IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
7 мес. 2 нед. назад - 7 мес. 2 нед. назад #251
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
TOLLIFi создал эту тему: IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
Примеры конфигурации IPsec IKEv2 Site-to-Site VPN (Cisco VTI, Classic CryptoMap) с Pre-Shared Key.
--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>
--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>
Настройки IPsec VPN Phase1 (IKE_SA_INIT):
- политика с алгоритмами IKEv2 первой фазы для всех пиров:
Настройки IPsec VPN Phase2 (IKE_AUTH):
- ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
- профиль IKEv2 для всех пиров:
- алгоритмы IPsec:
Профиль IPsec:
Пример интерфейса VTI Tunnel для пира Foo:
Пример интерфейса VTI Tunnel для пира Baz:
ACL для шифрования трафика:
Пример CryptoMap:
Вешаем CryptoMap на Source-интерфейс:
Указываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
--- МОНИТОРИНГ IKEv2 >>>
--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>
ВНИМАНИЕ: Спойлер!
--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>
*** Сначала будет приведена конфигурация Confignet общая для всех пиров (Foo, Bar и Baz) ***
- политика с алгоритмами IKEv2 первой фазы для всех пиров:
crypto ikev2 proposal ikev2-proposal-confignet
encryption aes-gcm-256 aes-gcm-128
prf sha512 sha384 sha256
group 20 21 24
crypto ikev2 proposal ikev2-proposal-confignet2
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha512 sha384 sha256
group 20 21 24
!
crypto ikev2 policy ikev2-policy-confignet
proposal ikev2-proposal-confignet
proposal ikev2-proposal-confignet2- ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
crypto ikev2 keyring ikev2-keyring-confignet
peer foo
description *** Foo IKEv2 Peer ***
address 1.1.1.1
pre-shared-key local fooPassword
pre-shared-key remote confignetPassword
!
peer bar
description *** Bar IKEv2 Peer ***
address 2.2.2.2
pre-shared-key local barPassword
pre-shared-key remote confignetPassword
!
peer baz
description *** Baz IKEv2 Peer ***
address 3.3.3.3
pre-shared-key symmetricBazConfignetPassword
!- профиль IKEv2 для всех пиров:
crypto ikev2 profile ikev2-profile-confignet
match identity remote address 1.1.1.1 255.255.255.255
match identity remote address 2.2.2.2 255.255.255.255
match identity remote address 3.3.3.3 255.255.255.255
identity local address 9.9.9.9
authentication remote pre-share
authentication local pre-share
keyring local ikev2-keyring-confignet
dpd 60 3 periodic- алгоритмы IPsec:
crypto ipsec transform-set ipsec-ts-confignet esp-aes 256 esp-sha-hmac
mode tunnel
*** Конфигурация Confignet для пиров Foo и Baz ***
Профиль IPsec:
crypto ipsec profile ipsec-profile-ikev2
set transform-set ipsec-ts-confignet
set ikev2-profile ikev2-profile-confignetПример интерфейса VTI Tunnel для пира Foo:
interface Tunnel901
description *** IPsec-IKEv2-Foo (Router) ***
ip address 10.5.9.93 255.255.255.252
ip access-group ipsec-foo-in in
ip access-group ipsec-foo-out out
ip tcp adjust-mss 1400
tunnel source 10.2.1.6
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile ipsec-profile-ikev2Пример интерфейса VTI Tunnel для пира Baz:
interface Tunnel902
description *** IPsec-IKEv2-Baz (PfSense) ***
ip address 10.5.9.97 255.255.255.252
ip access-group ipsec-baz-in in
ip access-group ipsec-baz-out out
ip tcp adjust-mss 1400
tunnel source 10.2.1.6
tunnel mode ipsec ipv4
tunnel destination 3.3.3.3
tunnel protection ipsec profile ipsec-profile-ikev2
*** Конфигурация Confignet для пира Bar ***
ACL для шифрования трафика:
access-list 222 permit ip 10.9.9.0 0.0.0.255 10.2.2.0 0.0.0.255Пример CryptoMap:
crypto map cmap-confignet 10 ipsec-isakmp
description *** IPsec-IKEv2-Bar (ASA) ***
set peer 2.2.2.2
set ip access-group ipsec-bar-in in
set ip access-group ipsec-bar-out out
set transform-set ipsec-ts-confignet
set pfs group20
set ikev2-profile ikev2-profile-confignet
match address 222Вешаем CryptoMap на Source-интерфейс:
interface GigabitEthernet0/0
description *** IPsec Source Interface ***
ip address 10.2.1.6 255.255.255.248
crypto map cmap-confignetУказываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
ip route 10.2.2.0 255.255.255.0 10.2.1.1 name IPsec-Bar--- МОНИТОРИНГ IKEv2 >>>
ВНИМАНИЕ: Спойлер!
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan