שלום לכולם,
הנושא שרציתי לשתף איתכם הפעם אלו הגדרות של IPSEC על גבי נתבי סיסקו,
לי באופן אישי קרה שהסתכלתי על הגדרות של IPSEC והצפנה בכלל ולא הבנתי מה כל מונח אומר,או איפה משתמשים בכל דבר והדבר הכי חשוב זה איך אנחנו משלבים את הכל ביחד...
אז ברצוני להראות לכם פה דוגמא של הגדרות IPSEC עבור קליינטים שמתחברים מרחוק (עם cisco vpn client),
לי זה עשה סדר בראש.. אני מקווה שגם לכם זה ייעשה...
הדוגמא המצורפת כאן היא דוגמא לקליינט מרוחק שמבצע התקשרות VPN על גבי האינטרנט,
בו בזמן שהוא מתחבר הוא מבצע הצפנה של התעבורה אשר עוברת בינו לבין רשת היעד,
להלן תמונה אשר ממחישה את תצורת החיבור:
להלן ההגדרות של ציוד הסיסקו אשר אמור לבצע טרמינציה לקליינטים שמנסים להגיע אל רשת ה-LAN אשר נמצאת מאחורי הנתב:
access-list 100 permit ip 172.30.0.0 0.0.255.255 any ------ Attached Above
מקווה שעזרתי,
אבי
הנושא שרציתי לשתף איתכם הפעם אלו הגדרות של IPSEC על גבי נתבי סיסקו,
לי באופן אישי קרה שהסתכלתי על הגדרות של IPSEC והצפנה בכלל ולא הבנתי מה כל מונח אומר,או איפה משתמשים בכל דבר והדבר הכי חשוב זה איך אנחנו משלבים את הכל ביחד...
אז ברצוני להראות לכם פה דוגמא של הגדרות IPSEC עבור קליינטים שמתחברים מרחוק (עם cisco vpn client),
לי זה עשה סדר בראש.. אני מקווה שגם לכם זה ייעשה...
הדוגמא המצורפת כאן היא דוגמא לקליינט מרוחק שמבצע התקשרות VPN על גבי האינטרנט,
בו בזמן שהוא מתחבר הוא מבצע הצפנה של התעבורה אשר עוברת בינו לבין רשת היעד,
להלן תמונה אשר ממחישה את תצורת החיבור:
להלן ההגדרות של ציוד הסיסקו אשר אמור לבצע טרמינציה לקליינטים שמנסים להגיע אל רשת ה-LAN אשר נמצאת מאחורי הנתב:
IPSEC Configurations – with Cisco Client
1. create 2 groups in AAA:
aaa authentication login vpn_auth local
aaa authorization network vpn_auth local
2. Create ISAKMP Policy (order matters first one takes over):
crypto isakmp policy 1 ----- Policy for ISAKMP
encr 3des ---- Encryption Method
authentication pre-share ---- Authentication Method
group 2 ----- DH Group
3. Create ISAKMP client configuration:
crypto isakmp client configuration group IPSEC ----- Group that configured on client VPN
key 123456 ---- Pre-Shared key for group authentication
dns 194.90.1.5 212.143.212.143
pool VPN --- DHCP Pool for client's requests
acl 100----- define the networks the users can reach
max-users 5 ----- Max Allowed users to connect simultaneity
netmask 255.255.255.0
4. Create ISAKMP Profile PHASE I:
crypto isakmp profile ike-profile-1 ------------à Profile Name
match identity group IPSEC ------à match to the group configuration
client authentication list vpn_auth --à Match to the AAA Group
isakmp authorization list vpn_auth --à Match to the AAA Group
client configuration address respond -à Responds to client's requests
virtual-template 2 ---à Attached to virtual template.
5. Create Transform-Set PHASE II:
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac - Yellow'd is the name of the T-S
6. Create IPSEC Profile And attach ISAKMP and and transport set:
crypto ipsec profile IPSEC_Profile1 ----- Create new ipsec profile
set transform-set ESP-3DES-SHA ------ Configured above
set isakmp-profile ike-profile-1------- Configured above
7. Create Virtual-Template to attached encryption :
interface Virtual-Template2 type tunnel ------àNew Interface
ip unnumbered Dialer1 --- Attached to a dialer interface
no ip unreachables
tunnel mode ipsec ipv4 --- Tunnel mode
tunnel protection ipsec profile IPSEC_Profile1 --- Attache encryption of tunnel to virtual template
8. Configure Virtual-Template to initiate users requests:
interface Virtual-Template3 ------New Interface
ip unnumbered Dialer1 ------ Attached to a dialer interface
no ip unreachables
ip nat inside ---à Applies NAT to interface
ip virtual-reassembly
peer default ip address pool VPN ------Applies DHCP to clients
no keepalive
ppp encrypt mppe auto --- Encryption Apply
ppp authentication pap chap
9. Create DHCP Pool for users requests:
ip local pool VPN 192.168.200.10 192.168.200.20 --- DHCP Pool for clients
10. Create Access-list that define the networks the users can reach:
access-list 100 permit ip 172.30.0.0 0.0.255.255 any ------ Attached Above
access-list 100 permit ip 4.4.4.0 0.0.0.255 any ------ Attached Above
access-list 100 permit ip 192.168.15.0 0.0.0.255 any ------ Attached Above
access-list 100 permit ip 172.16.5.0 0.0.0.255 any ------ Attached Above