CISCO IPSEC Site to Site VPN: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 8: | Zeile 8: | ||
===Der Hashwert ist md5=== | ===Der Hashwert ist md5=== | ||
unkerich(config-isakmp)#hash md5 | unkerich(config-isakmp)#hash md5 | ||
| + | ===Lifetime=== | ||
| + | unkerich(config-isakmp)#lifetime 7800 | ||
===Authentifizierungsmethode ist Pre-Shared-Secret=== | ===Authentifizierungsmethode ist Pre-Shared-Secret=== | ||
| Zeile 28: | Zeile 30: | ||
===Gegenseite ist dies IP=== | ===Gegenseite ist dies IP=== | ||
| − | unkerich(config-crypto-map)#set peer 192.168.249. | + | unkerich(config-crypto-map)#set peer 192.168.249.62 |
===Anwenden der Verbindungsdaten von xinux-set=== | ===Anwenden der Verbindungsdaten von xinux-set=== | ||
| Zeile 45: | Zeile 47: | ||
dst src state conn-id slot status | dst src state conn-id slot status | ||
192.168.249.61 192.168.249.62 QM_IDLE 1 0 ACTIVE | 192.168.249.61 192.168.249.62 QM_IDLE 1 0 ACTIVE | ||
| + | |||
| + | ===Anzeigen der IKE SA=== | ||
| + | unkerich# show crypto ipsec sa | ||
| + | |||
| + | ===Crypto engine connections active=== | ||
| + | |||
| + | gebuesch#show crypto engine connections active | ||
| + | Crypto Engine Connections | ||
| + | |||
| + | ID Interface Type Algorithm Encrypt Decrypt IP-Address | ||
| + | 1003 Fa0/0 IKE SHA+AES256 0 0 192.168.252.129 | ||
| + | 2081 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 | ||
| + | 2082 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 | ||
| + | 2083 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 | ||
| + | 2084 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 | ||
===Löschen der Phase 1 SA=== | ===Löschen der Phase 1 SA=== | ||
| Zeile 65: | Zeile 82: | ||
unkerich#no debug crypto isakmp | unkerich#no debug crypto isakmp | ||
Crypto ISAKMP debugging is off | Crypto ISAKMP debugging is off | ||
| + | |||
| + | =Weiteres Beispiel= | ||
| + | <pre> | ||
| + | ! | ||
| + | crypto isakmp policy 20 | ||
| + | encr aes 256 | ||
| + | hash md5 | ||
| + | authentication pre-share | ||
| + | group 5 | ||
| + | crypto isakmp key geheimes-password address 192.168.241.13 | ||
| + | ! | ||
| + | ! | ||
| + | crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac | ||
| + | crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac | ||
| + | ! | ||
| + | crypto map unkerich-raspberry-vpn 20 ipsec-isakmp | ||
| + | set peer 192.168.241.13 | ||
| + | set transform-set AES256-MD5 3DES-MD5 | ||
| + | match address 120 | ||
| + | ! | ||
| + | interface FastEthernet0/0 | ||
| + | ip address 192.168.244.97 255.255.248.0 | ||
| + | crypto map unkerich-raspberry-vpn | ||
| + | ! | ||
| + | access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255 | ||
| + | ! | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | =VPN NAT= | ||
| + | ;Orignal zu transportierendes Netz | ||
| + | *unkerich(config)#access-list 88 permit 192.168.54.0 0.0.0.255 | ||
| + | ;Umgesetztes Netz | ||
| + | *unkerich(config)#ip nat pool vpn-pool 172.24.67.0 172.24.67.255 prefix-length 24 | ||
| + | ;Zuordnung | ||
| + | *unkerich(config)# ip nat inside source list 88 pool vpn-pool overload | ||
| + | ;Interfaces konfigurieren | ||
| + | ;VPNGW Interface | ||
| + | *unkerich#configure terminal | ||
| + | *unkerich(config)#interface FastEthernet0/0 | ||
| + | *unkerich(config-if)#ip nat outside | ||
| + | ;Inneres Interface | ||
