Remote access vpn cisco asa

Какие варианты VPN Remote Access предоставляет ASA 5500-X

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA.

Классификация пользовательского VPN, предоставляемого МСЭ Cisco ASA:

По типу туннелирующего протокола:

IPsec – устаревший способ (не требует дополнительных лицензий);
SSL/TLS – современный способ (требует дополнительные лицензии).

Способ номер 2 — SSL/TLS — в свою очередь подразделяется на два вида:

a. Подключение с использованием клиентского приложения (Network (Client) Access);
b. Подключение с помощью браузера (Clientless Access).

Кроме того, способ номер 2 (SSL/TLS) может быть дополнен функционалом Cisco Secure Desktop (лицензируется отдельно), направленным на выполнение определённых проверок пользовательских устройств, с которых осуществляются попытки подключения.

Разберём более подробно каждый из способов.

Для соединения по первому способу – IPsec — используется клиентское приложение Cisco VPN Client. Для подключения пользователь должен установить и настроить клиентское приложение самостоятельно.

Способ 2а – SSL/TLS с использованием клиентского приложения — является аналогом способа 1. В случае 2а для подключения используется клиентское приложение Cisco Anyconnect Secure Mobility Client (далее Anyconnect). Главное преимущество использования способа 2а заключается в том, что приложение Anyconnect может быть загружено пользователем самостоятельно непосредственно с МСЭ ASA. При этом установка этого приложения будет выполнена в автоматическом режиме. Такое решение во многом упрощает администрирование сервиса Remote Access. Сетевым инженерам достаточно раздать пользователям ссылку, по которой можно скачать и установить клиент Anyconnect и логин/пароль. Кроме того, вместе с клиентом Anyconnect на пользовательское устройство загружается профиль подключения, описывающий все необходимые настройки. Пользователю не требуется настраивать подключение, как это было в случае использования Cisco VPN Client. Если на устройстве пользователя уже установлен клиент Anyconnect для подключения достаточно включить клиент, нажать “Connect” и ввести логин/пароль.

Существуют реализации клиента Anyconnect для мобильных устройств: Android, iOS, Windows mobile. Как правило, VPN на основе SSLTLS для предоставления сервиса Remote Access показывает более стабильную надёжную связь по сравнению с IPsec.

При использовании клиента пользовательское устройство получат логическое соединение с корпоративной сетью. При необходимости, сетевой администратор может настроить соединение таким образом, чтобы удалённый пользователь получал неограниченный доступ к ресурсам компании, как если бы пользовательское устройство было бы непосредственно включено в один из коммутаторов корпоративной сети.

В некоторых случаях, пользователи не могут установить на свои устройства клиентское приложение (AnyConnect или Cisco VPN Client). Например, удалённый пользователь подключается из Интернет-кафе, используя местный компьютер. В таких случаях единственным вариантом подключения становится подключение с помощью браузера (Clientless Access) – способ 2b. При таком виде подключения пользователь получает ограниченный доступ к определённым ресурсам компании. Отсутствует логическое подключение устройства к корпоративной сети.

При использовании подключения с помощью браузера, пользователь заходит на корпоративный портал. Данный порта настраивается на ASA сетевым администратором. В зависимости от типа предоставляемых для удалённого доступа ресурсов на портале пользователь сможет найти следующие основные вкладки:

Web Applications
Browse Networks
Application Access
Terminal Servers

Вкладка Web Applications содержит ссылки на web-ресурсы компании, например OWA (Outlook Web Access), web-серверы компании.

Вкладка Browse Networks содержит инструменты доступа к сетевым файловым хранилища компании. Доступ может быть настроен по протоколам CIFS и FTP.

Вкладки Application Access и Terminal Servers содержат инструменты доступа к различным приложениям. С помощью портала можно организовать удалённый доступ к TCP-приложениям, использующим статические номера портов. К таким приложениям относятся приложения на основе следующих протоколов:

POP3, SMTP, IMAP – для web-based email;
SSH, и Telnet;
Citrix Client (rca);
Terminal Servers (rdp);
Terminal Servers Vista (rdp2);
VNC Client.

