IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan

Больше
7 мес. 2 нед. назад - 7 мес. 2 нед. назад #251 от TOLLIFi
TOLLIFi создал эту тему: IPsec IKEv2 Site2Site VPN (FlexVPN): Cisco ASA, ASR, Router, PfSense, StrongSwan
Примеры конфигурации IPsec IKEv2 Site-to-Site VPN (Cisco VTI, Classic CryptoMap) с Pre-Shared Key.



--- КРАТКОЕ ОПИСАНИЕ IKEv2 >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


--- ПРИМЕР ДЛЯ ТРЁХ ПИРОВ: CISCO ROUTER, CISCO ASA и PFSENSE >>>

- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> Router (Foo: Cisco VTI)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> ASA (Bar: CryptoMap)
- ASR NAT-T (ConfigNet: Cisco VTI & CryptoMap) <-> PfSense (Baz: VTI) <в процессе написания...>




*** Сначала будет приведена конфигурация Confignet общая для всех пиров (Foo, Bar и Baz) ***


  • Настройки IPsec VPN Phase1 (IKE_SA_INIT):


  • - политика с алгоритмами IKEv2 первой фазы для всех пиров:
    crypto ikev2 proposal ikev2-proposal-confignet
     encryption aes-gcm-256 aes-gcm-128
     prf sha512 sha384 sha256
     group 20 21 24
    crypto ikev2 proposal ikev2-proposal-confignet2
     encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
     integrity sha512 sha384 sha256
     group 20 21 24
    !
    crypto ikev2 policy ikev2-policy-confignet
     proposal ikev2-proposal-confignet
     proposal ikev2-proposal-confignet2

  • Настройки IPsec VPN Phase2 (IKE_AUTH):


  • - ключи IKEv2 для всех пиров, объединенные в одну keyring-группу:
    crypto ikev2 keyring ikev2-keyring-confignet
     peer foo
      description *** Foo IKEv2 Peer ***
      address 1.1.1.1
      pre-shared-key local fooPassword
      pre-shared-key remote confignetPassword
     !
     peer bar
      description *** Bar IKEv2 Peer ***
      address 2.2.2.2
      pre-shared-key local barPassword
      pre-shared-key remote confignetPassword
     !
     peer baz
      description *** Baz IKEv2 Peer ***
      address 3.3.3.3
      pre-shared-key symmetricBazConfignetPassword
     !


    - профиль IKEv2 для всех пиров:
    crypto ikev2 profile ikev2-profile-confignet
     match identity remote address 1.1.1.1 255.255.255.255
     match identity remote address 2.2.2.2 255.255.255.255
     match identity remote address 3.3.3.3 255.255.255.255
     identity local address 9.9.9.9
     authentication remote pre-share
     authentication local pre-share
     keyring local ikev2-keyring-confignet
     dpd 60 3 periodic


    - алгоритмы IPsec:
    crypto ipsec transform-set ipsec-ts-confignet esp-aes 256 esp-sha-hmac
     mode tunnel



    *** Конфигурация Confignet для пиров Foo и Baz ***


    Профиль IPsec:
    crypto ipsec profile ipsec-profile-ikev2
     set transform-set ipsec-ts-confignet
     set ikev2-profile ikev2-profile-confignet

    Пример интерфейса VTI Tunnel для пира Foo:
    interface Tunnel901
     description *** IPsec-IKEv2-Foo (Router) ***
     ip address 10.5.9.93 255.255.255.252
     ip access-group ipsec-foo-in in
     ip access-group ipsec-foo-out out
     ip tcp adjust-mss 1400
     tunnel source 10.2.1.6
     tunnel mode ipsec ipv4
     tunnel destination 1.1.1.1
     tunnel protection ipsec profile ipsec-profile-ikev2

    Пример интерфейса VTI Tunnel для пира Baz:
    interface Tunnel902
     description *** IPsec-IKEv2-Baz (PfSense) ***
     ip address 10.5.9.97 255.255.255.252
     ip access-group ipsec-baz-in in
     ip access-group ipsec-baz-out out
     ip tcp adjust-mss 1400
     tunnel source 10.2.1.6
     tunnel mode ipsec ipv4
     tunnel destination 3.3.3.3
     tunnel protection ipsec profile ipsec-profile-ikev2


    *** Конфигурация Confignet для пира Bar ***


    ACL для шифрования трафика:
    access-list 222 permit ip 10.9.9.0 0.0.0.255 10.2.2.0 0.0.0.255

    Пример CryptoMap:
    crypto map cmap-confignet 10 ipsec-isakmp
     description *** IPsec-IKEv2-Bar (ASA) ***
     set peer 2.2.2.2
     set ip access-group ipsec-bar-in in
     set ip access-group ipsec-bar-out out
     set transform-set ipsec-ts-confignet
     set pfs group20
     set ikev2-profile ikev2-profile-confignet
     match address 222

    Вешаем CryptoMap на Source-интерфейс:
    interface GigabitEthernet0/0
     description *** IPsec Source Interface ***
     ip address 10.2.1.6 255.255.255.248
     crypto map cmap-confignet

    Указываем маршрут к удаленной подсети пира Bar через Default Gateway Nexthop IP:
    ip route 10.2.2.0 255.255.255.0 10.2.1.1 name IPsec-Bar


    --- МОНИТОРИНГ IKEv2 >>>

    ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

    IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
    Вложения:
    Последнее редактирование: 7 мес. 2 нед. назад от TOLLIFi.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Работает на Kunena форум