Xgu.ru теперь в Контакте  — приходите и подключайтесь.
Пока мы работаем над следующими видео, вы можете подключиться в Контакте. Познакомимся и обсудим новые страницы и ролики.

Vk-big.pngYoutube-big.jpeg

Cisco ASA/Site-to-Site VPN

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Содержание

[править] Общие принципы настройки site-to-site VPN на Cisco ASA

[править] Политика ISAKMP

В документации Cisco термины IKE и ISAKMP, как правило, взаимозаменяемы.

Политика ISAKMP указывает параметры первой фазы:

  • Метод аутентификации (пароль, сертификаты)
  • Протокол шифрования (DES, 3DES, AES)
  • Алгоритм хеширования (MD5, SHA)
  • Группа DH
  • Время жизни SA

В Cisco ASA, кроме настройки политики ISAKMP, необходимо также включить ISAKMP на интерфейсе.

[править] Tunnel-group

Tunnel-group это объект, в котором при настройке site-to-site VPN, указываются параметры для аутентификации на первой фазе IPsec.

При аутентификации по паролю -- пароль, а при аутентификации по сертификатам -- соответствующая trustpoint.

Для site-to-site VPN вместо имени tunnel-group указывается IP-адрес удаленной стороны туннеля.

Note-icon.gif

В ASDM tunnel-group называется Connection Profile

Пример настройки:

tunnel-group 192.168.10.5 type ipsec-l2l 
tunnel-group 192.168.10.5 ipsec-attributes
 pre-shared-key cisco123

[править] Tunnel-group DefaultL2LGroup

В конфигурации существует tunnel-group DefaultL2LGroup из которой наследуются все настройки, которые не были заданы явно в созданных tunnel-group. Её можно изменять.

По умолчанию она выглядит так:

sh run all tunnel-group DefaultL2LGroup

tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
 no accounting-server-group
 default-group-policy DfltGrpPolicy
tunnel-group DefaultL2LGroup ipsec-attributes
 no pre-shared-key
 peer-id-validate req
 no chain
 no trust-point
 isakmp keepalive threshold 10 retry 2

Tunnel-group DefaultL2LGroup удобно использовать в тех случаях, когда, например, на Cisco ASA терминируется много туннелей VPN с одинаковыми настройками. Можно задать, например, trustpoint, которую используют большинство туннелей, а для тех, которые используют другие, или pre-shared пароль, можно задать параметр в соответствующей tunnel-group.

Note-icon.gif

К tunnel-group DefaultL2LGroup применена групповая политика DfltGrpPolicy. Большинство параметров в групповой политике относятся к удаленному VPN. Но некоторые относятся к Site-to-site. Изменить их можно для всех туннелей в этой политике. Или, создав отдельную, применить новую политику для конкретных туннелей.

Пример изменения параметра idle-timeout для site-to-site VPN (если через туннель не будут передаваться данные 60 минут, то туннель будет разорван):

group-policy DfltGrpPolicy attributes
 vpn-idle-timeout 60

[править] Transform-set

Transform-set это объект, который описывает параметры второй фазы. В Cisco ASA не поддерживается протокол AH, есть только ESP.

В transform-set указывается:

  • Протокол ESP
  • Протокол шифрования (DES, 3DES, AES)
  • Алгоритм хеширования (MD5, SHA)

[править] Crypto map

Crypto map это объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec. Так как к интерфейсу может быть применена только одна crypto map, то описать все туннели необходимо в одной и той же crypto map.

Для того чтобы отличать правила относящиеся в разным туннелям, правила группируются в наборы, которые объединяет общий порядковый номер правила в crypto map.

В каждом наборе правил crypto map можно указать такие параметры:

  • Адрес удаленной стороны туннеля (peer)
  • ACL, который указывает какие данные попадут в туннель
  • Transform-set
  • Группа DH для включения PFS
  • Вставка обратного маршрута (RRI)

Пример настройки crypto map для двух туннелей site-to-site и применение её к внешнему интерфейсу:

crypto map TEST_MAP 10 match address VPN_office_1
crypto map TEST_MAP 10 set peer 192.168.2.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 20 match address VPN_office_2
crypto map TEST_MAP 20 set peer 192.168.3.2 
crypto map TEST_MAP 20 set transform-set aes-sha

crypto map TEST_MAP interface outside

[править] Настройка исключения из правил трансляции

Если на Cisco ASA настроена трансляция адресов, то необходимо исключить трафик, который попадает в VPN из правил трансляции. Для этого используется правило nat 0.

