ASA L2L VPN old
Zur Navigation springen
Zur Suche springen
enable sysopt connection
- lurchie(config)# sysopt connection permit-vpn
Aktivierung von IKE auf der ausgehenden Schnittstelle
- lurchie(config)#crypto isakmp enable outside
Accessliste für kein NAT erstellen (zwischen beiden Netzen)
- lurchie(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0
Kein NAT für die obige Verbindungen
- lurchie(config)#nat (inside) 0 access-list no_nat
Accesslisten anlegen
- lurchie(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0
- lurchie(config)# access-list 120 permit ip 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0
- lurchie(config)# access-list 120 permit icmp 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0
Erstellen einer ISAKMP Protections Suite
- lurchie(config)#crypto isakmp policy 10 authentication pre-share
Festlegen der Verschlüsselungsmethode (des oder 3des)
- lurchie(config)# crypto isakmp policy 10 encryption 3des
Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)
- lurchie(config)#crypto isakmp policy 10 hash md5
Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)
- lurchie(config)#crypto isakmp policy 10 group 2
Festlegen der Lebenszeit in Sekunden
- lurchie(config)#crypto isakmp policy 10 lifetime 28800
Den Key für die Verbindung festlegen(depricated)
- lurchie(config)# crypto isakmp key sehr-geheim address 192.168.241.13 netmask 255.255.255.255 no-xauth no-config-mode
Als id dient die IP-Adresse (address = IP, hostname = FQDN)
- lurchie(config)# crypto isakmp identity address
Anzeigen der ISAKMP Policy
- lurchie# show isakmp policy
Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen
- lurchie(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac
Überprüfen der Transform-Sets(geht net)
- lurchie(config)# show crypto ipsec transform-set
Konfiguration der Cryptomap überflüssig
Erstellen des Crypto-Map-Eintrag für Ipsec und IKE
- lurchie(config)# crypto map lurchie-unkerich 10 ipsec-isakmp
Es wird angewendet wenn die Accessliste 120 zutrifft
- lurchie(config)# crypto map lurchie-unkerich 10 match address 120
Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird
- lurchie(config)# crypto map lurchie-unkerich 10 set peer 192.168.241.13
Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)
- lurchie(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set
Anwenden des Crypto-Maps auf die konkrete Schnittstelle
- lurchie(config)# crypto map lurchie-unkerich interface outside