| + | *unkerich(config)#interface FastEthernet1/0 | ||
| + | *unkerich(config-if)#ip nat inside | ||
Aktuelle Version vom 24. Mai 2016, 11:23 Uhr
Anlegen der Verbindungsdaten für Phase 1
unkerich(config)#crypto isakmp policy 10
Verschlüsselungsalgorithmus ist 3des
unkerich(config-isakmp)#encr 3des
Der Hashwert ist md5
unkerich(config-isakmp)#hash md5
Lifetime
unkerich(config-isakmp)#lifetime 7800
unkerich(config-isakmp)#authentication pre-share
Diffie-Hellmangruppe 2
unkerich(config-isakmp)#group 2
Accesslist zur Gegenseite
unkerich(config)#access-list 120 permit ip 172.32.1.0 0.0.0.255 172.22.2.0 0.0.0.255
unkerich(config)#crypto isakmp key 0 sehr-geheim address 192.168.249.62
Transformset xinux-set "esp-3des esp-md5-hmac"
unkerich(config)#crypto ipsec transform-set xinux-set esp-3des esp-md5-hmac
Zusammenfassen Verbindungsdaten für Phase 2 basierend auf Phase 1 Policy 10
unkerich(config)#crypto map lurchi-unkerich 10 ipsec-isakmp
Gegenseite ist dies IP
unkerich(config-crypto-map)#set peer 192.168.249.62
Anwenden der Verbindungsdaten von xinux-set
unkerich(config-crypto-map)#set transform-set xinux-set
Trifft dann wenn Accessliste 120 zutrifft
unkerich(config-crypto-map)#match address 120
Anwenden der Crypto Map auf die Schnittstelle
unkerich(config)#interface FastEthernet0/1 unkerich(config-if)#crypto map lurchi-unkerich
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 QM_IDLE 1 0 ACTIVE
Anzeigen der IKE SA
unkerich# show crypto ipsec sa
Crypto engine connections active
gebuesch#show crypto engine connections active Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address 1003 Fa0/0 IKE SHA+AES256 0 0 192.168.252.129 2081 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2082 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2083 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129 2084 Fa0/0 IPsec AES256+SHA 0 0 192.168.252.129
Löschen der Phase 1 SA
unkerich#clear crypto isakmp
Löschen der Phase 2 SA
unkerich#clear crypto sa
Anzeigen der ISAKMP SA
unkerich#show crypto isakmp sa dst src state conn-id slot status 192.168.249.61 192.168.249.62 MM_NO_STATE 4 0 ACTIVE (deleted)
Debugen der Phase1
unkerich#debug crypto isakmp Crypto ISAKMP debugging is on unkerich#terminal monitor unkerich# dann pingen unkerich#no debug crypto isakmp Crypto ISAKMP debugging is off
Weiteres Beispiel
! crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 5 crypto isakmp key geheimes-password address 192.168.241.13 ! ! crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto map unkerich-raspberry-vpn 20 ipsec-isakmp set peer 192.168.241.13 set transform-set AES256-MD5 3DES-MD5 match address 120 ! interface FastEthernet0/0 ip address 192.168.244.97 255.255.248.0 crypto map unkerich-raspberry-vpn ! access-list 120 permit ip 172.24.67.0 0.0.0.255 192.168.56.0 0.0.0.255 !
VPN NAT
- Orignal zu transportierendes Netz
- unkerich(config)#access-list 88 permit 192.168.54.0 0.0.0.255
- Umgesetztes Netz
- unkerich(config)#ip nat pool vpn-pool 172.24.67.0 172.24.67.255 prefix-length 24
- Zuordnung
- unkerich(config)# ip nat inside source list 88 pool vpn-pool overload
- Interfaces konfigurieren
- VPNGW Interface
- unkerich#configure terminal
- unkerich(config)#interface FastEthernet0/0
- unkerich(config-if)#ip nat outside
- Inneres Interface
- unkerich(config)#interface FastEthernet1/0
- unkerich(config-if)#ip nat inside