Поиск...

четверг, 15 сентября 2011 г.

Распространенная настройка cisco PIX/ASA для предприятия (часть №2)

Доброго времени суток!!!

Продолжаем настраивать :). В прошлом посте мы настроили и проверили первые три задачи. Сегодня, постараемся настроить и проверить четвертую задачу.
Кто ждал продолжения или просто хочет посмотреть, добро пожаловать под кат…

Напомню схему:


В прошлый раз мы настроили внутренние сети, сделали доступ в «интернет», открыли доступ из «интернета» к нашему внутреннему web-серверу. Сегодня будем подключать удаленный офис к корпоративной сети путем настройки site-to-site vpn.
Настройку будем проводить через ASDM и, если потребуется, корректировать через консоль.
Для начала, зайдем на ASA2 через консоль и настроим ее для дальнейшей работы.
  • ASA2> en
    Password:
    ASA2# conf t
    ASA2(config)# command-alias exec wr copy running-config disk0:/.private/startup-config - создаем так называемый алиас. Теперь wr будет исполнять действия сохраниения как надо (касается сохранения настроек ASA в GNS3);
    ASA2(config)# hostname ASA2
    ASA2(config)# enable password cisco
    ASA2(config)# username admin password ciscocisco privilege 15
    ASA2(config)# int ethernet 0/0
    ASA2(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ASA2(config-if)# ip address 1.1.1.2 255.255.255.252
    ASA2(config-if)# no shutdown
    ASA2(config-if)# exit
    ASA2(config)# int ethernet 0/1
    ASA2(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ASA2(config-if)# ip address 192.168.2.1 255.255.255.0
    ASA2(config-if)# no shutdown
    ASA2(config-if)# exit
    ASA2(config)# wr
    ASA2(config)# http server enable
    ASA2(config)# http 192.168.2.0 255.255.255.0 inside
    ASA2(config)# access-list WORK extended permit ip any any – простой список доступа;
    ASA2(config)# access-list FOR_NAT extended permit ip 192.168.2.0 255.255.255.0 any – список для NAT;
    ASA2(config)# access-group WORK in interface inside – привязываем список доступа к интерфейсу;
    ASA2(config)# nat (inside) 1 access-list FOR_NAT – определяем что подпадает под NAT;
    ASA2(config)# global (outside) 1 interface – включаем NAT на интерфейсе outside;
    INFO: outside interface address added to PAT pool
    ASA2(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.1 – задаем маршрут по умолчанию;
    ASA2(config)#wr
    ASA2(config)#exit
    ASA2#
На этом пока остановимся и проверим доступ нашего Remote_PC (192.168.2.10) в «интернет» (открытие web и ftp на Public_Web_Server (3.3.3.10)) и доступ к внутреннему сайту на Office_Web_Server (10.10.10.201) на адрес 2.2.2.2.
Заходим на наш удаленный компьютер и смотрим. Проверим ping:


Сетевая доступность присутствует. Проверим доступность web и ftp на Public_Web_Server (3.3.3.10). Открываем браузер:


Web-сайт и ftp в «интернете» работают. Теперь проверим внутренний web-сайт компании:


Все работает. Можно переходить к настройке site-to-site VPN. Для этого запускаем ASDM и начинаем работу с ASA2, раз уж мы ее начали настраивать :).
Запускаем «IPSec VPN Wizard»:


Откроется знакомое уже нам окно:


Здесь выбираем тип туннеля «Site-to-Site», остальные параметры оставляем по умолчанию и нажимаем «Next».


Здесь прописываем IP-адрес соседнего устройства (1), с которым будем настраивать VPN, задаем ключ (2). Имя туннельной группы (3) прописывается автоматически (можно изменить, если есть желание). Нажимаем «Next».


Здесь выбираем алгоритм шифрования и аутентификации для фазы IKE, можно оставить все по умолчанию. Нажимаем «Next».


Здесь выбираем алгоритм шифрования и аутентификации для IPSec туннеля. Также можно оставить все по умолчанию. Нажимаем «Next».


На этом этапе остановимся подробнее. Здесь нужно определить, какие сети будут идти в VPN, причем как локальные (1), так и удаленные (2), а так же прописать, какие сети не должны попадать под NAT (3). Итак, нажимаем на 1:


Выбираем нашу локальную сеть и нажимаем «OK». Затем на предыдущей картинке выбираем 2:


Здесь, если нет удаленной сети в списке, выбираем «Add» и «Network Object». В маленьком открывшемся окне надо будет прописать название (опционально), адрес сети и ее маску, после этого она должна появиться в списке:


Выбираем нашу удаленную сеть и нажимаем «OK». В итоге, у вас должно получиться вот такое итоговое окно:


Нажимаем «Next».


Это последняя страница показывает всё, что мы задали на предыдущих этапах. Нажимаем «Finish». Не забудьте сохранить конфигурацию. Лучше это сделать через консоль (если вы используете GNS3).
Посмотреть, что VPN действительно создался, можно через ASDM вот на этой страничке:


Путь: «Configuration»--«Site-to-Site VPN».
Теперь переходим на второе устройство (ASA1) и делаем то же самое, что и ранее. Только в качестве IP-адреса соседа, прописываем адрес ASA2. Не забудьте, что ключ (Pre-shared) должен быть одинаковым с обеих сторон, как и параметры шифрования и аутентификации. Приводить картинки не буду, думаю, у вас и так все получится.
Ну что, надеюсь, у вас все получилось :). Теперь перейдем к проверкам. Зайдем на Remote_PC (192.168.2.10) и проверим для начала ping на Working_PC (192.168.1.12):


Ping на внутреннюю машину есть!!!! Для сравнения я попытался пропинговать еще и внутренний сайт, но, как видно, ничего не получилось, так как в VPN попадают запросы только на сеть (192.168.1.0/24). Теперь попробуем открыть RDP на внутреннюю машину (как по условию проверок задачи №4):



Все работает!!! Единственное, что осталось проверить, это доступность сайтов и ftp при работающем VPN. Проверим и это:


Ping есть. Проверим сайты и ftp:


Поздравляю, у нас все получилось!!!!! Все работает как часы :).
Можно подвести итоги. В этих двух постах я попробовал рассказать, как сделать настройки cisco PIX/ASA для работы в небольших офисах (на мой взгляд). Мне кажется, что этих настроек вполне достаточно для выполнения функций, возложенных на локальную сеть в этих предприятиях.
На этом я хочу закончить этот пост, состоящий из 2-частей. Очень надеюсь, что он вам понравился, и вы почерпнули из него, что-то для себя.

Жду вас в следующих, не менее интересных, постах!!!

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.



С нетерпением жду вас в следующих постах!!!

С уважением, Ant0ni0n

5 комментариев:

  1. Спасибо ваши статьи очень помогают. Попробовал данную схему, столкнулся с некоторыми проблемами:
    1.Вылетала ошибка при подключении ASDM на ПК (здесь решение http://www.networksa.org/?p=98)
    2.Никак не поднимался IPSec. Оказалось, необходимо генерировать заново RSA ключи (crypto key generate rsa), после чего IPSec поднялся.

    ОтветитьУдалить
  2. Доброго времени суток!!!
    Спасибо за отзыв и за дополнительную информацию :)
    Рад, что мои статьи помогают, приходите еще :)

    С уважением, Ant0ni0n

    ОтветитьУдалить
  3. Анонимный28 июня 2012 г., 12:08

    Отличнейшие посты. Но вот в свете закона 152-ФЗ, о необходимости использования СЕРТИФИЦИРОВАННЫХ АЛГОРИТМОВ ШИФРОВАНИЯ и пр., и незаконности использования НЕ ГОСТ-овских алгоритмов(методов) шифрования встаёт вопрос о "добавлении" в эту "цепочку" еще либо модуля шифрования S-Terra либо иных сертифицированных устройств. В частности имеется так называемые крипто-модули/шлюзы котиорые совместимы с CSICO. Вот пока нет нигде таких вот статей по реализации шифрованного канала связи по ГОСТ-алгоритмам. Было бы неплохо (конечно же при наличии таких средств крипто-устройств у Вас) написать такой мануал/статью.
    Ну а так, ОГРОМНОЕ СПАСИБО за данный пост.

    ОтветитьУдалить
  4. А как настроить Site-to-Site VPN через консоль без использования ASDM?
    Признаться, надеялся, что ваш пост будет повествовать о настройке через консоль, а тут такой облом!

    ОтветитьУдалить
    Ответы
    1. Добрый день!!!
      Этот пост писался не для продвинутых админов, а для начинающих, а как вы можете знать, настройка VPN через ASDM проще, чем через консоль.
      Но вашу просьбу я запомню и постараюсь в ближайшее время сделать пост по настройкам различного вида VPN-ов (и не только) через CLI.

      Удалить