Готовлюсь к экзамену 642-637 SECURE. Все лабораторные работы
проходили спокойно и по расписанию. Все понятно. Но тут дошло дело до Easy VPN. Название не предвещает
ничего плохого, наоборот, говорит о том, что это «легко». Не тут то было.
Настроить сервер через CLI в IOS
для подключения программного клиента из Windows не составило большого труда, хотя
конфигурация в количестве строчек выглядит внушительно. Проблемы начались,
когда я подошел к конфигурации «сервер – аппаратный клиент». В рамках экзамена SECURE я
рассматриваю соединение двух IOS устройств. Несмотря на то, что в офисе имеется два 2911, я
решил реализовать схемы лабораторных работ в GNS.
Итак, изучив теорию, поняв, какие параметры IKE устраивают
программные клиенты, какие подходят для аппаратных, я решил запустить простую
схему сервер клиент. Уточню, что клиент находится в режиме «network-extension».
Схема указана на рисунке ниже. В данном случае я столкнулся с проблемой, что
клиент не помещает маршрут на приватную сеть сервера VPN в таблицу маршрутизации, хотя в split-tunnel она приезжает.
Для того чтобы частная сеть клиента видела частную сеть сервера на
маршрутизаторе клиента необходимо прописать статический маршрут на сеть сервера
через внешний интерфейс. На этом интерфейсе уже есть карта шифрования, которая
подхватит пакеты с нужным адресом назначения и завернет их в туннель.
Не буду приводить тут выводы дебагов, пингов и трасс. Это
всё вам придется исследовать самостоятельно. Тут я положу схему сети и конфиги
маршрутизаторов из GNS.
Для этих экспериментов я использовал образ «c3745-adventerprisek9-mz.124-15.T14».
R1:
!
interface FastEthernet0/0
description Local LAN
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
R2:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login ra-usrs local
aaa authorization network ra-grps local
!
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
ip domain name lab.local
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username ra1 secret 5 $1$mTlr$i9ToAd8VhuCRGCGMVHAn5/
username ra2 secret 5 $1$/crY$Ibo3W1NlA3Du1VmNuX6FI1
archive
log config
hidekeys
!
!
crypto isakmp policy 100
encr aes
authentication pre-share
group 2
crypto isakmp keepalive 20 3
crypto isakmp nat keepalive 30
!
crypto isakmp client configuration group ra2_grp
key ra2key
domain fqdn.domain.ltd
acl split-acl
save-password
!
!
crypto ipsec transform-set tset1 esp-aes esp-sha-hmac
!
crypto dynamic-map dyn-cmap 10
set transform-set tset1
reverse-route
!
!
crypto map stat-cmap client authentication list ra-usrs
crypto map stat-cmap isakmp authorization list ra-grps
crypto map stat-cmap client configuration address respond
crypto map stat-cmap 10 ipsec-isakmp dynamic dyn-cmap
!
!
!
!
!
!
!
interface FastEthernet0/0
description Local LAN
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description Internet Connection
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map stat-cmap
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
ip local pool ra1pool 192.168.20.10 192.168.20.20
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
ip access-list extended split-acl
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
!
!
end
R3:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
ip domain name lab.local
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
log config
hidekeys
!
!
!
crypto ipsec client ezvpn ra2
connect auto
group ra2_grp key ra2key
mode network-extension
peer 10.1.1.1
username ra2 password ra2pwd
xauth userid mode local
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.5.1 255.255.255.0
duplex auto
speed auto
crypto ipsec client ezvpn ra2 inside
!
interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
ip forward-protocol nd
ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended split-acl
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 111 permit icmp host 192.168.5.2 any
access-list 112 permit icmp any any
access-list 112 permit esp any any
access-list 112 permit ip any any
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login
!
!
end
R4:
!
interface FastEthernet0/0
ip address 192.168.5.2 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.5.1
!
Прочитав главу о Easy VPN Remote в официальном руководстве SECURE, я сразу захотел реализовать
пример из книги. Там рассматривался пример IOS Easy VPN Server – IOS Eazy VPN Client используя
VTI. А что это
означает? Это означает, что мы можем использовать QoS. Сама технология качества
обслуживания тут не рассматривается, но есть пример, как реализовать схему с
использованием VTI. Ниже
схема из GNS и конфиги
маршрутизаторов.
R1:
!
interface FastEthernet0/0
description Local LAN
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
R2:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login LOCAL-AUTHEN local
aaa authorization network LOCAL-AUTHOR local
!
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
ip domain name lab.local
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username vpnuser privilege 0 secret 5 $1$9RkP$oHblvlcsQ00.rnnMgB/bN0
archive
log config
hidekeys
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group MY-GROUP
key mykey1
domain mydomain.com
pool MY-POOL
acl MY-SPLIT-TUNNEL
save-password
crypto isakmp profile MY-ISA-PROFILE
match identity group MY-GROUP
client authentication list LOCAL-AUTHEN
isakmp authorization list LOCAL-AUTHOR
client configuration address respond
client configuration group MY-GROUP
virtual-template 1
!
!
crypto ipsec transform-set MY-TSET esp-aes esp-sha-hmac
!
crypto ipsec profile MY-PROFILE
set transform-set MY-TSET
set isakmp-profile MY-ISA-PROFILE
!
!
!
!
!
!
!
!
interface FastEthernet0/0
description Local LAN
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description Internet Connection
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
tunnel source FastEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile MY-PROFILE
!
ip local pool MY-POOL 10.255.0.1 10.255.0.100
ip forward-protocol nd
ip route 10.1.2.0 255.255.255.0 10.1.1.2
!
!
no ip http server
no ip http secure-server
!
ip access-list extended MY-SPLIT-TUNNEL
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 111 permit icmp any any
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
!
!
end
R3:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
ip domain name lab.local
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username vpnuser password 0 vpnpass
archive
log config
hidekeys
!
!
!
!
!
!
crypto ipsec client ezvpn MY-EXVPN-CLIENT
connect auto
group MY-GROUP key mykey1
mode network-extension
peer 10.1.1.1
virtual-interface 1
username vpnuser password vpnpass
xauth userid mode local
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.5.1 255.255.255.0
duplex auto
speed auto
crypto ipsec client ezvpn MY-EXVPN-CLIENT inside
!
interface FastEthernet0/1
description Internet Connection
ip address 10.1.2.2 255.255.255.0
duplex auto
speed auto
crypto ipsec client ezvpn MY-EXVPN-CLIENT
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
ip forward-protocol nd
ip route 10.1.1.0 255.255.255.0 10.1.2.1
!
!
no ip http server
no ip http secure-server
!
access-list 111 permit icmp any any
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login
!
!
end
R4:
!
interface FastEthernet0/0
ip address 192.168.5.2 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.5.1
R5:
!
interface FastEthernet0/0
description Local LAN
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description Internet Connection
ip address 10.1.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
description Internet Connection
ip address 172.16.0.1 255.255.255.0
duplex auto
speed auto
!
ip route 192.168.1.0 255.255.255.0 10.1.1.1
!
В завершении вставляю несколько полезных ссылок, которые мне
помогли разобраться с EZVPN
и хорошую картинку одного из авторов блога в ссылках.
Комментариев нет:
Отправить комментарий