Далее описывается как сконфигурировать файрвол Cisco PIX/ASA для удаленного доступа в локальную сеть с использованием Cisco VPN Client. Проверялось на Cisco ASA 5520 7.0(6) и Cisco VPN Client 4.8.02.0010.
Начальные условия
interface GigabitEthernet0/0
description Internet
nameif wan
security-level 0
ip address 11.22.33.44 255.255.255.0
interface GigabitEthernet0/3
description Secured zone
nameif lan
security-level 100
ip address 192.168.1.1 255.255.255.0
Для доступа в интернет используется трансляция в один внешний адрес (PAT) при помощи команд:
global (wan) 1 interface
nat (lan) 1 192.168.1.0 255.255.255.0
Также, на интерфейсах разрешено прохождение ICMP пакетов:
icmp permit any wan
icmp permit any lan
access-list ACL_WAN_IN extended permit icmp any any
access-list ACL_LAN_IN extended permit icmp any any
access-group ACL_WAN_IN in interface wan
access-group ACL_LAN_IN in interface lan
Также в результирующей конфигурации есть команда.
same-security-traffic permit intra-interface
Её назначение – разрешение трафика между туннелями на одном интерфейсе. В данной конфигурации она не требуеся, но если без неё не заработает – добавьте.
Команды конфигурирования:
1. Выделяем пул адресов для доступа:
ip local pool RA_POOL 172.16.1.11-172.16.1.20 mask 255.255.255.0
2. Отменяем трансляцию адресов для сети удаленного доступа.
object-group network NET_RA
network-object 172.16.1.0 255.255.255.0
access-list ACL_NO_NAT extended permit ip any object-group NET_RA
nat (lan) 0 access-list ACL_NO_NAT
В данном примере отменена трансляция для всей сети 172.16.1.0 /24. Так сделано с некоторым заделом на будущее, т.к., в принципе, пулов в этой сети может быть несколько.
3. Создаем групповую политику:
group-policy RA_GROUP internal
group-policy RA_GROUP attributes
dns-server value 192.168.1.11 192.168.1.12
vpn-simultaneous-logins 1
vpn-tunnel-protocol IPSec
webvpn
В команде dns-server value нужно указать адрес (-а) локальных DNS серверов. Инструкция webvpn добавлена файрволом ASA самостоятельно. При работе с PIX она не используется.
4. Создаем пользователя и назначаем его в группу:
username RA_User password PWD_1234 privilege 7
username RA_User attributes
vpn-group-policy RA_GROUP
webvpn
webvpn – аналогично п.3.
5. Создаем политику isakmp и разрешаем ее на интерфейсе:
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp enable wan
isakmp nat-traversal 20
Последняя команда нужна для доступа в сеть за NAT’ом. Если ее не ввести, то туннель будет устанавливаться, но трафик в сеть ходить не будет.
6. Определяем шифрование и хеширование IPSec:
crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac
7. Настраиваем динамическую карту для удаленного доступа:
access-list WAN_RA_DYN extended permit ip any object-group NET_RA
crypto dynamic-map WAN_DYN_MAP 20 match address WAN_RA_DYN
crypto dynamic-map WAN_DYN_MAP 20 set transform-set 3DESSHA
crypto dynamic-map WAN_DYN_MAP 20 set reverse-route
8. Активируем эту карту для интерфейса:
crypto map WAN_MAP 10 ipsec-isakmp dynamic WAN_DYN_MAP
crypto map WAN_MAP interface wan
9. В завершении настраиваем туннельную группу:
tunnel-group RA_GROUP type ipsec-ra
tunnel-group RA_GROUP general-attributes
address-pool RA_POOL
tunnel-group RA_GROUP ipsec-attributes
pre-shared-key PSK_1234
