Примечание 3: Настройка следующей команды глобальной конфигурации
PIX устройства предоставляет возможность VPN клиентам устанавливать соединения IPsec поверх TCP:
isakmp ipsec-over-tcp port 10000
VPN Client
Следующие шаги помогут Вам сконфигурировать VPN Client:
1) Выберите Connection Entries > New.
2) Введите PIX и групповую информацию.
3) (Необязательно) Нажмите Enable Transparent Tunneling под закладкой “Транспорт”.
4) Сохраните профиль.
Проверка конфигурации:
• show crypto isakmp sa – Отображает все текущие IKE ассоциации безопасности для соединения.
• show crypto ipsec sa – Отображает все текущие SAs. Просматривает шифрованные и дешифрованные пакеты в SA, которые определены в трафике VPN клиента.
Попытайтесь выполнить команду пинг, какого-нибудь внешнего IP-адреса от клиента.
Например, www.cisco.com.
Примечание:
Внутренний интерфейс PIX не может быть проверян командой пинг внутри тунеля пока не выполнена команда management-access в режиме глобальной конфигурации.
PIX1(config)#management-access inside
PIX1(config)#show management-access
management-access inside
Проверка работоспособности VPN клиента:
Следующие шаги позволят проверить правильность настройки:
1) Нажмите правой кнопкой мыши по значку VPN клиента, находящегося в правом нижнем углу и выбирите меню statistics для проверки шифрования и дешифрования.
2) Выберите Route detail в меню, который проверяет правильность прохождения пакетов по тунелю.
искатьНастройка VPN-клиента для использования на сайте