Поиск...

вторник, 2 августа 2011 г.

Настройка Remote Access VPN на PIX с использованием cisco VPN Client

Доброго времени суток!!!


Прошло достаточное количество времени с опубликования последнего поста. Не вините меня строго, просто был в отпуске :). И, как раз в отпуске, понадобилось получить доступ в локальную сеть одного предприятия, физически не приезжая на него. Благо, я заранее там все настроил для этого. Об этом я и хочу сегодня рассказать.
Кто заинтересовался, добро пожаловать под кат…

Итак, для реализации задуманного существует много способов. В этом посте я расскажу про один из них, а именно про то, как настроить удаленный VPN-доступ с использованием cisco PIX и cisco VPN Client.
Схема нашей работы выглядит следующим образом:



Сразу скажу, что это схема стенда, собранного с использованием GNS3 и VMWare workstation. Но все работает и на реальном оборудовании, проверено и настроено :).
Итак, что мы имеем:
- Corp_PIX – это корпоративный PIX, установленный на границе сети и являющийся VPN-server(ом) для VPN-client(ов). 2.2.2.2/30 – IP-адрес внешнего интерфейса (outside), 192.168.2.1/24 – IP-адрес внутреннего интерфейса (inside);
- Remote_Router – это роутер, эмитирующий удаленную сеть (допустим интернет-кафе, аэропорт, компьютер друга с подключением к интернету и т.д.). 1.1.1.1/30 – внешний IP-адрес роутера (будем считать его публичным), 192.168.1.1/24 – внутренний IP-адрес роутера (смотрит в локальную сеть). Выход во «внешний мир» осуществляется с использованием NAT overload;
- Internet_Router – это роутер, эмитирующий большой и всеобъемлющий интернет :);
- Client_Win_XP – это клиентский компьютер с windows XP на котором установлен cisco VPN Client. С него нам необходимо получить доступ по VPN в корпоративную сеть (к серверу по RDP). IP-адрес у него 192.168.1.10/24;
- Server_Win_2003 – это сервер, находящийся в корпоративной сети. На него мы должны попасть по RDP через VPN. IP-адрес у него 192.168.2.11/24, шлюзом по умолчанию будет inside интерфейс Corp_PIX.
Как видно из рисунка, VPN будет у нас настроен от клиентского компьютера до корпоративного PIX. Корпоративный PIX настроим в качестве Remote Access VPN Server, используя ASDM.
Приступим :). Настроим сначала наши роутеры. Заходим на Remote_Router.
  • R1>en
    R1#conf t
    R1(config)#hostname Remote_Router
    Remote_Router(config)#int fa 0/0
    Remote_Router(config-if)#ip address 192.168.1.1 255.255.255.0
    Remote_Router(config-if)#ip nat inside
    Remote_Router(config-if)#no shutdown
    Remote_Router(config-if)#exit
    Remote_Router(config)#int fa 1/0
    Remote_Router(config-if)#ip address 1.1.1.1 255.255.255.252
    Remote_Router(config-if)#no shutdown
    Remote_Router(config-if)#ip nat outside
    Remote_Router(config-if)#exit
    Remote_Router(config)#int fa 0/0
    Remote_Router(config-if)#no sh
    Remote_Router(config-if)#exit
    Remote_Router(config)#ip access-list extended FOR_NAT
    Remote_Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
    Remote_Router(config-ext-nacl)#exit
    Remote_Router(config)#ip nat inside source list FOR_NAT interface fa 1/0 overload
    Remote_Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
    Remote_Router(config)#exit
    Remote_Router#wr
Теперь настроим Internet_Router.
  • R2>en
    R2#conf t
    R2(config)#hostname Internet_Router
    Internet_Router(config)#int fa 1/0
    Internet_Router(config-if)#ip address 1.1.1.2 255.255.255.252
    Internet_Router(config-if)#no sh
    Internet_Router(config-if)#exit
    Internet_Router(config)#int fa 0/0
    Internet_Router(config-if)#ip address 2.2.2.1 255.255.255.252
    Internet_Router(config-if)#no sh
    Internet_Router(config-if)#exit
    Internet_Router(config)#exit
    Internet_Router#wr
    Internet_Router#
Теперь остановимся и проверим наши настройки. Проверим сетевую доступность командой ping и посмотрим работу NAT на Remote_Router.