Настройка исключения из правил трансляции:

ASA(config)# nat (inside) 0 access-list No_NAT

Note-icon.gif

Можно создать только одно правило nat 0. Поэтому все исключения должны быть описаны в одном ACL.

Icon-caution.gif

В 8.4 синтаксис поменялся и команда будет выглядеть так:

nat (inside,outside) source static NET-LOCAL NET-LOCAL destination static NET-REMOTE NET-REMOTE

Где NET-LOCAL и NET-REMOTE - заранее созданные object network с указанием нужных подсетей. NET-LOCAL - сеть со стороны ASA, NET-REMOTE - соответственно удалённая сеть. Можно конечно не создавать object network, но это крайне не удобно. Таких правил может быть больше одного - по одному на каждый туннель.

[править] Фильтрация данных VPN

По умолчанию в ASA включена команда sysopt connection permit-vpn, которая позволяет трафику VPN обходить входящий ACL интерфейса, на котором терминируется VPN. ACL присвоенные в процессе авторизации пользователей (group policy и per-user ACL) применяются.

Убедиться, что команда включена можно так:

ASA(config)# sh run all sysopt

Включить, если отключена:

ASA(config)# sysopt connection permit-vpn 

[править] Настройка site-to-site VPN с аутентификацией по preshared key

VPN asa.png

[править] Пример пошаговой настройки

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

ASA1(config)# isakmp enable outside 

Настройка политики ISAKMP:

ASA1(config)# isakmp policy 10 
ASA1(config-isakmp-policy)# authentication pre-share 
ASA1(config-isakmp-policy)# encryption 3des
ASA1(config-isakmp-policy)# hash sha
ASA1(config-isakmp-policy)# group 2

[править] Настройка tunnel-group

Настройка типа tunnel-group'ы:

ASA1(config)# tunnel-group 192.168.2.2 type ipsec-l2l 

Настройка pre-shared key:

ASA1(config)# tunnel-group 192.168.2.2 ipsec-attributes 
ASA1(config-tunnel-ipsec)# pre-shared-key cisco

[править] Настройка transform-set

ASA1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 

[править] Настройка и применение crypto map

Создание ACL, который указывает какой трафик попадет в туннель:

ASA1(config)# access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 

Настройка crypto map:

ASA1(config)# crypto map TEST_MAP 10 match address L2LACL
ASA1(config)# crypto map TEST_MAP 10 set peer 192.168.2.2 
ASA1(config)# crypto map TEST_MAP 10 set transform-set 3DES_SHA
ASA1(config)# crypto map TEST_MAP 10 set reverse-route

Применение crypto map:

ASA1(config)# crypto map TEST_MAP interface outside

[править] Пример конфигурации

Конфигурация ASA1:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.1.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-shared
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
tunnel-group 192.168.2.2 type ipsec-l2l
tunnel-group 192.168.2.2 ipsec-attributes
 pre-shared-key cisco
!
access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.2.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
!
crypto map TEST_MAP interface outside


Конфигурация ASA2:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.2.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.2.2 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 192.168.2.1
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-shared
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
tunnel-group 192.168.1.2 type ipsec-l2l
tunnel-group 192.168.1.2 ipsec-attributes
 pre-shared-key cisco
!
access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.1.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
!
crypto map TEST_MAP interface outside

[править] Настройка site-to-site VPN с аутентификацией по сертификатам

VPN asa.png

[править] Пример пошаговой настройки

[править] Настройка ASA для получения сертификата

Пример настройки trustpoint для получения сертификата от маршрутизатора Cisco, который выполняет роль CA:

crypto ca trustpoint TEST
 enrollment url http://192.168.1.1:80
 subject-name CN=ASA1

Настройка trustpoint для получения сертификата от MS CA:

ASA1(config)# crypto ca trustpoint TEST
ASA1(config-ca-trustpoint)# enrollment url http://172.16.2.10:80/certsrv/mscep/mscep.dll
ASA1(config-ca-trustpoint)# subject-name CN=ASA1

Получение сертификата CA-сервера:

ASA1(config)# crypto ca authenticate TEST 

INFO: Certificate has the following attributes:
Fingerprint:     3c6bd334 a8173e1b 28bd4d41 83a02f3a 
Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.