Для использования сервисов доступа к приложениям на клиентском устройстве необходимо наличие Sun Microsystems Java Runtime Environment (Java). Существует три способа предоставления доступа к приложениям:

Port Forwarding
Smart Tunnel
Plug-ins

Способ Port Forwarding также называется Thin-Client. При использовании данного способа на пользовательское устройство загружается небольшой Java-аплет. Для получения доступа к серверу приложения пользователь должен знать номер порта, по которому должен быть доступен сервер, а на пользовательском устройстве должно быть установлено соответствующее клиентское программное обеспечение. Так на примере доступа по RDP на терминальный сервер таким клиентским приложением должен служить сервис mstsc.exe. Для получения доступа по RDP на терминальный сервер, пользователь должен нажать на портале Start Applications, запустить на своём устройстве сервис mstsc.exe и ввести адрес 127.0.0.1: . Пользователь должен иметь права администратора для своего устройства, с которого осуществляется подключение.

Способ Smart Tunnel является надстройкой над способом Port Forwarding. Данный способ не требует наличия прав администратора, а также не требует от пользователя знаний, под каким портом сетевой администратор опубликовал на портале тот или иной сервер. Использование Smart Tunnel более предпочтительно по сравнению с использованием Port Forwarding. В данном случае, на примере доступа по RDP пользователь должен нажать на портале Start Smart Tunnel и, после этого, запустить mstsc.exe на своём устройстве. Теперь пользователь может подключиться по RDP к любому терминальному серверу, а не только к серверу, который опубликован сетевым администратором.

Инструменты способа Plug-ins можно найти на вкладке Terminal Servers. Главное отличие данного способа от предыдущих двух заключается в том, что на пользовательском устройстве может отсутствовать клиентского программного обеспечения для установки связи с сервером приложения. Другими словами, на примере RDP, не обязательно наличие mstsc.exe на устройстве. В качестве клиентского программного обеспечения выступает соответствующий приложению загружаемый на пользовательское устройство plug-in для браузера, работающий в среде Java.

Среди перечисленных трёх способов организации доступа к приложениям использование Smart Tunnel является наиболее производительным методом.

В заключении отметим основные возможности технологии Cisco Secure Desktop (CSD). Для многих современных компаний корпоративные политики безопасности требуют определения параметров пользовательских устройств, с которых осуществляется подключение к корпоративной сети. К таким параметрам относятся операционная система устройства, наличие актуального антивируса, наличие актуального программного брандмауэра, наличие актуального решения против шпионящего ПО, и многие другие параметры. Технология Cisco Secure Desktop (CSD), используемая совместно с Anyconnect-подключением или подключением без использования клиентского ПО, помогает решить задачу валидации устройства, подключаемого удалённо к корпоративной сети. Рассматриваемая технология помогает собирать параметры, описывающие подключаемое устройство. В дальнейшем собранные параметры могут быть использованы, чтобы определить, можно ли данному устройству подключаться удалённо к корпоративной сети, и, если подключение разрешено, какой уровень доступа может быть предоставлен для конкретного устройства.

Например, можно настроить политики таким образом, чтобы для устройств с определённой ОС, сертификатом и антивирусом разрешался неограниченный доступ к ресурсам компании, при отсутствии сертификата — разрешался доступ только к определённым IP-адресам и портам, а для всех других устройств разрешался доступ только через корпоративный портал (Clientless Remote Access).

Технология CSD в своей работе опирается на использование программы HostScan. При попытке установления соединения CSD загружает HostScan на подключающееся устройство. HostScan собирает все необходимые параметры устройства.

Проверки устройства происходят в два этапа:

Проверка перед аутентификацией (prelogin check). На данном этапе HostScan проверяет:
- Операционную систему;
- Присутствие или отсутствие определённого файла на устройстве;
- Для ОС Windows присутствие или отсутствие определённого ключа в реестре ОС;
- Наличие цифрового сертификата;
- Наличие определённого IPv4 и/или IPv6 адреса.
Дальнейшая проверка.