    Где: 1 – IP-адрес внутреннего интерфейса Remote_Router; 2 – IP-адрес внешнего интерфейса Remote_Router; 3 – IP-адрес «в интернете» (интерфейс Internet_Router).


Из рисунка видно, что NAT работает и сетевая доступность есть.


  • 1 – видно, что Internet_Router не знает о сети 192.168.1.0/24, так как она находится за NAT-ом.
Первую часть настроили. Переходим к настройке Corp_PIX. Для начала, нам потребуется активировать возможности VPN на нем. Как это делать я описывал в предыдущем посте. Затем, загрузить и запустить ASDM. Как это делать я тоже рассказывал вот в этом посте (там описано как это делать на cisco ASA, но те же команды и порядок применимы и здесь).
Я использовал PIX 525 Version 7.2(4) с IOS asa724-k8.bin и ASDM для него asdm-524.bin. Надеюсь, у вас все получилось с активацией и загрузкой ASDM.
Если у вас другой PIX или IOS и код активации не подходит, то можете попробовать еще эти (для этой задачки я использовал выделенное курсивом):
  • Serial Number: 0x1826ddcd
    Activation Key: 0xa94bffde 0x802610c9 0x25221732 0x585f4871
  • Serial Number: 807206797
    Activation Key: 0x989d4e67 0x78dbba6f 0x2eb92ec5 0xe42a2c18
  • Serial Number: 0x30300039
    Activation Key: 0xd81897d3 0x2e166aa1 0x5cf0ff8e 0x5695db98
  • Serial Number: 403340212 (0x180A7BB4)
    Activation Key: 0x497acdef 0x39ef68ac 0x36d54110 0x2f9868d7
Если что то не получается, пишите, обязательно постараюсь помочь.
Для ориентировки, приведу вам результат команды show run:
  • CorpPIX# sh run
    : Saved
    :
    PIX Version 7.2(4)
    !
    hostname CorpPIX
    enable password 2KFQnbNIdI.2KYOU encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    names
    interface Ethernet0
    nameif outside
    security-level 0
    ip address 2.2.2.2 255.255.255.252
    interface Ethernet1
    nameif inside
    security-level 100
    ip address 192.168.2.1 255.255.255.0

    interface Ethernet2
    shutdown
    no nameif
    no security-level
    no ip address
    interface Ethernet3
    shutdown
    no nameif
    no security-level
    no ip address
    interface Ethernet4
    shutdown
    no nameif
    no security-level
    no ip address
    ftp mode passive
    access-list ADMIN extended permit ip 192.168.2.0 255.255.255.0 any
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    icmp unreachable rate-limit 1 burst-size 1
    asdm image flash:/asdm-524.bin
    no asdm history enable
    arp timeout 14400
    access-group ADMIN in interface inside
    route outside 0.0.0.0 0.0.0.0 2.2.2.1 1

    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    http server enable
    http 192.168.2.0 255.255.255.0 inside

    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    ssl encryption rc4-md5
    username admin password M5soT6HHRslbuoh3 encrypted privilege 15
    class-map inspection_default
    match default-inspection-traffic
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    inspect icmp
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:84f173d2237d2bb9ebf6c428bcf2ad78
    : end
Теперь заходим на наш PIX через web-интерфейс и запускаем ASDM. В итоге, должно открыться вот такое окно:



Переходим, последовательно, на вкладку 1 – «Configuration», 2 – «VPN», 3 – «Launch VPN Wizard».



В открывшемся окне выбираем 4 – «Remote Access», 5 – оставляем по умолчанию (это для того, чтобы VPN трафик не подпадал под списки доступа, если они есть на интерфейсе), 6 – нажимаем «Next».



Здесь выбираем тип VPN клиента. В нашем случае Cisco VPN Client. Нажимаем «Next».



Задаем 1 – Pre-shared key, 2 – имя туннельной группы (Tunnel Group) и нажимаем «Next».



Так как у нас нет внешних серверов аутентификации (о них я напишу отдельный пост), то выбираем аутентификацию, используя локальную базу пользователей.



