14 באוג׳ 2011

IPSEC IOS Configuration for Cisco Client Ver 5.x

שלום לכולם,
הנושא שרציתי לשתף איתכם הפעם אלו הגדרות של IPSEC על גבי נתבי סיסקו,
לי באופן אישי קרה שהסתכלתי על הגדרות של IPSEC והצפנה בכלל ולא הבנתי מה כל מונח אומר,או איפה משתמשים בכל דבר והדבר הכי חשוב זה איך אנחנו משלבים את הכל ביחד...
אז ברצוני להראות לכם פה דוגמא של הגדרות IPSEC עבור קליינטים שמתחברים מרחוק (עם cisco vpn client),
לי זה עשה סדר בראש.. אני מקווה שגם לכם זה ייעשה...
הדוגמא המצורפת כאן היא דוגמא לקליינט מרוחק שמבצע התקשרות VPN על גבי האינטרנט,
בו בזמן שהוא מתחבר הוא מבצע הצפנה של התעבורה אשר עוברת בינו לבין רשת היעד,

להלן תמונה אשר ממחישה את תצורת החיבור:



להלן ההגדרות של ציוד הסיסקו אשר אמור לבצע טרמינציה לקליינטים שמנסים להגיע אל רשת ה-LAN אשר נמצאת מאחורי הנתב:


IPSEC Configurations – with Cisco Client 

  1.    create 2 groups in AAA:
aaa authentication login vpn_auth local
aaa authorization network vpn_auth local

  2.    Create ISAKMP Policy  (order matters first one takes over):
crypto isakmp policy 1 ----- Policy for ISAKMP
 encr 3des ---- Encryption Method
 authentication pre-share ---- Authentication Method
 group 2 ----- DH Group

  3.    Create ISAKMP client configuration:
crypto isakmp client configuration group IPSEC ----- Group that configured on client VPN
 key 123456 ---- Pre-Shared key for group authentication
 dns 194.90.1.5 212.143.212.143
 pool VPN --- DHCP Pool for client's requests
 acl 100----- define the networks the users can reach
 max-users 5 ----- Max Allowed users to connect simultaneity
 netmask 255.255.255.0

  4.    Create ISAKMP Profile PHASE I:
crypto isakmp profile ike-profile-1 ------------à Profile Name
   match identity group IPSEC ------à match to the group configuration
   client authentication list vpn_auth --à Match to the AAA Group
   isakmp authorization list vpn_auth --à Match to the AAA Group
   client configuration address respond -à Responds to client's requests
   virtual-template 2 ---à Attached to virtual template.

  5.    Create Transform-Set PHASE II:
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac - Yellow'd is the name of the T-S

  6.    Create IPSEC Profile And attach ISAKMP and and transport set:
crypto ipsec profile IPSEC_Profile1 ----- Create new ipsec  profile
 set transform-set ESP-3DES-SHA ------  Configured above
 set isakmp-profile ike-profile-1-------  Configured above

  7.    Create Virtual-Template to attached encryption :
interface Virtual-Template2 type tunnel ------àNew Interface
 ip unnumbered Dialer1 --- Attached to a dialer interface
 no ip unreachables
 tunnel mode ipsec ipv4 --- Tunnel mode
 tunnel protection ipsec profile IPSEC_Profile1 --- Attache encryption of tunnel to virtual template

  8.    Configure Virtual-Template to initiate users requests:
interface Virtual-Template3 ------New Interface
 ip unnumbered Dialer1 ------ Attached to a dialer interface
 no ip unreachables
 ip nat inside ---à Applies NAT to interface
 ip virtual-reassembly
 peer default ip address pool VPN ------Applies DHCP to clients
 no keepalive
 ppp encrypt mppe auto --- Encryption Apply
 ppp authentication pap chap


9.    Create DHCP Pool for users requests:

ip local pool VPN 192.168.200.10 192.168.200.20 --- DHCP Pool for clients

  10.     Create Access-list that define the networks the users can reach:

access-list 100 permit ip 172.30.0.0 0.0.255.255 any ------ Attached Above
access-list 100 permit ip 4.4.4.0 0.0.0.255 any ------ Attached Above
access-list 100 permit ip 192.168.15.0 0.0.0.255 any ------ Attached Above
access-list 100 permit ip 172.16.5.0 0.0.0.255 any ------ Attached Above


 מקווה שעזרתי,
אבי