Новая тема
  1. Форум
  2. /
  3. IT и телекоммуникации
  4. /
  5. Конфигурация сетевого оборудования
  6. /
  7. IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan

IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan


Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
Больше
1 год 9 мес. назад - 1 год 9 мес. назад #251 от TOLLIFi
COM_KUNENA_MESSAGE_CREATED_NEW
Примеры конфигурации IPsec IKEv2 Site-to-Site VPN (Cisco VTI, Classic CryptoMap) с Pre-Shared Key.



--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>

- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>




*** Сначала будет приведена конфигурация Confignet общая для всех пиров (Foo, Bar и Baz) ***


  • Настройки IPsec VPN Phase1 (IKE_SA_INIT):

    • - политика с алгоритмами IKEv2 первой фазы для всех пиров:
    crypto ikev2 proposal ikev2-proposal-confignet
 encryption aes-gcm-256 aes-gcm-128
 prf sha512 sha384 sha256
 group 20 21 24
crypto ikev2 proposal ikev2-proposal-confignet2
 encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
 integrity sha512 sha384 sha256
 group 20 21 24
!
crypto ikev2 policy ikev2-policy-confignet
 proposal ikev2-proposal-confignet
 proposal ikev2-proposal-confignet2

  • Настройки IPsec VPN Phase2 (IKE_AUTH):

    • - ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
    crypto ikev2 keyring ikev2-keyring-confignet
 peer foo
  description *** Foo IKEv2 Peer ***
  address 1.1.1.1
  pre-shared-key local fooPassword
  pre-shared-key remote confignetPassword
 !
 peer bar
  description *** Bar IKEv2 Peer ***
  address 2.2.2.2
  pre-shared-key local barPassword
  pre-shared-key remote confignetPassword
 !
 peer baz
  description *** Baz IKEv2 Peer ***
  address 3.3.3.3
  pre-shared-key symmetricBazConfignetPassword
 !

    - профиль IKEv2 для всех пиров:
    crypto ikev2 profile ikev2-profile-confignet
 match identity remote address 1.1.1.1 255.255.255.255
 match identity remote address 2.2.2.2 255.255.255.255
 match identity remote address 3.3.3.3 255.255.255.255
 identity local address 9.9.9.9
 authentication remote pre-share
 authentication local pre-share
 keyring local ikev2-keyring-confignet
 dpd 60 3 periodic

    - алгоритмы IPsec:
    crypto ipsec transform-set ipsec-ts-confignet esp-aes 256 esp-sha-hmac
 mode tunnel



    *** Конфигурация Confignet для пиров Foo и Baz ***


    Профиль IPsec:
    crypto ipsec profile ipsec-profile-ikev2
 set transform-set ipsec-ts-confignet
 set ikev2-profile ikev2-profile-confignet

    Пример интерфейса VTI Tunnel для пира Foo:
    interface Tunnel901
 description *** IPsec-IKEv2-Foo (Router) ***
 ip address 10.5.9.93 255.255.255.252
 ip access-group ipsec-foo-in in
 ip access-group ipsec-foo-out out
 ip tcp adjust-mss 1400
 tunnel source 10.2.1.6
 tunnel mode ipsec ipv4
 tunnel destination 1.1.1.1
 tunnel protection ipsec profile ipsec-profile-ikev2

    Пример интерфейса VTI Tunnel для пира Baz:
    interface Tunnel902
 description *** IPsec-IKEv2-Baz (PfSense) ***
 ip address 10.5.9.97 255.255.255.252
 ip access-group ipsec-baz-in in
 ip access-group ipsec-baz-out out
 ip tcp adjust-mss 1400
 tunnel source 10.2.1.6
 tunnel mode ipsec ipv4
 tunnel destination 3.3.3.3
 tunnel protection ipsec profile ipsec-profile-ikev2


    *** Конфигурация Confignet для пира Bar ***


    ACL для шифрования трафика:
    access-list 222 permit ip 10.9.9.0 0.0.0.255 10.2.2.0 0.0.0.255

    Пример CryptoMap:
    crypto map cmap-confignet 10 ipsec-isakmp
 description *** IPsec-IKEv2-Bar (ASA) ***
 set peer 2.2.2.2
 set ip access-group ipsec-bar-in in
 set ip access-group ipsec-bar-out out
 set transform-set ipsec-ts-confignet
 set pfs group20
 set ikev2-profile ikev2-profile-confignet
 match address 222

    Вешаем CryptoMap на Source-интерфейс:
    interface GigabitEthernet0/0
 description *** IPsec Source Interface ***
 ip address 10.2.1.6 255.255.255.248
 crypto map cmap-confignet

    Указываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
    ip route 10.2.2.0 255.255.255.0 10.2.1.1 name IPsec-Bar


    --- МОНИТОРИНГ IKEv2 >>>

    ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
    IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
    Вложения:
    Last edit: 1 год 9 мес. назад by TOLLIFi.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    1. Форум
    2. /
    3. IT и телекоммуникации
    4. /
    5. Конфигурация сетевого оборудования
    6. /
    7. IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
    Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates
    Работает на Kunena форум