Создадим отдельно пользователя для VPN доступа. Задаем ему имя и пароль, нажимаем «Add». Он должен появиться в правой колонке. Нажимаем «Next».



Здесь создаем poll адресов для VPN Client-ов (название, начальный и конечный адреса, маску подсети), нажимаем OK и выбираем его в списке. Нажимаем «Next».



Можно ничего не заполнять (если не требуется). Нажимаем «Next».



Здесь тоже можно оставить параметры по умолчанию. Нажимаем «Next».



Тут снова можно оставить все по умолчанию. «Next».



На этом этапе нам предлагают выбрать сети, с которыми будет контактировать VPN Client. Другими словами, мы должны обозначить трафик из внутренних сетей, который будет адресован VPN клиентам, чтобы он не попал под политики NAT (если он настроен). Так что выбираем нашу внутреннюю сеть, нажимаем «add» (выбор должен появиться в правой колонке). Еще один параметр – это Split tunneling. Он опционален. Включая его, мы делаем удобство VPN Client-у в том, что при подключении у него на локальной машине добавиться в таблицу маршрутизации только один маршрут в корпоративную сеть, и в VPN канал будет уходить только нужный трафик, а не весь. Нажимаем «Next».



Всё, на этой странице нам показывают все наши предыдущие настройки. Нажимаем «Finish». Произойдет автоматическая конфигурация PIX.



Сохраняем конфигурацию. Настройка PIX закончена :).
Переходим на нашу клиентскую станцию и запускаем там cisco VPN Client, выбираем новое соединение «New». У вас откроется следующее окно:


    где: 1 – название соединения (может быть произвольным); 2 – IP-адрес Remote Access VPN Server-а, это наш Corp_PIX; 3 – название туннельной группы (Tunnel Group); 4 – прописанный ранее при конфигурировании Pre-Share Key.
Нажимаем на кнопку «Save». Новое соединение должно появиться в списке:



Выбираем его и нажимаем кнопку «Connect».



Здесь вводим 1 – имя пользователя для VPN доступа (создавали ранее) и 2 – его пароль. Нажимаем «OK» и VPN туннель должен установиться :).
Для проверки, сделаем ipconfig и проверим получение IP-адреса из VPNPOOL, который настроен на Corp_PIX:



У нашей клиентской станции появилось еще одно подключение по локальной сети, это и есть наш VPN. Адрес мы получили из нужного нам pool. Теперь проверим доступ по RDP к серверу:



Как и следовало ожидать, всё работает :). И, напоследок, проверим работу split-tunneling:



Видно, что у нас ping «идет» одной дорогой, а трафик для VPN - другой (если бы мы не включали данную функцию, то весь трафик уходил бы в VPN и мы бы не смогли пропинговать Corp_PIX (2.2.2.2) когда VPN установлен и работает).
По просьбам, выкладываю конфиг после настройки через ASDM:

PIX Version 7.2(4)
hostname CorpPIX
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
interface Ethernet0
nameif outside
security-level 0
ip address 2.2.2.2 255.255.255.252
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list ADMIN extended permit ip 192.168.2.0 255.255.255.0 any
access-list VPNGroup_splitTunnelAcl standard permit 192.168.2.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.20.0 255.255.255.192
access-list TestVPN_splitTunnelAcl standard permit 192.168.2.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool VPNPOOL 192.168.20.10-192.168.20.50 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-524.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group ADMIN in interface inside
route outside 0.0.0.0 0.0.0.0 2.2.2.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs group1
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set pfs group1
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
ssl encryption rc4-md5
group-policy TestVPN internal
group-policy TestVPN attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value TestVPN_splitTunnelAcl
group-policy VPNGroup internal
group-policy VPNGroup attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNGroup_splitTunnelAcl
username admin password M5soT6HHRslbuoh3 encrypted privilege 15
username vpnuser password 52sH9OAkkKUGN3q2 encrypted privilege 0
username vpnuser attributes
vpn-group-policy VPNGroup
tunnel-group VPNGroup type ipsec-ra
tunnel-group VPNGroup general-attributes
address-pool VPNPOOL
default-group-policy VPNGroup
tunnel-group VPNGroup ipsec-attributes
pre-shared-key vpnkey
tunnel-group TestVPN type ipsec-ra
tunnel-group TestVPN general-attributes
address-pool VPNPOOL
default-group-policy TestVPN
tunnel-group TestVPN ipsec-attributes
pre-shared-key testkey
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
service-policy global_policy global
prompt hostname context
Cryptochecksum:e8dcb8e99239702493726dcbdcb7c5de
: end

Ну что, поздравляю вас!!!!! Всё получилось!!!!! Пост получился довольно объемным и насыщенным, но, надеюсь, он стал для вас полезным и интересным.