Просмотр полученного сертификата:

ASA1(config)# sh crypto ca certificates 
CA Certificate
  Status: Available
  Certificate Serial Number: 15f28ebb979b248a4d8e7466fa40d5c7
  Certificate Usage: Signature
  Public Key Type: RSA (2048 bits)
  Issuer Name: 
    cn=server2
    dc=unix2
    dc=nt
  Subject Name: 
    cn=server2
    dc=unix2
    dc=nt
  CRL Distribution Points: 
    [1]  ldap:///CN=server2,CN=pc-2,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuratit
    [2]  http://pc-2.unix2.nt/CertEnroll/server2.crl
  Validity Date: 
    start date: 19:23:19 EEST Nov 22 2009
    end   date: 19:31:10 EEST Nov 22 2014
  Associated Trustpoints: TEST 

Запрос на получение сертификата для ASA от CA-сервера:

ASA1(config)# crypto ca enroll TEST noconfirm
%
% Start certificate enrollment ..
% The subject name in the certificate will be: CN=ASA1

% The fully-qualified domain name in the certificate will be: ASA1.unix.nt
% Certificate request sent to Certificate Authority
ASA1(config)# The certificate has been granted by CA!

Icon-caution.gif

Если в качестве CA используется MS CA, то туннель может не подниматься из-за требований ASA к сертификатам. В дебаг ошибка такого вида:

CRYPTO_PKI(make trustedCerts list)CRYPTO_PKI:check_key_usage: ExtendedKeyUsage OID = 1.3.6.1.5.5.7.3.1
CRYPTO_PKI:check_key_usage: ExtendedKeyUsage OID = 1.3.6.1.5.5.7.3.1, NOT acceptable
CRYPTO_PKI:check_key_usage: No acceptable ExtendedKeyUsage OIDs found

Подробнее [1].

[править] Настройка ISAKMP

Включение ISAKMP (IKE) на интерфейсе:

ASA1(config)# isakmp enable outside 

Настройка политики ISAKMP:

ASA1(config)# isakmp policy 10 
ASA1(config-isakmp-policy)# authentication rsa-sig 
ASA1(config-isakmp-policy)# encryption 3des
ASA1(config-isakmp-policy)# hash sha
ASA1(config-isakmp-policy)# group 2

[править] Настройка tunnel-group

Настройка типа tunnel-group'ы:

ASA1(config)# tunnel-group 192.168.2.2 type ipsec-l2l 

Настройка trustpoint:

ASA1(config)# tunnel-group 192.168.2.2 ipsec-attributes 
ASA1(config-tunnel-ipsec)# trust-point TEST

Trustpoint в tunnel-group, указывает какой сертификат использовать, когда ASA1 отвечает на запрос на установку туннеля, и, используя какой CA, проверить сертификат, который инициатор соединения прислал на ASA1.

[править] Настройка соответствия между сертификатом и tunnel-group

Создание правил, которые указывают какое поле в сертификате должно совпадать с указанным значением

crypto ca certificate map L2L 10
 subject-name attr cn eq asa2

Включение просмотра правил tunnel-group-map при выборе tunnel-group

tunnel-group-map enable rules

Настройка соответствий между сертификатом и tunnel-group (если поля сертификата совпадут с правилом L2L 10 (то есть, CN = asa2), то это tunnel-group 192.168.2.2):

tunnel-group-map L2L 10 192.168.2.2

[править] Настройка transform-set

ASA1(config)# crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 

[править] Настройка и применение crypto map

Создание ACL, который указывает какой трафик попадет в туннель:

ASA1(config)# access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 

Настройка crypto map:

ASA1(config)# crypto map TEST_MAP 10 match address L2LACL
ASA1(config)# crypto map TEST_MAP 10 set peer 192.168.2.2 
ASA1(config)# crypto map TEST_MAP 10 set transform-set 3DES_SHA
ASA1(config)# crypto map TEST_MAP 10 set reverse-route
ASA1(config)# crypto map TEST_MAP 10 set trustpoint TEST

Trustpoint указанная в crypto map, будет использоваться при инициации соединения для того чтобы определить какой сертификат использовать для аутентификации.