Если устройство проходит первый этап проверки, HostScan продолжает свою работу, собирает информацию о таких параметрах как наличие антивируса, его актуальность, вендор, версия базы, наличие программного файервола и его параметры, наличие решения предотвращения шпионящего ПО и его параметры и т.д. В это же время пользователю предлагается ввести аутентификационные данные.

Линейка продуктов Cisco ASA5500-X предоставляет дополнительный функционал – Advanced Endpoint Assessment (лицензируется отдельно, покрывается лицензией AnyConnect Apex). Если на этапе 2 проверки HostScan выявляется несоответствие определённых параметров устройства корпоративным стандартам, HostScan с включённым функционалом Advanced Endpoint Assessment предпринимает попытки исправить параметры устройства. Например, если присутствует антивирусное программное обеспечение обнаружено, но выключено пользователем, HostScan может принудительно активировать ПО. Также, если антивирус обнаружен, но база данных устарела, HostScan может принудительно инициировать попытку обновления базы вирусных сигнатур. Аналогичные исправления могут быть предприняты относительно программного брандмауэра и решения против шпионящего ПО.

Читать еще: Direct access перевод

По совокупности собранных параметров подключаемого устройства и аутентификационных данных пользователей (логин, принадлежность к определённой группе AD или Cisco, атрибута RADIUS и т.д.) межсетевой экран динамически принимает решение о предоставление доступа удалённому пользователю. Описанная задача решается посредством динамических политик доступа на Cisco ASA (Dynamic Access Policies – DAP).

В статье рассмотрены варианты предоставления сервиса доступа к корпоративным ресурсам компании удалённым пользователям, технологии, использующиеся для решения поставленной задачи, а также возможности, функционал и особенности применения каждой технологии. Основной акцент данной статье сделан на использование продукта Cisco ASA серии 5500-X, как программно-аппаратного решения, реализующего рассматриваемые технологии. Однако стоит отметить, на настоящий момент времени маршрутизаторы Cisco практически полностью поддерживают описанные решения и функционал.

Так, например, маршрутизаторы Cisco ISR G2 (c IOS 12.4(6)T и выше), поддерживают Cisco VPN Client подключения, Anyconnect-подключения, подключения без клиента Clientless VPN и технологию Cisco Secure Desktop. Функциональное отличие от Cisco ASA заключается только в отсутствии Advanced Endpoint Assessment.

Для Cisco ASA основная часть описанного функционала лицензируется отдельно. Ознакомиться с особенностями схемы лицензирования описанного функционала можно по ссылке.

Поддержка

Категория: Сеть

Описание

Часто пользователям требуется доступ в локальную сеть офиса или предприятия из дома.
Понятно, что в данной ситуации Site-to-Site канал не построишь, поскольку у пользователя скорее всего нет необходимого оборудования.

В этой ситуации пользователь может использовать приложение Ciscco VPN Client , а на маршрутизаторе используется технология, которая называется Cisco Easy VPN .

Используемое оборудование Cisco ASA-5505 (Security Appliance Software Version 9.1(6)6)

Пошаговая настройка Easy VPN на маршрутизаторе Cisco ASA с аутентификацией по ключу

Настройка политики ISAKMP

В Cisco ASA необходимо включить ISAKMP на интерфейсе

Здесь Inet — это имя внешнего интерфейса

crypto isakmp policy 10 — приоритет 10

authentication pre-share — аутентификация с помощью обычного ключа

encryption 3des — протокол шифрования 3des

hash md5 — алгоритм хеширования hash md 5

group 2 — по документации для подключения Cisco VPN Client необходима группа минимум 2

lifetime 3600 — для быстрого установления соединения

Настройка назначения адресов

Пул адресов — это адреса из локальной сети, каждый из которых может быть выдан подключившемуся клиенту
Пример настройки этого пула, здесь vpnusers — название пула:

Настройка transform-set для второй фазы

здесь:
transform-1 — имя

esp-3des — метод криптации

esp-md5-hmac — метод аутентификации

Настройка Crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec .
Так как к интерфейсу может быть применена только одна crypto map , то описать все туннели необходимо в одной и той же crypto map .
Однако, для Easy VPN необходимо использовать динамическую crypto map . Она отличается от обычной тем, что в ней указаны не все параметры.

Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map .

Применение transform-set к динамической crypto map

Настройка вставки обратного статического маршрута к адресу выданному клиенту (RRI)

Применение динамической crypto map к статической

Применение crypto map к интерфейсу

Настройка групповой политики

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.
В group-policy можно задать, например, такие параметры:

ACL для фильтрации трафика
Политику туннелирования трафика и какой трафик попадет в туннель
DNS-сервер и др.

Создание внутренней групповой политики

По умолчанию весь трафик клиента попадает в туннель, так как эта настройка наследуется из политики по умолчанию.
Для того чтобы указать какой трафик должен попадать в туннель, необходимо создать ACL, который будет его описывать и изменить политику туннелирования.
Эта функция называется split tunneling.
Для групповой политики EasyVPN в туннель будет попадать только трафик, который идет в сеть 192.168.2.0/24 :

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL,
который будет описывать разрешенный доступ и применить его к групповой политике, например:

Настройка tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN , указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В режиме ipsec-attributes :

Настройки аутентификации устройств:
При аутентификации по паролю — пароль
При аутентификации по сертификатам — соответствующая trustpoint.
Настройки аутентификации пользователей (xauth или hybrid):
Включается аутентификация xauth и указывается, как она будет выполняться
По умолчанию xauth включена и аутентификация выполняется по локальной базе пользователей
Включается аутентификация hybrid (в Cisco VPN клиенте она называется mutual)

В режиме general-attributes :

Привязывается пул адресов, который соответствует этой tunnel-group
Привязывается соответствующая групповая политика

Настройка аутентификации пользователя

Если мы хотим чтобы помимо пароля групповой политики использовалась аутентификация по пользователю, то настраиваем атрибуты пользователя:

Настройка клиента

Предположим, что клиент уже установлен, запускаем и жмем кнопку с плюсиком New

Вводим название политики, описание, ip-адрес, имя групповой политики, пароль групповой политики, нажимаем Сохранить

В результате профиль сохранится в основном окне

При нажатии кнопки подключить будет запрошен пароль и имя пользователя

Если все настроено верно, то после ввода пароля будет установлено соединение VPN , и пользователю станет доступна локальная сеть удаленного офиса.

Cisco ASA/Easy VPN

Материал из Xgu.ru

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Cisco ASA 5505 может быть Easy VPN клиентом, остальные модели Cisco ASA поддерживают только функциональность сервера. В примерах на странице в роли клиента используется Cisco VPN Client.

Содержание

[править] Общие принципы настройки Easy VPN на Cisco ASA

[править] Политика ISAKMP

В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.

Политика ISAKMP указывает параметры первой фазы:

Метод аутентификации (пароль, сертификаты)
Протокол шифрования (DES, 3DES, AES)
Алгоритм хеширования (MD5, SHA)
Группа DH
Время жизни SA

В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.

[править] Tunnel-group

Tunnel-group это объект, в котором при настройке Easy VPN, указываются такие параметры (перечислены не все доступные параметры, а только примеры):

В режиме ipsec-attributes:
- Настройки аутентификации устройств:
  - При аутентификации по паролю — пароль
  - при аутентификации по сертификатам — соответствующая trustpoint.
- Настройки аутентификации пользователей (xauth или hybrid):
  - Включается аутентификация xauth и указывается как она будет выполняться
    - по умолчанию xauth включена и аутентификация выполняется по локальной базе пользователей
  - Включается аутентификация hybrid (в Cisco VPN клиенте она называется mutual)
В режиме general-attributes:
- Привязывается пул адресов, который соответствует этой tunnel-group
- Привязывается соответствующая групповая политика

В ASDM tunnel-group называется Connection Profile

[править] Tunnel-group DefaultRAGroup

В конфигурации существует tunnel-group DefaultRAGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn и ppp удалены):

[править] Групповая политика (group-policy)

После прохождения аутентификации (устройств и пользователей) на клиента назначаются параметры, которые указываются в групповой политике.