Если у вас возникли вопросы при установке сопутствующего ПО, конфигурировании устройств или просто по тексту поста, то смело пишите. Оставляйте комментарии, пишите мне в icq или на почту. Мои координаты вот тут.


А на этом я хочу попрощаться, но ненадолго :). Жду вас в следующих постах. Уверяю вас, будет интересно.


С уважением, Ant0ni0n.

24 комментария:

  1. Было бы интересно посмотреть пример конфига для SSL VPN :)

    ОтветитьУдалить
  2. Спасибо за комментарий :)

    Просьба включена в работу. Думаю скоро будет готово :)


    С уважением, Ant0ni0n

    ОтветитьУдалить
  3. не могли бы Вы разместить конфиг CorpPIX после постоения ВПН ... командная строка лучше для понимания чем ASDM

    ОтветитьУдалить
  4. туннель открывается, пакеты в нем не идут.
    что я делаю не так? :)

    ОтветитьУдалить
  5. Да, было бы очень неплохо посмотреть sh run работающего PIX!

    ОтветитьУдалить
  6. Не совсем понятно, как у вас VPN-клиент находит хост 2.2.2.2 Remote_Router понятия не имеет о существовании хоста 2.2.2.2

    ОтветитьУдалить
    Ответы
    1. Доброго времени суток!!!
      Ну если вы обратите внимание на конфигурацию Remote_Router, то заметите вот такой маршрут по-умолчанию:
      Remote_Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
      согласно которому все незнакомые сети, он с успехом отправляет на Internet_Router, который, в свою очередь, очень хорошо знает о сети 2.2.2.0/30, так как она непосредственно к нему подключена :)
      А vpn-клиент, проходя через Remote_Router, к тому же NAT-ируется, и грубо говоря выглядит для "всего мира" с source IP 1.1.1.1

      Удалить
    2. Как говорится, толи санки не едут, толи я ... )) Да верно, маршрут по-умолчанию 0.0.0.0 0.0.0.0 1.1.1.2 на Remote_Router прописан. С Remote_Router пингуются хосты 1.1.1.2 и 2.2.2.1 , но вот 2.2.2.2 ну никак не пингуется. А с Internet_Router хост 2.2.2.2 удачно пингуется.
      Тупо для проверки соединил 3 роутера последовательно с такими же IP на интерфейсах и хост 2.2.2.2 так же не пингуется. Собственно говоря, а почему он должен пинговаться ? Динамическая маршрутизация хотя бы на Internat_Router уже не нужна ?
      Другими словами, мы получается можем взять 10 роутеров, соединить их последовательно, на первом роутере прописать маршрут по-умолчанию и пинги будут летать из конца в конец ?

      Удалить
  7. Простите за тупость. Вопрос решен. На PIX-е маршрут по-умолчанию проглядел. В листинге sh run он у вас виден.

    ОтветитьУдалить
    Ответы
    1. Ничего страшного :) Бывает :)
      Если что, задавайте вопросы, всегда рад помочь по мере сил :)

      Удалить
  8. Всё понимаю, но не могу понять немного другую ситуацию. Допустим в разрыве Cor_PIX и Server Win 2003 мы ставим роутер. Соответсвенно нужна будет маршрутизация на Cor_PIX. А клиенту Cisco VPN в новом подключении сети не выдан шлюз. Как он тогда достучиться до Сервера?
    Просто у самого таже проблема, я так и не смог найти как сделать, что бы автоматически так же получался шлюз. Выхожу пока из положения тем , что руками прописываю на PC маршрут и соответственно шлюз.

