headermask image

Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 2

Первая часть статьи находится тут

Настройка ASA 7.x

Подключитесь к ASA с правами администратора. Для настройки параметров управления подключением (phase 1) войдите в политику ISAKMP и установите параметры использования совместно используемого ключа, использование 3DES/SHA для шифрования и проверки целосности, укажите использование Diffie-Hellman group 2 (1024-bit) и генерацию ключа каждые 86400 секунд (24 часа).

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp enable outside

Теперь настроим tunnel-group для удаленного хоста и укажем аутентификацию на основе ключа.

tunnel-group 63.166.231.17 type ipsec-l2l
tunnel-group 63.166.231.17 ipsec-attributes
pre-shared-key mMWsT0umh_UQmh]yevjNBW_F

Для обмена данными (phase 2) создадим правило доступа которое определяет какой трафик защищается в данном туннеле. В данном примере создадим правило которое определяет весь IP трафик из сети 10.12.0.0/24 в сеть 172.16.1.0/24.

access-list branch_office extended permit ip 10.12.0.0 255.255.255.0 172.16.1.0 255.255.255.0

Создадим правило NAT исключающее любой трафик попадающий под вышеописанное правило доступа из NAT.

nat (inside) 0 access-list branch_office

Определим какой алгоритм шифрования должен будет использоваться для защиты данного трафика. В данном примере укажем 3DES и SHA1.

crypto ipsec transform-set branch_office esp-3des esp-sha-hmac

Создаем crypto map.

crypto map branch_office_map 1 match address branch_office
crypto map branch_office_map 1 set pfs group2
crypto map branch_office_map 1 set peer 63.166.231.17
crypto map branch_office_map 1 set transform-set branch_office

Активируемcrypto map на внешнем интерфейса ASA.

crypto map branch_office_map interface outside

Настройка Cisco PIX 6.x

Создание site-to-site VPN в Cisco PIX лишь слегка отличается от конфигурации ASA. К примеру, при настройке параметров первой фазы подключения используйте следующую команду:

crypto isakmp policy 10 authen pre-share
crypto isakmp policy 10 encrypt 3des
crypto isakmp policy 10 hash sha
crypto isakmp policy 10 group 2
crypto isakmp policy 10 lifetime 86400
crypto isakmp key mMWsT0umh_UQmh]yevjNBW_F address 63.166.231.17 netmask 255.255.255.255
crypto isakmp enable outside

Создадим правило доступа определяющее какой трафик защищается с использованием туннеля.

access-list branch_office permit ip 10.12.0.0 255.255.255.0 172.16.1.0 255.255.255.0

Исключим данный трафик из NAT.

nat (inside) 0 access-list branch_office

Защитим трафик с помощью 3DES и SHA1.

crypto ipsec transform-set branch_office esp-3des esp-sha-hmac

Создадим crypto map.

crypto map branch_office_map 1 ipsec-isakmp
crypto map branch_office_map 1 match address branch_office
crypto map branch_office_map 1 set peer 63.166.231.17
crypto map branch_office_map 1 set transform-set branch_office
crypto map branch_office_map 1 set pfs group2

Активируем crypto map на внешнем интерфейсе PIX.

crypto map branch_office_map interface outside

В отличие от ASA, PIX требует создания правила, разрешающего трафику в туннеле проходить через файервол. Для нашего сценария с филиалом (полностью доверенная сеть), разрешим весь IP трафик из сети 172.16.1.0/24 в сеть 10.12.0.0/24 и назначим это правило на внешний интерфейс.

access-list main_office_in permit ip 172.16.1.0 255.255.255.0 10.12.0.0 255.255.255.0
access-group main_office_in in interface outside

Полезная информация

Данная информация будет интересна любым приверженцам эмо. Отличный эмо форум для общения, знакомств и многое другое.

vtoroy
Похожие посты
  • Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 1
  • Создание SSL прокси при помощи lighttpd
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 1
  • Настраиваем 2003 Server на обмен маршрутами RIP с роутерами Cisco. Часть 1
  • Настраиваем Windows Server 2003 на обмен маршрутами RIP с роутерами Cisco. Часть 2
  • Прикол с cisco
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 3
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 2
  • Настройка SCCM 2007 SP1 в Windows Server 2008, часть 5
  • Расширение схемы Active Directory перед установкой SCCM 2007
  • 2 комментов оставлено (Add 1 more)

    1. Заработало. Проблема была в том, что туннель просто не поднимался до первого подходящего под access-list пакета. Пинговать нужно было не с TMG (там source будет IP интерфейса который в интернет смотрит), а с хоста за ним.

      1. Илья on December 1st, 2011 at 1:44 pm
    2. У меня ASA 7.1 Сделал все как написано – не работает.

      asa1# sh vpn-sessiondb l2l
      INFO: There are presently no active sessions of the type specified

      sh isakmp sa показывает только remote-access пользователей

      2. Илья on December 1st, 2011 at 12:13 pm