CISCO IPSEC Site to Site VPN
Zur Navigation springen
Zur Suche springen
Anlegen der Verbindungsdaten für Phase 1
unkerich(config)#crypto isakmp policy 10
Verschlüsselungsalgorithmus ist 3des
unkerich(config-isakmp)#encr 3des
Der Hashwert ist md5
unkerich(config-isakmp)#hash md5
Lifetime
unkerich(config-isakmp)#lifetime 7800
unkerich(config-isakmp)#authentication pre-share
Diffie-Hellmangruppe 2
unkerich(config-isakmp)#group 2
Accesslist zur Gegenseite
unkerich(config)#access-list 120 permit ip 172.32.1.0 0.0.0.255 172.22.2.0 0.0.0.255
unkerich(config)#crypto isakmp key 0 sehr-geheim address 192.168.249.62
Transformset xinux-set "esp-3des esp-md5-hmac"
unkerich(config)#crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac
Zusammenfassen Verbindungsdaten für Phase 2 basierend auf Phase 1 Policy 10
unkerich(config)#crypto map lurchi-unkerich 10 ipsec-isakmp
Gegenseite ist dies IP
unkerich(config-crypto-map)#set peer 192.168.249.62
Anwenden der Verbindungsdaten von xinux-set
unkerich(config-crypto-map)#set transform-set xinux-set
Trifft dann wenn Accessliste 120 zutrifft
unkerich(config-crypto-map)#match address 120
Anwenden der Crypto Map auf die Schnittstelle
unkerich(config)#interface FastEthernet0/1 unkerich(config-if)#crypto map lurchi-unkerich
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 QM_IDLE 1 0 ACTIVE
Anzeigen der IKE SA
unkerich# show crypto ipsec sa
Crypto engine connections active
gebuesch#show crypto engine connections active Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address 1003 Fa0/0 IKE SHA+AES256 0 0 192.168.252.129 2081 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2082 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2083 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2084 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129
Löschen der Phase 1 SA
unkerich#clear crypto isakmp
Löschen der Phase 2 SA
unkerich#clear crypto sa
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 MM_NO_STATE 4 0 ACTIVE (deleted)
Debugen der Phase1
unkerich#debug crypto isakmp Crypto ISAKMP debugging is on unkerich#terminal monitor unkerich# dann pingen unkerich#no debug crypto isakmp Crypto ISAKMP debugging is off
Weiteres Beispiel
! crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 5 crypto isakmp key geheimes-password address 192.168.241.13 ! ! crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto map unkerich-raspberry-vpn 20 ipsec-isakmp set peer 192.168.241.13 set transform-set AES256-MD5 3DES-MD5 match address 120 ! interface FastEthernet0/0 ip address 192.168.244.97 255.255.248.0 crypto map unkerich-raspberry-vpn ! access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255 !
VPN NAT
- Orignal zu transportierendes Netz
- unkerich(config)#access-list 88 permit 192.168.54.0 0.0.0.255
- Umgesetztes Netz
- unkerich(config)#ip nat pool vpn-pool 172.24.67.0 172.24.67.255 prefix-length 24
- Zuordnung
- unkerich(config)# ip nat inside source list 88 pool vpn-pool overload
- Interfaces konfigurieren
- VPNGW Interface
- unkerich#configure terminal
- unkerich(config)#interface FastEthernet0/0
- unkerich(config-if)#ip nat outside
- Inneres Interface
- unkerich(config)#interface FastEthernet1/0
- unkerich(config-if)#ip nat inside