    ОтветитьУдалить
    Ответы
    1. Забыл сказать, что VPN строил Cisco 2851.

      Удалить
    2. Доброго времени суток!!!
      А вы настраивали split tunneling? Если да, то тогда необходимо будет добавить еще одну сеть на этапе, где вы это делали и еще добавить исключение из NAT для этой сети (рис №15). И еще, если эта функция настроена, то клиент получает не маршрут по-умолчанию, а маршрут только в удаленные сети при установлении vpn.
      На рисунке, где я показывал ipconfig видно, что шлюз по-умолчанию не через vpn (рис №21), но если еще сделать route print, то там будут отдельные маршруты в удаленные сети (в моем случае в одну сеть).

      Удалить
  9. Добрый день.
    Создал примерно такую же схему как у вас... Но ни в какую (2й день уже) у меня не получается запустить Remote Access VPN на ASA в GNS3. Cisco VPN client без проблем подключается, но не пингуется требуемый хост... При подключённом VPN даже с самой ASA не пингуется выданный через VPN адрес из пула адресов:

    ASA1(config)# ping 172.16.0.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
    ?????
    Success rate is 0 percent (0/5)

    Хотя в таблице маршрутизации он есть:

    Gateway of last resort is 1.1.1.1 to network 0.0.0.0

    C 1.1.1.0 255.255.255.0 is directly connected, outside
    S 172.16.0.1 255.255.255.255 [1/0] via 1.1.1.1, outside
    C 10.20.0.0 255.255.255.0 is directly connected, inside
    S* 0.0.0.0 0.0.0.0 [1/0] via 1.1.1.1, outside

    Сначала через Capture в GNS3 (посредством Wireshark) обнаружил что Remote Router не пропускает ESP пакеты через NAT (если пинговать с ASA). Сделал настройку:
    ASA1(config)# crypto isakmp nat-traversal

    Пакеты ESP (при пинге с ASA)теперь долетают вплоть до ПК (видны в Wireshark на интерфейсе подключенном к Remote Router). Однако при снятии трейса на интерфейсе который создал Cisco VPN client никаких ICMP в этот момент не видно.
    Аналогичная ситуация в обратном направлении (при пинге с ПК требуемого хоста через VPN). ICMP видны в трейсе с интерфейса который создал Cisco VPN client, но не видно никаких ESP-пакетов на физическом интерфейсе который подключен к Remote Router.
    Какая то фантастика!

    Вот конфиги:
    Internet Router
    R1#sh run
    Building configuration...

    Current configuration : 940 bytes
    version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    hostname R1
    boot-start-marker
    boot-end-marker
    no aaa new-model
    memory-size iomem 5
    no ip icmp rate-limit unreachable
    ip cef
    no ip domain lookup
    ip auth-proxy max-nodata-conns 3
    ip admission max-nodata-conns 3
    username cisco password 0 cisco
    ip tcp synwait-time 5
    interface FastEthernet0/0
    ip address 2.2.2.1 255.255.255.0
    duplex auto
    speed auto
    interface FastEthernet0/1
    ip address 1.1.1.1 255.255.255.0
    duplex auto
    speed auto
    ip forward-protocol nd
    ip http server
    no ip http secure-server
    control-plane
    mgcp behavior g729-variants static-pt
    line con 0
    exec-timeout 0 0
    privilege level 15
    logging synchronous
    line aux 0
    exec-timeout 0 0
    privilege level 15
    logging synchronous
    line vty 0 4
    login
    end

    ОтветитьУдалить
  10. Remote Router
    R2#sh run
    Building configuration...