В group-policy можно задать, например, такие параметры:

ACL для фильтрации трафика
Политику туннелирования трафика и какой трафик попадет в туннель
DNS-сервер
и др.

Групповая политика может быть настроена локально или на RADIUS-сервере. Для того чтобы задать групповую политику на RADIUS, можно использовать несколько вариантов.

Для того чтобы обращаться за параметрами для group-policy на RADIUS-сервер, необходимо указать в настройках ASA, что политика внешняя:

Для того чтобы задать соответствующие атрибуты на RADIUS, необходимо создать пользователя TEST_GROUP с паролем cisco123 и указать атрибуты для него.

Xauth на RADIUS-сервере:

Если аутентификация будет выполняться через RADIUS, который связан с существующим каталогом пользователей, например AD, то удобней будет сделать внешней аутентификацию xauth. Политики аутентификации на RADIUS-сервере можно привязать к группам пользователей в AD и для политики назначить атрибуты.

Настройка xauth на RADIUS-сервере:

Эти методы не исключают друг друга и могут использоваться вместе. Атрибуты привязанные к пользователю будут перебивать соответствующие атрибуты для групповой политики. Те атрибуты, которые не заданы для пользователя, будут наследоваться из групповой политики. Те, которые не заданы для групповой, будут наследоваться из политики по умолчанию

[править] Групповая политика по умолчанию DfltGrpPolicy

В конфигурации существует групповая политика по умолчанию DfltGrpPolicy из которой наследуются все настройки, которые не были заданы явно в созданных групповых политиках. Её можно изменять.

По умолчанию она выглядит так (параметры webvpn удалены):

[править] Transform-set

Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.

В transform-set указывается:

Протокол ESP
Протокол шифрования (DES, 3DES, AES)
Алгоритм хеширования (MD5, SHA)

[править] Crypto map. Dynamic crypto map

Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.

В каждом наборе правил crypto map можно указать такие параметры:

Адрес удаленной стороны туннеля (peer)
ACL, который указывает какие данные попадут в туннель
Transform-set
Группа DH для включения PFS
Вставка обратного маршрута (RRI)

Однако, для Easy VPN необходимо использовать динамическую crypto map. Она отличается от обычной тем, что в ней указаны не все параметры. Для того чтобы применить динамическую crypto map к интерфейсу, она должна быть применена к обычной crypto map.

Пример настройки dynamic crypto map и применение её к обычной crypto map, а затем к внешнему интерфейсу:

[править] Фильтрация данных VPN

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.

Убедиться, что команда включена можно так:

Включить, если отключена:

[править] Настройка Easy VPN с аутентификацией по preshared key

[править] Пример пошаговой настройки

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

Настройка политики ISAKMP:

[править] Настройка назначения адресов

Пример создания пула адресов:

Назначение IP-адреса пользователю:

[править] Настройка групповой политики

Создание внутренней групповой политики (настроен DNS-сервер, политика будет использоваться только для Easy VPN (не для SSLVPN)):

Эта функция называется split tunneling.

Для групповой политики MANAGER_GROUP в туннель будет попадать только трафик, который идет в сеть 10.0.2.0/24:

Если необходимо фильтровать трафик для того чтобы ограничить доступ к ресурсам локальной сети, то необходимо создать ACL, который будет описывать разрешенный доступ и применить его к групповой политике:

[править] Настройка tunnel-group

Настройка типа tunnel-group’ы:

Настройка pre-shared key:

Привязка пула адресов и групповой политики к tunnel-group:

Простой пример настройки Remote-VPN на Cisco ASA и Cisco VPN Client

Сегодня я кратко рассмотрю о том, как настроить Cisco ASA для remote-vpn используя ASDM. Так же рассмотрю настройку клиентской машины для настройки VPN используя Cisco VPN Client.

