Пример конфигурации и генерации сертификатов для установления IPsec Site-to-Site VPN.
Установление защищенного IPsec VPN соединения с аутентификацией по сертификатам можно разделить на следующие шаги:
- Предварительная настройка интерфейсов и маршрутизации на ELTEX ESR и CISCO iOS.
- Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA).
- Выпуск ключевой пары и их импорт на CISCO iOS
- Конфигурция IPsec на CISCO iOS
- Выпуск ключевой пары (закрытого и открытого ключа) для ELTEX ESR
- Импорт корневого сертификата и ключевой пары на ELTEX ESR
- Конфигурция IPsec на ELTEX ESR
Предварительная настройка интерфейсов и маршрутизации
В предварительной конфигурации маршрутизатора ELTEX ESR разрешим прохождение UDP 500,4500 и ESP трафика в зону self для установления IPsec VPN:
...
object-group network MAIN
ip address-range 192.1680.12.102
exit
security zone untrusted
exit
security zone trusted
exit
...
cisco# clock set 12:01:00 14 Nov 2019
Получение/выпуск корневого сертификата - этот шаг выполняется на центрне сертификатов (Certificate Authority, CA)
Для выпуска сертификатов в данном примере используются утилиты openssl.
...
Полученный CA сертификат (ca.crt) и секретный CA ключи (ca.key) будут использоваться для подписи запросов на сертификат VPN клиентов.
Выпуск ключевой пары и их импорт на CISCO iOS
Генерируем закрытый ключ на CISCO iOS:
...
% Router Certificate successfully imported
Конфигурция IPsec на CISCO iOS
Укажем DN из сертификата в качестве локального идентификатора:
...
cisco(config)#int fastEthernet 0/0
cisco(config-if)#crypto map CMAP
cisco(config-if)#exit
Сгенерировать закрытый ключ для ELTEX ESR
Создать файл с атрибутами, приведенными ниже. Сохранить файл как openssl.cfg:
...
Результатом будет получен подписанный сертификат (esr.crt).
Загрузить корневой сертификат (ca.crt) , закрытый ключ (esr.key) и подписанный сертификат (esr.crt) на ELTEX ESR
Загрузка ключевой пары (esr.key и esr.crt), сертификата CA (ca.crt) и сертификат от CISCO iOS (cisco.crt) выполняется с USB Flash, либо посредством TFTP/FTP/SFTP/SCP.
...
esr.crt ru1?0???U????novosibirsk 11 14 03:25:58 2019 GMT 11 11 03:25:58 2029 GMT
Конфигурция IPsec на ELTEX ESR
Настроим ISAKMP политику (фаза 1):
...
esr(config)# security ike policy IKEPOLICY
esr(config-ike-policy)# certificate ca ca.crt
esr(config-ike-policy)# certificate local-crt esr.crt
esr(config-ike-policy)# certificate local-crt-key esr.key
esr(config-ike-policy)# certificate remote-crt cisco.crt
esr(config-ike-policy)# authentication method rsa-public-key
esr(config-ike-policy)# proposal IKEPROP
esr(config-ike-policy)# exit
...
esr(config)# security ipsec vpn IPSECVPN
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway IKEGW
esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
Диагностика подключения IPsec VPN
Проверим доступность IP адресов из LAN сегметов:
esr# ping 172.16.10.1 source ip 192.168.10.1
...