    Current configuration : 1161 bytes
    version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    hostname R2
    boot-start-marker
    boot-end-marker
    no aaa new-model
    memory-size iomem 5
    no ip icmp rate-limit unreachable
    ip cef
    no ip domain lookup
    ip auth-proxy max-nodata-conns 3
    ip admission max-nodata-conns 3
    ip tcp synwait-time 5
    interface FastEthernet0/0
    ip address 10.30.0.2 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    interface FastEthernet0/1
    ip address 2.2.2.2 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 2.2.2.1
    no ip http server
    no ip http secure-server
    ip nat inside source list FOR_NAT interface FastEthernet0/1 overload
    ip access-list extended FOR_NAT
    permit ip 10.30.0.0 0.0.0.255 any
    control-plane
    mgcp behavior g729-variants static-pt
    line con 0
    exec-timeout 0 0
    privilege level 15
    logging synchronous
    line aux 0
    exec-timeout 0 0
    privilege level 15
    logging synchronous
    line vty 0 4
    login
    end

    ОтветитьУдалить
  11. Corp PIX
    ASA1(config)# sh run
    : Saved
    :
    ASA Version 8.0(2)
    command-alias exec wr copy running-config disk0:/.private/startup-config
    hostname ASA1
    enable password 2KFQnbNIdI.2KYOU encrypted
    names
    interface Ethernet0/0
    nameif inside
    security-level 100
    ip address 10.20.0.2 255.255.255.0
    interface Ethernet0/1
    nameif outside
    security-level 0
    ip address 1.1.1.2 255.255.255.0
    interface Ethernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    interface Ethernet0/4
    shutdown
    no nameif
    no security-level
    no ip address
    interface Ethernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list ADMIN extended permit ip 10.20.0.0 255.255.255.0 any
    access-list FOR_NAT extended permit ip 10.20.0.0 255.255.255.0 any
    access-list vpn_group_splitTunnelAcl standard permit host 10.20.0.3
    access-list inside_nat0_outbound extended permit ip host 10.20.0.3 172.16.0.0 255.255.255.0
    pager lines 24
    logging enable
    logging asdm warnings
    mtu inside 1500
    mtu outside 1500
    ip local pool vpn_pool 172.16.0.1-172.16.0.254 mask 255.255.255.0
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-621.bin
    no asdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 access-list FOR_NAT
    access-group ADMIN in interface inside
    route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 10.20.0.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
    crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
    crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
    crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-MD5 ESP-DES-SHA
    crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
    crypto map outside_map interface outside
    crypto isakmp enable outside
    crypto isakmp policy 10
    authentication pre-share
    encryption des
    hash md5
    group 2
    lifetime 86400
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics access-list
    class-map inspection_default
    match default-inspection-traffic
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    inspect icmp
    inspect icmp error
    service-policy global_policy global
    group-policy vpn_group internal
    group-policy vpn_group attributes
    vpn-tunnel-protocol IPSec
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value vpn_group_splitTunnelAcl
    username user password hPAbvpuC2wFCeaM4 encrypted privilege 0
    username user attributes
    vpn-group-policy vpn_group
    username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
    tunnel-group vpn_group type remote-access
    tunnel-group vpn_group general-attributes
    address-pool vpn_pool
    default-group-policy vpn_group
    tunnel-group vpn_group ipsec-attributes
    pre-shared-key *
    prompt hostname context
    Cryptochecksum:2b421857c01086c301716760697447f2
    : end

    Пожалуйста помогите, подскажите в чём проблема...

    ОтветитьУдалить
  12. Забыл совсем... Вот route print с моего ПК:

    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 10.30.0.2 10.30.0.1 1
    1.1.1.2 255.255.255.255 10.30.0.2 10.30.0.1 1
    10.20.0.0 255.255.255.0 10.20.0.1 10.20.0.1 30
    10.20.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.20.0.3 255.255.255.255 172.16.0.2 172.16.0.1 1
    10.30.0.0 255.255.255.0 10.30.0.1 10.30.0.1 30
    10.30.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.40.0.0 255.255.255.0 10.40.0.1 10.40.0.1 30
    10.40.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.255.255.255 255.255.255.255 10.20.0.1 10.20.0.1 30
    10.255.255.255 255.255.255.255 10.30.0.1 10.30.0.1 30
    10.255.255.255 255.255.255.255 10.40.0.1 10.40.0.1 30
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    172.16.0.0 255.255.255.0 172.16.0.1 172.16.0.1 30
    172.16.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    172.16.255.255 255.255.255.255 172.16.0.1 172.16.0.1 30
    224.0.0.0 240.0.0.0 10.20.0.1 10.20.0.1 30
    224.0.0.0 240.0.0.0 10.30.0.1 10.30.0.1 30
    224.0.0.0 240.0.0.0 10.40.0.1 10.40.0.1 30
    224.0.0.0 240.0.0.0 172.16.0.1 172.16.0.1 30
    255.255.255.255 255.255.255.255 10.20.0.1 10.20.0.1 1
    255.255.255.255 255.255.255.255 10.30.0.1 10.30.0.1 1
    255.255.255.255 255.255.255.255 10.30.0.1 5 1
    255.255.255.255 255.255.255.255 10.40.0.1 10.40.0.1 1
    255.255.255.255 255.255.255.255 172.16.0.1 172.16.0.1 1
    Основной шлюз: 10.30.0.2
    ===========================================================================
    Постоянные маршруты:
    Отсутствует