Наша Cisco ASA в простом случае использует два интерфейса: inside (интерфейс, смотрящий в сторону локальной сети) и outside (интерфейс смотрящий в сторону сети Internet).

Итак, как я уже отметил, использовать будем ASDM.

Настраивать будем IPSec VPN используя wizzard.

В меню Wizzards выбираем IPSec VPN wizzard…, тем самым запускается пошаговая инструкция по созданию настроек для VPN.

Выбираем необходимый нам тип VPN’а, в нашем случае это Remote-VPN (будем использовать соединение для мобильного сотрудника). VPN tunnel interface (здесь выбираем тот интерфейс к которому мы будем подкючаться. Т.к мы планируем подключаться из Internet, следовательно и интефейс выбираем — outside).

Ставим галочку: Enable inbound IPsec….

Идем далее (жмем Next).

Далее нам предлагают выбрать тип VPN клиента. Т.к. мы планируем использовать Cisco VPN Client, то соответсвенно выбираем необходимое, и идем дальше.

Далее нам необходимо выбрать метод аутентификации. Можно использовать pre-shared key, сертификаты, и challenge/response.

Мы будем использовать pre-shared key, поэтому вводим ключ, какой нам захочется. Для примера, 31337_31003. (он нам понадобится, когда будем настраивать клиентскую машину).

Так же здесь нам необходимо указать имя туннельной группы. Например test-vpn. (так же понадобится при настройки клиента). Переходим дальше.

Теперь нам необходимо выбрать, где находятся наши пользователи, у нас два варианта:

локально на cisco asa
используя AAA

Будем использовать первый вариант. (Жмем Next).

Теперь нам нужно добавить пользователя, который будет использоваться для vpn-подключения. Заполняем три поля, нажимаем Add. Жмем Next.

Теперь нам нужно создать пул адресов, из которого будет присваиваться адрес подключенному клиенту. Для этого жмем — New, заполняем поля, и Ok.

Теперь нам необходимо ввести дополнительные данные для клиента, такие как DNS сервера, Wins сервера, и доменное имя по умолчанию. Вводим Вам необходимые и переходим дальше.

Теперь нужно настроить IKE Policy (для построение IPSec туннеля).

Оставим все по умолчанию (кому необходимо — подстраиваем под себя), переходим далее.

Здесь мы настраиваем какие сети должен видеть удаленный пользователь, прописываем адреса, добавляем. Должно получится что-то вроде этого:

Ставим галочку : Enable split tunneling … — т.к. делается это для того, чтобы пакеты, которые направлялись на выделенные нами сети (в предыдущем пункте) шли через IPSec туннель (т.е. шифровались), а остальные (нарпимер локальная сеть у клиента, доступ в интернет), ходило без шифрования.

После жмем Next. Перед нами мы видим основные настройки которые мы сделали. Проверяем, если все правильно, жмем Finish.

Так же не забываем сохранить конфигурацию. В меню File — Save Running Configuration to Flash.

Теперь перейдем к настройке Cisco VPN Client. Будем использовать Mac OSX версию (в общем-то ничем не отличается от версий *nix, windows).

Будем считать, что у нас уже установлен Cisco VPN Client. Запускаем.

Connection Entry — имя нашего соединения (любое)

Description — описание нашего соединения (можно не заполнять)

Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль : test-vpn / 31337_31003 соответсвенно). Сохраняем.

Теперь пробуем подключиться. Если все настроено верно, у вас должно появиться приглашение к вводу имени пользователя и пароля (помните мы создавали при настройке ASA ? ). После ввода данных, у вас должен появиться замочек, напротив строки с Вашим профилем.

Настройка VPN на Cisco ASA

Наши специалисты ответят на любой интересующий вопрос по услуге

Очень часто возникает необходимость связать посредством VPN 2 офиса – главный и дополнительный (процедура для site to site не подходит). При этом в главном офисе будет использоваться фаервол Cisco ASA 5510.

