ASA L2L VPN old

Aus xinux.net
Zur Navigation springen Zur Suche springen

enable sysopt connection

  • lurchie(config)# sysopt connection permit-vpn

Aktivierung von IKE auf der ausgehenden Schnittstelle

  • lurchie(config)#crypto isakmp enable outside

Accessliste für kein NAT erstellen (zwischen beiden Netzen)

  • lurchie(config)# access-list no_nat permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0

Kein NAT für die obige Verbindungen

  • lurchie(config)#nat (inside) 0 access-list no_nat

Accesslisten anlegen

  • lurchie(config)# access-list 120 permit ip 172.22.2.0 255.255.255.0 192.168.56.0 255.255.255.0
  • lurchie(config)# access-list 120 permit ip 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0
  • lurchie(config)# access-list 120 permit icmp 192.168.56.0 255.255.255.0 172.22.2.0 255.255.255.0

Erstellen einer ISAKMP Protections Suite

Festlegen der Authentifizierungsmethode (pre-shared oder rsa-sig)

  • lurchie(config)#crypto isakmp policy 10 authentication pre-share

Festlegen der Verschlüsselungsmethode (des oder 3des)

  • lurchie(config)# crypto isakmp policy 10 encryption 3des

Festlegen der Hashmethode um Authentität zu gewahren (md5 oder sha)

  • lurchie(config)#crypto isakmp policy 10 hash md5

Festlegen der Diffie-Hellman-Gruppe (1 = 768, 2=1024)

  • lurchie(config)#crypto isakmp policy 10 group 2

Festlegen der Lebenszeit in Sekunden

  • lurchie(config)#crypto isakmp policy 10 lifetime 28800

Den Key für die Verbindung festlegen(depricated)

  • lurchie(config)# crypto isakmp key sehr-geheim address 192.168.241.13 netmask 255.255.255.255 no-xauth no-config-mode

Als id dient die IP-Adresse (address = IP, hostname = FQDN)

  • lurchie(config)# crypto isakmp identity address

Anzeigen der ISAKMP Policy

  • lurchie# show isakmp policy

Die Ipsec-SA soll esp-3des(168Bit) plus esp-md5-hmac nutzen

  • lurchie(config)# crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac

Überprüfen der Transform-Sets(geht net)

  • lurchie(config)# show crypto ipsec transform-set

Konfiguration der Cryptomap überflüssig

Erstellen des Crypto-Map-Eintrag für Ipsec und IKE

  • lurchie(config)# crypto map lurchie-unkerich 10 ipsec-isakmp

Es wird angewendet wenn die Accessliste 120 zutrifft

  • lurchie(config)# crypto map lurchie-unkerich 10 match address 120

Angabe des Ipsec-Peers mit dem der geschützte Verkehr ausgetauscht wird

  • lurchie(config)# crypto map lurchie-unkerich 10 set peer 192.168.241.13

Transform-Sets der für diesen Eintrag benutzt wird (Es können bis zu 6 angeben werden)

  • lurchie(config)# crypto map lurchie-unkerich 10 set transform-set xinux-set

Anwenden des Crypto-Maps auf die konkrete Schnittstelle

  • lurchie(config)# crypto map lurchie-unkerich interface outside
Abgerufen von „https://xinux.net/index.php?title=ASA_L2L_VPN_old&oldid=8247