Применение crypto map:

ASA1(config)# crypto map TEST_MAP interface outside

[править] Пример конфигурации

Конфигурация ASA1:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.1.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
crypto ca trustpoint TEST
 enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll
 subject-name CN=ASA1 
!
tunnel-group 192.168.2.2 type ipsec-l2l
tunnel-group 192.168.2.2 ipsec-attributes
 trust-point TEST
!
access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.2.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
crypto map TEST_MAP 10 set trustpoint TEST
!
crypto map TEST_MAP interface outside
!
crypto ca certificate map L2L 10
 subject-name attr cn eq asa2
!
tunnel-group-map enable rules
tunnel-group-map L2L 10 192.168.2.2


Конфигурация ASA2:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.2.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.2.2 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 192.168.2.1
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
crypto ca trustpoint TEST
 enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll
 subject-name CN=ASA2 
!
tunnel-group 192.168.1.2 type ipsec-l2l
tunnel-group 192.168.1.2 ipsec-attributes
 trust-point TEST
!
access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0 255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.1.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
crypto map TEST_MAP 10 set trustpoint TEST
!
crypto map TEST_MAP interface outside
crypto ca certificate map L2L 10
 subject-name attr cn eq asa1
!
tunnel-group-map enable rules
tunnel-group-map L2L 10 192.168.1.2

[править] Настройка site-to-site VPN с двумя провайдерами

VPN asa2.png

[править] Пример конфигурации

Конфигурация ASA1:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.1.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
crypto ca trustpoint TEST
 enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll
 subject-name CN=ASA1 
!
tunnel-group 192.168.2.2 type ipsec-l2l
tunnel-group 192.168.2.2 ipsec-attributes
 trust-point TEST
tunnel-group 192.168.3.2 type ipsec-l2l
tunnel-group 192.168.3.2 ipsec-attributes
 trust-point TEST
!
access-list L2LACL extended permit ip 10.0.1.0 255.255.255.0 10.0.2.0  255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.2.2 192.168.3.2
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
crypto map TEST_MAP 10 set trustpoint TEST
!
crypto map TEST_MAP interface outside
!
crypto ca certificate map L2L 10
 subject-name attr cn eq asa2
!
tunnel-group-map enable rules
tunnel-group-map L2L 10 192.168.2.2


Конфигурация ASA2:

interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.0.2.1 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 192.168.2.2 255.255.255.0 
!
interface GigabitEthernet0/2 
 nameif outside2
 security-level 0
 ip address 192.168.3.2 255.255.255.0 
!
sla monitor 10
 type echo protocol ipIcmpEcho 192.168.2.1 interface outside
sla monitor schedule 10 life forever start-time now
!
track 10 rtr 10 reachability
!
route outside 0.0.0.0 0.0.0.0 192.168.2.1 1 track 10
route outside2 0.0.0.0 0.0.0.0 192.168.3.3 2
!
crypto isakmp enable outside
crypto isakmp policy 10
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
crypto ca trustpoint TEST
 enrollment url http://10.0.2.10:80/certsrv/mscep/mscep.dll
 subject-name CN=ASA2 
!
tunnel-group 192.168.1.2 type ipsec-l2l
tunnel-group 192.168.1.2 ipsec-attributes
trust-point TEST
!
access-list L2LACL extended permit ip 10.0.2.0 255.255.255.0 10.0.1.0  255.255.255.0 
!
!
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac 
!
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 192.168.1.2 
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
crypto map TEST_MAP 10 set trustpoint TEST
!
crypto map TEST_MAP interface outside
crypto ca certificate map L2L 10
 subject-name attr cn eq asa1
!
tunnel-group-map enable rules
tunnel-group-map L2L 10 192.168.1.2

[править] Просмотр информации

sh crypto isakmp sa
sh crypto ipsec sa
asa1# sh vpn-sessiondb l2l
asa1# sh vpn-sessiondb detail l2l

[править] Пример вывода команд

Пример команд show на двух маршрутизаторах с установленным туннелем

Краткий просмотр информации на asa1:

asa1# sh vpn-sessiondb l2l

Session Type: LAN-to-LAN

Connection   : 192.168.2.2
Index        : 2                      IP Addr      : 172.16.1.0
Protocol     : IKE IPsec
Encryption   : DES                    Hashing      : SHA1
Bytes Tx     : 22140                  Bytes Rx     : 22140
Login Time   : 12:22:24 UTC Fri Apr 8 2011
Duration     : 0h:06m:14s

Краткий просмотр информации на asa2:

asa2# sh vpn-sessiondb l2l

Session Type: LAN-to-LAN

Connection   : 192.168.1.2
Index        : 4                      IP Addr      : 10.0.1.0
Protocol     : IKE IPsec
Encryption   : DES                    Hashing      : SHA1
Bytes Tx     : 15660                  Bytes Rx     : 15660
Login Time   : 11:36:56 UTC Sat Apr 9 2011
Duration     : 0h:04m:25s