Учитывая, этот факт пользователи главного офиса будут расположены по адресу 192.168.10.0 /24. Внешний статистический адрес — 1.1.1.2 /30. Шлюз провайдера — 1.1.1.1 /30.

В дополнительном офисе будет использоваться маршрутизатор с такими настройками:

IP-адрес пользователей — 192.168.20.0 /24.
Внешний статический адрес 2.2.2.2 /30.
Шлюз провайдера 2.2.2.1 /30.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности — мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа — межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) — сетевые системы защиты данных, в том числе на уровне конечных устройств:

VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
WAF: Barracuda WAF;
DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

Системы резервного копирования — Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
Системы хранения данных с функциями зеркалирования, резервирования — NetApp (25xx, 85xx, 9xxx);
Реализация любых других решений: AlienVault (SIEM).

Только сейчас — Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия — 2 месяца!

Почта для вопросов и заявок — info@lincas.ru, sales@lincas.ru

Горячая линия — Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Для изучения настроек VPN между Cisco ASA и роутером следует рассмотреть конфигурацию фаервола ASA 5510. Изначально на этом межсетевом экране уже организовано удаленное управление. Кроме того, в ASA 5510 обеспечена возможность доступна в интернет из локальной сети офисного помещения.

Шаг 0

Перед тем как начать настройку, стоит обратить внимание на используемую версию ОС IOS. Если она старше 8.3, то следует убрать настройку nat-control.

Шаг 1. Проверка корректности настройки интерфейсов

Первый шаг – проверка корректности конфигурации внешнего и внутреннего интерфейса. Inside-интерфейс для локальной сети должен выглядеть следующим образом:

interface Ethernet 1

ip address 192.168.10.1 255.255.255.0

interface Ethernet 0

ip address 1.1.1.2 255.255.255.252

Шаг 2. Настройка конфигурации шифрования

Следующим шагом будет настройка конфигурации для шифрования трафика между офисами. Для этого следует включить Outside-интерфейс. Для версий IOS до 9.0 используются такие настройки:

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto isakmp policy 1

crypto isakmp enable outside

Для версий операционной системы IOS после 9.0 применяются такие настройки:

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ikev1 policy 1

crypto ikev1 enable outside

Шаг 3. Определение трафика для шифрования

Для указания трафика, предназначенного для шифрования, следует создать список доступа ACL_CRYPTO_DO. Пакеты, не подлежащие шифрованию, будут отправлены в VPN туннель.

access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

На следующем этапе осуществляется создание политики шифрования. Здесь следует указать ссылки на все имеющиеся параметры и правила шифрования.

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set transform-set ESP-3DES-SHA

Привязываем ее к внешнему интерфейсу outside.

crypto map SECMAP interface outside

Задаем ключ шифрования

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

В последней строчке вместо XXXXX следует указать ключ для VPN клиента с удаленной площадкой. Этот ключ будет одинаковым как для главной офиса, так и для дополнительного. Данный ключ должен состоять как минимум из 50 символов. При этом в него должны входить не только буквы, но также цифры и специальные символы. За счет этого обеспечивается требуемый уровень безопасности.

Для версии IOS после 9.0 следует использовать такие же настройки:

crypto map SECMAP 1 match address ACL_CRYPTO_DO

crypto map SECMAP 1 set peer 2.2.2.2

crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

На этом этапе задается маршрут до сети дополнительного офиса:

route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции

Зачастую межсетевой экран используется не только для подключения VPN, но и в целях обеспечения доступа пользователь в глобальную сеть. Для того чтобы предотвратить трансляцию ненужного трафика, следует осуществить следующие настройки.

Для версии IOS выше 8.3

object-group network NET_PRIVATE_IP

network-object 10.0.0.0 255.0.0.0

network-object 172.16.0.0 255.240.0.0

network-object 192.168.0.0 255.255.0.0

nat (any,any) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Для версии IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0

access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0

access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat (inside) 0 access-list NO-NAT

Данные настройки предотвратят передачу пакетов, но при этом туннель установится.

