Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют временные подключения к серверу для получения доступа к сетевым ресурсам.
Дополнительной особенностью RA IPsec VPN является возможность использования второго фактора аутентификации IPsec – Extended Authentication (XAUTH), вторым фактором аутентификации является пара логин-пароль для клиента IPsec VPN.
Задача:
Настроить Remote Access IPsec VPN между R1 и R2 с использованием второго фактора
аутентификации IPsec - XAUTH. В качестве сервера IPsec VPN настроить маршрутизатор R1, а
маршрутизатор R2 в качестве клиента IPsec VPN.
R2 IP-адрес - 120.11.5.1;
R1 IP-адрес - 180.100.0.1;
Клиентам IPsec VPN:
- выдавать адреса из пула подсети 192.0.2.0/24;
- предоставлять доступ до LAN подсети 10.0.0.0/16;
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: 3DES;
- алгоритм аутентификации: SHA1.
Решение:
Конфигурирование R1:
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configure
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# security zone untrusted
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone untrusted
esr(config-if-gi)# ip address 180.100.0.1/24
esr(config-if-gi)# exit
esr(config)# object-group service ISAKMP esr(config-object-group-service)# port-range 500,4500
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config-object-group-service)# exit
esr(config)# security ike proposal IKEPROPesr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm sha1esr(config-ike-proposal)# encryption algorithm 3desesr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации и метод аутентификации XAUTH по ключу:
esr(config)# security ike policy IKEPOLICYesr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# authentication method xauth-psk-keyesr(config-ike-policy)# proposal IKEPROPesr(config-ike-policy)# exit
Создадим профиль доступа и заведем в нем пару логин и пароль для клиента IPsec VPN:
esr(config)# access profile XAUTHesr(config-access-profile)# user client1esr(config-profile)# password ascii-text password123esr(config-profile)# exitesr(config-access-profile)# exit
Создадим пул адресов назначения, из которого будут выдаваться IP клиентам IPsec VPN:
esr-1000(config)# address-assignment pool CLIENT_POOLesr-1000(config-pool)# ip prefix 192.0.2.0/24esr-1000(config-pool)# exit
Создадим шлюз протокола IKE. В данном профиле необходимо указать политику протокола IKE, указать локальную подсеть, в качестве удаленной подсети указать пул адресов назначения, задать режим перенаправления трафика в туннель по политике и использование второго фактора аутентификации XAUTH:
esr(config)# security ike gateway IKEGWesr(config-ike-gw)# ike-policy IKEPOLICYesr(config-ike-gw)# local address 180.100.0.1esr(config-ike-gw)# local network 10.0.0.0/16esr(config-ike-gw)# remote address anyesr(config-ike-gw)# remote network dynamic pool CLIENT_POOLesr(config-ike-gw)# dead-peer-detection action clearesr(config-ike-gw)# mode policy-basedesr(config-ike-gw)# xauth access-profile XAUTHesr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsec proposal IPSECPROPesr(config-ipsec-proposal)# authentication algorithm sha1esr(config-ipsec-proposal)# encryption algorithm 3desesr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:
esr(config)# security ipsec policy IPSECPOLICYesr(config-ipsec-policy)# proposal IPSECPROPesr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и режим ожидания входящего соединения IPsec - by-request. После ввода всех параметров включим туннель командой enable:
esr(config)# security ipsec vpn IPSECVPNesr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel by-requestesr(config-ipsec-vpn)# ike gateway IKEGWesr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICYesr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exit
Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:
esr(config)# security zone-pair untrusted selfesr(config-zone-pair)# rule 1esr(config-zone-pair-rule)# action permitesr(config-zone-pair-rule)# match protocol udpesr(config-zone-pair-rule)# match destination-port object-group ISAKMPesr(config-zone-pair-rule)# enableesr(config-zone-pair-rule)# exitesr(config-zone-pair)# rule 2esr(config-zone-pair-rule)# action permitesr(config-zone-pair-rule)# match protocol espesr(config-zone-pair-rule)# enableesr(config-zone-pair-rule)# exitesr(config-zone-pair)# end
