Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам.

Дополнительной особенностью RA IPsec VPN является возможность использования второго фактора аутентификации IPsec – Extended Authentication (XAUTH), вторым фактором аутентификации является пара логин-пароль для клиента IPsec VPN.









Задача:

Настроить Remote Access IPsec VPN между R1 и R2 с использованием второго фактора

аутентификации IPsec - XAUTH. В качестве сервера IPsec VPN настроить маршрутизатор R1, а

маршрутизатор R2 в качестве клиента IPsec VPN.

R2 IP-адрес - 120.11.5.1;

R1 IP-адрес - 180.100.0.1;

Клиентам IPsec VPN:

  • выдавать адреса из пула подсети 192.0.2.0/24;
  • предоставлять доступ до LAN подсети 10.0.0.0/16;
  • группа Диффи-Хэллмана: 2;
  • алгоритм шифрования: 3DES;
  • алгоритм аутентификации: SHA1.

Решение:

Конфигурирование R1:

Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:

esr# configure
esr(config)# security zone untrusted
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# ip address 180.100.0.1/24
esr(config-if-gi)# exit

Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:

esr(config)# object-group service ISAKMP
esr(config-object-group-service)# port-range 500,4500
esr(config-object-group-service)# exit    

Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:

esr(config)# security ike proposal IKEPROP
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm sha1
esr(config-ike-proposal)# encryption algorithm 3des
esr(config-ike-proposal)# exit


Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации и метод аутентификации XAUTH по ключу:

esr(config)# security ike policy IKEPOLICY

esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF

esr(config-ike-policy)# authentication method xauth-psk-key

esr(config-ike-policy)# proposal IKEPROP

esr(config-ike-policy)# exit


Создадим профиль доступа и заведем в нем пару логин и пароль для клиента IPsec VPN:



esr(config)# access profile XAUTH

esr(config-access-profile)# user client1

esr(config-profile)# password ascii-text password123

esr(config-profile)# exit

esr(config-access-profile)# exit


Создадим пул адресов назначения, из которого будут выдаваться IP клиентам IPsec VPN:


esr-1000(config)# address-assignment pool CLIENT_POOL

esr-1000(config-pool)# ip prefix 192.0.2.0/24

esr-1000(config-pool)# exit


Создадим шлюз протокола IKE. В данном профиле необходимо указать политику протокола IKE, указать локальную подсеть, в качестве удаленной подсети указать пул адресов назначения, задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации XAUTH:


esr(config)# security ike gateway IKEGW

esr(config-ike-gw)# ike-policy IKEPOLICY

esr(config-ike-gw)# local address 180.100.0.1

esr(config-ike-gw)# local network 10.0.0.0/16

esr(config-ike-gw)# remote address any

esr(config-ike-gw)# remote network dynamic pool CLIENT_POOL

esr(config-ike-gw)# dead-peer-detection action clear

esr(config-ike-gw)# mode policy-based

esr(config-ike-gw)# xauth access-profile XAUTH

esr(config-ike-gw)# exit


Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:


esr(config)# security ipsec proposal IPSECPROP

esr(config-ipsec-proposal)# authentication algorithm sha1

esr(config-ipsec-proposal)# encryption algorithm 3des

esr(config-ipsec-proposal)# exit


Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:


esr(config)# security ipsec policy IPSECPOLICY

esr(config-ipsec-policy)# proposal IPSECPROP

esr(config-ipsec-policy)# exit


Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и режим ожидания входящего соединения IPsec - by-request. После ввода всех параметров включим туннель командой enable:


esr(config)# security ipsec vpn IPSECVPN

esr(config-ipsec-vpn)# mode ike

esr(config-ipsec-vpn)# ike establish-tunnel by-request

esr(config-ipsec-vpn)# ike gateway IKEGW

esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY

esr(config-ipsec-vpn)# enable

esr(config-ipsec-vpn)# exit


Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:

  

esr(config)# security zone-pair untrusted self

esr(config-zone-pair)# rule 1

esr(config-zone-pair-rule)# action permit

esr(config-zone-pair-rule)# match protocol udp

esr(config-zone-pair-rule)# match destination-port ISAKMP

esr(config-zone-pair-rule)# enable

esr(config-zone-pair-rule)# exit

esr(config-zone-pair)# rule 2

esr(config-zone-pair-rule)# action permit

esr(config-zone-pair-rule)# match protocol esp

esr(config-zone-pair-rule)# enable

esr(config-zone-pair-rule)# exit

esr(config-zone-pair)# end

Конфигурирование R2:


Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:


esr# configure

esr(config)# interface gi 1/0/1

esr(config-if)# ip address 120.11.5.1/24

esr(config-if)# security-zone untrusted

esr(config-if)# exit


Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:


esr(config)# object-group service ISAKMP

esr(config-addr-set)# port-range 500,4500

esr(config-addr-set)# exit


Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:


esr(config)# security ike proposal IKEPROP

esr(config-ike-proposal)# dh-group 2

esr(config-ike-proposal)# authentication algorithm sha1

esr(config-ike-proposal)# encryption algorithm 3des

esr(config-ike-proposal)# exit


Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации, метод аутентификации XAUTH по ключу и режим аутентификации - клиент:


esr(config)# security ike policy IKEPOLICY

esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF

esr(config-ike-policy)# authentication method xauth-psk-key

esr(config-ike-policy)# authentication mode client

esr(config-ike-policy)# proposal IKEPROP

esr(config-ike-policy)# exit


Создадим профиль доступа и заведем в нем пару логин и пароль:


esr(config)# access profile XAUTH

esr(config-access-profile)# user client1

esr(config-profile)# password ascii-text password123

esr(config-profile)# exit

esr(config-access-profile)# exit


Создадим интерфейс loopback для терминации IP адреса, полученного от IPsec VPN сервера:


esr(config)# interface loopback 8

esr(config-loopback)# exit


Создадим шлюз протокола IKE. В данном профиле указывается политика, интерфейс терминации, режим динамического установления удаленной подсети, выбор профиля доступа для XAUTH и режим перенаправления трафика в туннель по политике:


esr(config)# security ike gateway IKEGW

esr(config-ike-gw)# ike-policy IKEPOLICY

esr(config-ike-gw)# assign-interface loopback 8

esr(config-ike-gw)# local address 120.11.5.1

esr(config-ike-gw)# remote address 180.100.0.1

esr(config-ike-gw)# remote network dynamic client

esr(config-ike-gw)# mode policy-based

esr(config-ike-gw)# xauth access-profile xauth client client1

esr(config-ike-gw)# exit


Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:


esr(config)# security ipsec

esr(config-ipsec-proposal)#

esr(config-ipsec-proposal)#

esr(config-ipsec-proposal)#

proposal IPSECPROP

authentication algorithm md5

encryption algorithm aes128

exit


Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:


esr(config)# security ipsec policy IPSECPOLICY

esr(config-ipsec-policy)# proposal IPSECPROP

esr(config-ipsec-policy)# exit


Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включимтуннель командой enable:


esr(config)# security ipsec vpn IPSECVPN

esr(config-ipsec-vpn)# mode ike

esr(config-ipsec-vpn)# ike establish-tunnel immediate

esr(config-ipsec-vpn)# ike gateway IKEGW

esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY

esr(config-ipsec-vpn)# enable

esr(config-ipsec-vpn)# exit


Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:


esr(config)# security zone-pair untrusted self

esr(config-zone-pair)# rule 1

esr(config-zone-pair-rule)# action permit

esr(config-zone-pair-rule)# match protocol udp

esr(config-zone-pair-rule)# match destination-port ISAKMP

esr(config-zone-pair-rule)# enable

esr(config-zone-pair-rule)# exit

esr(config-zone-pair)# rule 2

esr(config-zone-pair-rule)# action permit

esr(config-zone-pair-rule)# match protocol esp

esr(config-zone-pair-rule)# enable

esr(config-zone-pair-rule)# exit

esr(config-zone-pair)# end


Состояние туннеля можно посмотреть командой:


esr# show security ipsec vpn status IPSECVPN


Конфигурацию туннеля можно посмотреть командой:


esr# show security ipsec vpn configuration IPSECVPN

  • Нет меток