Более подробная информация на asa1:

asa1# sh vpn-sessiondb detail l2l

Session Type: LAN-to-LAN Detailed

Connection   : 192.168.2.2
Index        : 2                      IP Addr      : 172.16.1.0
Protocol     : IKE IPsec
Encryption   : DES                    Hashing      : SHA1
Bytes Tx     : 22140                  Bytes Rx     : 22140
Login Time   : 12:22:24 UTC Fri Apr 8 2011
Duration     : 0h:06m:14s
IKE Tunnels: 1
IPsec Tunnels: 1

IKE:
  Tunnel ID    : 2.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
  Encryption   : DES                    Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86027 Seconds
  D/H Group    : 5
  Filter Name  :

IPsec:
  Tunnel ID    : 2.2
  Local Addr   : 10.0.1.0/255.255.255.0/0/0
  Remote Addr  : 172.16.1.0/255.255.255.0/0/0
  Encryption   : DES                    Hashing      : SHA1
  Encapsulation: Tunnel                 PFS Group    : 5
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28427 Seconds
  Rekey Int (D): 3825000 K-Bytes        Rekey Left(D): 3824979 K-Bytes
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes
  Bytes Tx     : 22140                  Bytes Rx     : 22140
  Pkts Tx      : 369                    Pkts Rx      : 369

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 373 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :


Более подробная информация на asa2:

asa2# sh vpn-sessiondb detail l2l

Session Type: LAN-to-LAN Detailed

Connection   : 192.168.1.2
Index        : 4                      IP Addr      : 10.0.1.0
Protocol     : IKE IPsec
Encryption   : DES                    Hashing      : SHA1
Bytes Tx     : 16080                  Bytes Rx     : 16080
Login Time   : 11:36:56 UTC Sat Apr 9 2011
Duration     : 0h:04m:33s
IKE Tunnels: 1
IPsec Tunnels: 1

IKE:
  Tunnel ID    : 4.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
  Encryption   : DES                    Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86127 Seconds
  D/H Group    : 5
  Filter Name  :

IPsec:
  Tunnel ID    : 4.2
  Local Addr   : 172.16.1.0/255.255.255.0/0/0
  Remote Addr  : 10.0.1.0/255.255.255.0/0/0
  Encryption   : DES                    Hashing      : SHA1
  Encapsulation: Tunnel                 PFS Group    : 5
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28527 Seconds
  Rekey Int (D): 4275000 K-Bytes        Rekey Left(D): 4274985 K-Bytes
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Bytes Tx     : 16140                  Bytes Rx     : 16140
  Pkts Tx      : 269                    Pkts Rx      : 269

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 274 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :

[править] Подсказки по настройке VPN в CLI ASA

В Cisco ASA есть команда vpnsetup, которая позволяет посмотреть как настраивать различные виды VPN на ASA. В выводе команды показаны необходимые шаги и команды. Команда пригодится если под рукой нет документации или примера настройки.

Параметры команды (8.2):

  • ipsec-remote-access
  • l2tp-remote-access
  • site-to-site
  • ssl-remote-access

Пример вывода для site-to-site vpn:

asa1(config)# vpnsetup site-to-site steps

Steps to configure a simple site-to-site IKE/IPSec connection with examples:

1. Configure Interfaces

        interface GigabitEthernet0/0
         ip address 10.10.4.200 255.255.255.0
         nameif outside
         no shutdown

        interface GigabitEthernet0/1
         ip address 192.168.0.20 255.255.255.0
         nameif inside
         no shutdown

2. Configure ISAKMP policy

        crypto isakmp policy 10
         authentication pre-share
         encryption 3des
         hash sha

3. Configure transform-set

        crypto ipsec transform-set myset esp-3des esp-sha-hmac
              
4. Configure ACL

        access-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0

5. Configure Tunnel group

        tunnel-group 10.20.20.1 type ipsec-l2l
        tunnel-group 10.20.20.1 ipsec-attributes
         pre-shared-key P@rtn3rNetw0rk

6. Configure crypto map and attach to interface

        crypto map mymap 10 match address L2LAccessList
        crypto map mymap 10 set peer 10.10.4.108
        crypto map mymap 10 set transform-set myset
        crypto map mymap 10 set reverse-route
        crypto map mymap interface outside

7. Enable isakmp on interface

        crypto isakmp enable outside

[править] Дополнительная информация