Шаг 7. Проверка работы туннеля VPN

После установки необходимых конфигураций на маршрутизаторе, необходимо проверить работу VPN подключения в дополнительном офисе. Для этого запускается команда Ping с хоста локальной сети на главном офисе. Для проверки состояния туннеля следует использовать такие программы:

Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

1 IKE Peer: 2.2.2.2

Type : L2L Role : responder

Rekey : no State : MM_ACTIVE

Туннель будет работать только в том случае, если будет выдаваться значение MM_ACTIVE. Возможны ситуации, когда соединение не устанавливается в течение минуты. В этом случае нужно проверить соответствие введенных параметров на устройствах, которые использовались в процессе шифрования. Полное отсутствие информации, как правило, означает набор неправильно кода.

Важно!

Построение VPN туннеля происходит только после появления трафика, предназначенного для шифрования.

Команда show crypto VPN ipsec демонстрирует число переданных и полученных пакетов. Эту команду обычно используют в процессе отладки подключения. Информация будет доступна лишь в случае установка туннеля.

FW-DELTACONFIG-1# sh cry ips sa

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)

#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748

#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#send errors: 0, #recv errors: 0

Строчка pkts encaps показывает число зашифрованных и отправленных пакетов. Строчка pkts decaps показывает число принятых и расшифрованных пакетов. Команда clear crypto isakmp выполнять сброс текущих VPN туннелей и их повторную инициализацию. Команда clear crypto ipsec sa peer 2.2.2.2 сбрасывает счетчики исходящих и входящих пакетов.

Важно!

Для сохранения конфигурации следует использовать программы copy run start ил write. В противном случае изменения будут потеряны после перезагрузки.

Настройка Remote-VPN на Cisco VPN Client и Cisco ASA

Cisco ASA обычно использует 2 интерфейса: внутренний и внешний. Для настройки IPSec VPN используется Wizzards. В меню необходимо выбрать IPSec VPN wizzard.

Таким образом, будет запущена инструкция по создания настроек VPN. Используемый тип VPN — Remote-VPN.

Также выбираем пункт VPN tunnel interface. Направление подключения – outside. Далее следует поставить галочку напротив Enable inbound IPsec и нажать Next. На следующем этапе нужно выбрать метод аутентификации. В качестве примера выбираем pre-shared key. Далее вводим любой ключ. Его следует запомнить, так как в дальнейшем он будет использоваться для настройки пользовательской машины.

В продолжение настройки нужно указать название туннельной группы.

Это имя в дальнейшем будет использоваться для настройки туннеля. На следующем этапе нужно выбрать местонахождение пользователей. Мы используем вариант – локально на Cisco ASA.

После этого необходимо добавить пользователя для VPN-подключения и ввести его данные.

Они должны быть такими же, как для WNS и DNS сервера.

Теперь следует осуществить настройку IKE Policy. Этот этап необходим для построения IPSec туннеля. Как правило, параметр по умолчанию остаются без изменений. При необходимости их можно перестроить под свои требования.

После этого выполнения настройка доступных сетей для удаленного пользователя и сохранение измененной конфигурации.

После выполнения всех вышеперечисленных действий можно перейти к настройке VPN клиента. В примере будет использоваться Mac OSX версию (он практически ничем не отличается от Windows).

Заполняем следующие поля:

Connection Entry — имя нашего соединения (любое)
Description — описание нашего соединения (можно не заполнять)
Host: IP адрес outside интерфейса нашей Cisco ASA.

Настраиваем групповую аутентификацию (вспоминаем, имя группы, и пароль: test-vpn / 31337_31003 соответственно). Сохраняем.

После этого можно осуществить подключение. Если настройка прошла успешно, пользователь увидит перед собой окно с просьбой ввести свое имя и пароль. После успешного введения этих данных напротив строки с профилем появится замочек. Таким образом, настройка VPN клиента будет завершена.

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.