    10.20.0.3 - требуемый хост (почему то доступен через какой-то 172.16.0.2)... Он не пингуется и не доступен любым другим способом...
    В Cisco VPN client в разделе Statistics кол-во Encrypted и Decrypted = 0, а кол-во Discarded увеличивается (на кол-во пингов кстати)... Вобщем лажа какая то...

    ОтветитьУдалить
  13. Ещё раз добрый день...
    Странный косяк, но сегодня попробовал сделать упрощённую схему: без всяких НАТов и интернетов, т.е. АСА посередине, с одной стороны подключен ВПН клиент (через облачко и свитч конечно), а с другой стороны подсеть управления (через которую я админю АСА), и подсеть на которой сидит хост. Так вот ситуация абсолютно такая же как и с полной схемой:
    Пакеты ESP (при пинге с ASA)долетают вплоть до ПК (видны в Wireshark на loopback-интерфейсе подключённом к outside-интерфейсу ASA). Однако при снятии трейса на интерфейсе который создал Cisco VPN client никаких ICMP в этот момент не видно.
    Аналогичная ситуация в обратном направлении (при пинге с ПК требуемого хоста через VPN). ICMP видны в трейсе с интерфейса который создал Cisco VPN client, но не видно никаких ESP-пакетов на loopback-интерфейсе который подключен к servers-интерфейсу ASA.
    Я не понимаю - эти 2 интерфейса друг про друга не знают чтоли???

    Вот мой route print при подключённом клиенте:
    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
    10.20.0.0 255.255.255.0 10.20.0.1 10.20.0.1 30
    10.20.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.30.0.0 255.255.255.0 10.30.0.1 10.30.0.1 30
    10.30.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.30.0.2 255.255.255.255 10.30.0.1 10.30.0.1 1
    10.40.0.0 255.255.255.0 10.40.0.1 10.40.0.1 30
    10.40.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    10.255.255.255 255.255.255.255 10.20.0.1 10.20.0.1 30
    10.255.255.255 255.255.255.255 10.30.0.1 10.30.0.1 30
    10.255.255.255 255.255.255.255 10.40.0.1 10.40.0.1 30
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    172.16.0.0 255.255.255.0 172.16.0.1 172.16.0.1 30
    172.16.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
    172.16.255.255 255.255.255.255 172.16.0.1 172.16.0.1 30
    192.168.0.0 255.255.255.0 172.16.0.1 172.16.0.1 1
    192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
    192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
    192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
    224.0.0.0 240.0.0.0 10.20.0.1 10.20.0.1 30
    224.0.0.0 240.0.0.0 10.30.0.1 10.30.0.1 30
    224.0.0.0 240.0.0.0 10.40.0.1 10.40.0.1 30
    224.0.0.0 240.0.0.0 172.16.0.1 172.16.0.1 30
    224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
    255.255.255.255 255.255.255.255 10.20.0.1 10.20.0.1 1
    255.255.255.255 255.255.255.255 10.30.0.1 10.30.0.1 1
    255.255.255.255 255.255.255.255 10.40.0.1 10.40.0.1 1
    255.255.255.255 255.255.255.255 172.16.0.1 172.16.0.1 1
    255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
    Основной шлюз: 192.168.1.1
    ===========================================================================
    Постоянные маршруты:
    Отсутствует

    172.16.0.Х - подсеть которая выделена под ВПН
    192.168.0.0 - подсеть на которой сидит хост (192.168.0.1)
    10.30.0.0 - внешняя подсеть (через неё ломится ВПН клиент)
    10.20.0.0 - внутренняя подсеть (управление)

    На вид вроде всё нормально...