Конфигурирование R2:
Настроим внешний сетевой интерфейс и определим принадлежность к зоне безопасности:
esr# configureesr(config)# interface gi 1/0/1esr(config-if)# ip address 120.11.5.1/24esr(config-if)# security-zone untrustedesr(config-if)# exit
Для настройки правил зон безопасности потребуется создать профиль порта протокола ISAKMP:
esr(config)# object-group service ISAKMPesr(config-addr-set)# port-range 500,4500esr(config-addr-set)# exit
Создадим профиль протокола IKE. В профиле укажем группу Диффи-Хэллмана 2, алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IKE-соединения:
esr(config)# security ike proposal IKEPROPesr(config-ike-proposal)# dh-group 2esr(config-ike-proposal)# authentication algorithm sha1esr(config-ike-proposal)# encryption algorithm 3desesr(config-ike-proposal)# exit
Создадим политику протокола IKE. В политике указывается список профилей протокола IKE, по которым могут согласовываться узлы, ключ аутентификации, метод аутентификации XAUTH по ключу и режим аутентификации - клиент:
esr(config)# security ike policy IKEPOLICYesr(config-ike-policy)# pre-shared-key hexadecimal 123FFFesr(config-ike-policy)# authentication method xauth-psk-keyesr(config-ike-policy)# authentication mode clientesr(config-ike-policy)# proposal IKEPROPesr(config-ike-policy)# exit
Создадим профиль доступа и заведем в нем пару логин и пароль:
esr(config)# access profile XAUTHesr(config-access-profile)# user client1esr(config-profile)# password ascii-text password123esr(config-profile)# exitesr(config-access-profile)# exit
Создадим интерфейс loopback для терминации IP адреса, полученного от IPsec VPN сервера:
esr(config)# interface loopback 8esr(config-loopback)# exit
Создадим шлюз протокола IKE. В данном профиле указывается политика, интерфейс терминации, режим динамического установления удаленной подсети, выбор профиля доступа для XAUTH и режим перенаправления трафика в туннель по политике:
esr(config)# security ike gateway IKEGWesr(config-ike-gw)# ike-policy IKEPOLICYesr(config-ike-gw)# assign-interface loopback 8esr(config-ike-gw)# local address 120.11.5.1esr(config-ike-gw)# remote address 180.100.0.1esr(config-ike-gw)# remote network dynamic clientesr(config-ike-gw)# mode policy-basedesr(config-ike-gw)# xauth access-profile xauth client client1esr(config-ike-gw)# exit
Создадим профиль параметров безопасности для IPsec-туннеля. В профиле укажем алгоритм шифрования 3DES, алгоритм аутентификации SHA1. Данные параметры безопасности используются для защиты IPsec-туннеля:
esr(config)# security ipsecesr(config-ipsec-proposal)# proposal IPSECPROP
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit
Создадим политику для IPsec-туннеля. В политике указывается список профилей IPsec-туннеля, по которым могут согласовываться узлы:
esr(config)# security ipsec policy IPSECPOLICYesr(config-ipsec-policy)# proposal IPSECPROPesr(config-ipsec-policy)# exit
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включимтуннель командой enable:
esr(config)# security ipsec vpn IPSECVPNesr(config-ipsec-vpn)# mode ikeesr(config-ipsec-vpn)# ike establish-tunnel immediateesr(config-ipsec-vpn)# ike gateway IKEGWesr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICYesr(config-ipsec-vpn)# enableesr(config-ipsec-vpn)# exit
Разрешим протокол esp и udp порты 500,4500 в конфигурации firewall для установления IPsec VPN:
esr(config)# security zone-pair untrusted selfesr(config-zone-pair)# rule 1esr(config-zone-pair-rule)# action permitesr(config-zone-pair-rule)# match protocol udpesr(config-zone-pair-rule)# match destination-port object-group ISAKMPesr(config-zone-pair-rule)# enableesr(config-zone-pair-rule)# exitesr(config-zone-pair)# rule 2esr(config-zone-pair-rule)# action permitesr(config-zone-pair-rule)# match protocol espesr(config-zone-pair-rule)# enableesr(config-zone-pair-rule)# exitesr(config-zone-pair)# end
Состояние туннеля можно посмотреть командой:
esr# show security ipsec vpn status IPSECVPN
Конфигурацию туннеля можно посмотреть командой:
esr# show security ipsec vpn configuration IPSECVPN