CISCO IPSEC Site to Site VPN

Aus xinux.net
Zur Navigation springen Zur Suche springen

Anlegen der Verbindungsdaten für Phase 1

 unkerich(config)#crypto isakmp policy 10

Verschlüsselungsalgorithmus ist 3des

unkerich(config-isakmp)#encr 3des

Der Hashwert ist md5

unkerich(config-isakmp)#hash md5

Lifetime

unkerich(config-isakmp)#lifetime 7800

Authentifizierungsmethode ist Pre-Shared-Secret

unkerich(config-isakmp)#authentication pre-share

Diffie-Hellmangruppe 2

unkerich(config-isakmp)#group 2

Accesslist zur Gegenseite

unkerich(config)#access-list 120 permit ip 172.32.1.0 0.0.0.255 172.22.2.0 0.0.0.255

Pre-Shared-Secret Gegenseite zuordnen

unkerich(config)#crypto isakmp key 0 sehr-geheim address 192.168.249.62

Transformset xinux-set "esp-3des esp-md5-hmac"

unkerich(config)#crypto ipsec  transform-set xinux-set esp-3des esp-md5-hmac

Zusammenfassen Verbindungsdaten für Phase 2 basierend auf Phase 1 Policy 10

unkerich(config)#crypto map lurchi-unkerich 10 ipsec-isakmp

Gegenseite ist dies IP

unkerich(config-crypto-map)#set peer 192.168.249.62

Anwenden der Verbindungsdaten von xinux-set

unkerich(config-crypto-map)#set transform-set xinux-set

Trifft dann wenn Accessliste 120 zutrifft

unkerich(config-crypto-map)#match address 120

Anwenden der Crypto Map auf die Schnittstelle

unkerich(config)#interface FastEthernet0/1
unkerich(config-if)#crypto map lurchi-unkerich


Anzeigen der ISAKMP SA

unkerich#show crypto isakmp sa
dst             src             state          conn-id slot status
192.168.249.61  192.168.249.62  QM_IDLE              1    0 ACTIVE

Anzeigen der IKE SA

unkerich# show crypto ipsec sa

Crypto engine connections active

gebuesch#show crypto engine connections active Crypto Engine Connections 

  ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
1003 Fa0/0      IKE   SHA+AES256                0        0 192.168.252.129
2081 Fa0/0      IPsec AES256+SHA                0        0 192.168.252.129
2082 Fa0/0      IPsec AES256+SHA                0        0 192.168.252.129
2083 Fa0/0      IPsec AES256+SHA                0        0 192.168.252.129
2084 Fa0/0      IPsec AES256+SHA                0        0 192.168.252.129

Löschen der Phase 1 SA

unkerich#clear crypto  isakmp

Löschen der Phase 2 SA

 unkerich#clear crypto sa

Anzeigen der ISAKMP SA

unkerich#show crypto isakmp sa
dst             src             state          conn-id slot status
192.168.249.61  192.168.249.62  MM_NO_STATE          4    0 ACTIVE (deleted)

Debugen der Phase1

unkerich#debug crypto isakmp 
Crypto ISAKMP debugging is on
unkerich#terminal monitor 
unkerich#
dann pingen
unkerich#no debug crypto isakmp 
Crypto ISAKMP debugging is off

Weiteres Beispiel

!
crypto isakmp policy 20
 encr aes 256
 hash md5
 authentication pre-share
 group 5
crypto isakmp key geheimes-password address 192.168.241.13
!
!
crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac 
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac 
!
crypto map unkerich-raspberry-vpn 20 ipsec-isakmp 
 set peer 192.168.241.13
 set transform-set AES256-MD5 3DES-MD5 
 match address 120
!         
interface FastEthernet0/0
 ip address 192.168.244.97 255.255.248.0
 crypto map unkerich-raspberry-vpn
!
access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255
!


VPN NAT

Orignal zu transportierendes Netz
  • unkerich(config)#access-list 88 permit 192.168.54.0 0.0.0.255
Umgesetztes Netz
  • unkerich(config)#ip nat pool vpn-pool 172.24.67.0 172.24.67.255 prefix-length 24
Zuordnung
  • unkerich(config)# ip nat inside source list 88 pool vpn-pool overload
Interfaces konfigurieren
VPNGW Interface
  • unkerich#configure terminal
  • unkerich(config)#interface FastEthernet0/0
  • unkerich(config-if)#ip nat outside
Inneres Interface
  • unkerich(config)#interface FastEthernet1/0
  • unkerich(config-if)#ip nat inside
Abgerufen von „https://xinux.net/index.php?title=CISCO_IPSEC_Site_to_Site_VPN&oldid=9147