    ОтветитьУдалить
  14. Вот конфига с АСА:
    ASA1# sh run
    : Saved
    :
    ASA Version 8.0(2)
    !
    hostname ASA1
    enable password 2KFQnbNIdI.2KYOU encrypted
    names
    !
    interface Ethernet0/0
    nameif inside
    security-level 100
    ip address 10.20.0.2 255.255.255.0
    !
    interface Ethernet0/1
    nameif outside
    security-level 0
    ip address 10.30.0.2 255.255.255.0
    !
    interface Ethernet0/2
    nameif servers
    security-level 100
    ip address 192.168.0.2 255.255.255.0
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list ADMIN extended permit ip 10.20.0.0 255.255.255.0 any
    access-list vpn_group_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
    access-list servers_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 172.16.0.0 255.255.255.0
    pager lines 24
    logging enable
    logging asdm warnings
    mtu inside 1500
    mtu outside 1500
    mtu servers 1500
    ip local pool vpn_pool 172.16.0.1-172.16.0.254 mask 255.255.255.0
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-621.bin
    no asdm history enable
    arp timeout 14400
    nat (servers) 0 access-list servers_nat0_outbound
    access-group ADMIN in interface inside
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 10.20.0.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
    crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
    crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
    crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
    crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
    crypto map outside_map interface outside
    crypto isakmp enable outside
    crypto isakmp policy 10
    authentication pre-share
    encryption des
    hash md5
    group 2
    lifetime 86400
    no crypto isakmp nat-traversal
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics access-list
    !
    class-map global-class
    match default-inspection-traffic
    !
    !
    policy-map global-policy
    class global-class
    inspect icmp
    inspect icmp error
    !
    service-policy global-policy global
    group-policy vpn_group internal
    group-policy vpn_group attributes
    vpn-tunnel-protocol IPSec
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value vpn_group_splitTunnelAcl
    username user password hPAbvpuC2wFCeaM4 encrypted privilege 0
    username user attributes
    vpn-group-policy vpn_group
    username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
    tunnel-group vpn_group type remote-access
    tunnel-group vpn_group general-attributes
    address-pool vpn_pool
    default-group-policy vpn_group
    tunnel-group vpn_group ipsec-attributes
    pre-shared-key *
    prompt hostname context
    Cryptochecksum:831b8ba59d6b950398da3a1cf357e16d
    : end

    ОтветитьУдалить
  15. Все сделал по инструкции, но при подключении в логах пишет:
    TCP access denied by ACL from **.**.**.**/53799 to INTERNET:**.**.**.**/443

    Имею две сети на CISCO ASA 5510, внешнюю с пулом адресов и внутреннюю. Как правильно прописать ACL что бы пускало?

    ОтветитьУдалить
  16. Этот комментарий был удален автором.

    ОтветитьУдалить
  17. Добрый день очень нужна помощь, постоянно сталкиваюсь с двумя проблемами:
    1. Не сохраняется конфигурация PIX:
    pixfirewall# wr
    Building configuration...
    Cryptochecksum: e14f681b c0cdf481 9835db82 86138d9d

    %Error opening flash:/.private/startup-config (Invalid argument)
    Error executing command
    [FAILED]
    pixfirewall#
    pixfirewall# copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: e14f681b c0cdf481 9835db82 86138d9d

    %Error opening flash:/.private/startup-config (Invalid argument)
    pixfirewall#

    2. Не могу запустить ASDM:
    Подключаюсь к PIX нормально:
    https://drive.google.com/file/d/0B7yaG48XX5OvalJ1RzAxRlVSTnM/edit?usp=sharing
    Потом появляется ошибка:
    https://drive.google.com/file/d/0B7yaG48XX5OvVkRTanp4dG5ySEk/edit?usp=sharing

    ОтветитьУдалить
  18. Все настроилось и прекрасно работает. но возник вопрос как разрешить пинговавать свою сеть из vpn ?

    ОтветитьУдалить
  19. а ссылкой на cisco vpn client не поделитесь?

    ОтветитьУдалить