PIX/ASA 7.x et plus tard : Exemple de configuration d'un VPN IPsec de site à site (L2L) avec NAT de stratégie



Documents pareils
ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Les réseaux /24 et x0.0/29 sont considérés comme publics

QoS sur les exemples de configuration de Cisco ASA

Exemple de configuration d'asa avec WebVPN et authentification unique à l'aide d'asdm et de NTLMv1

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Exercice : configuration de base de DHCP et NAT

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Conception et mise en place d'une architecture de sécurité des services Intranet / Internet. Equipe Firewalling

Firewall ou Routeur avec IP statique

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Intégration de Cisco CallManager IVR et Active Directory

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

comment paramétrer une connexion ADSL sur un modemrouteur

NAC 4.5 : Exemple de configuration d'import-export de stratégie

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Réseaux Privés Virtuels Virtual Private Network

Réseaux Privés Virtuels Virtual Private Network

Configuration de WINS, DNS et DHCP sur les serveurs d'accès

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Les réseaux des EPLEFPA. Guide «PfSense»

Axel Remote Management

Supervision et infrastructure - Accès aux applications JAVA. Document FAQ. Page: 1 / 9 Dernière mise à jour: 15/04/12 16:14

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

TP Configuration de l'authentification OSPF

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Mise en service d un routeur cisco

Travaux pratiques : collecte et analyse de données NetFlow

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Travaux pratiques IPv6

Instructions Mozilla Thunderbird Page 1

Les clés d un réseau privé virtuel (VPN) fonctionnel

TP réseaux Translation d adresse, firewalls, zonage

Résumé et recommandations

Pare-feu VPN sans fil N Cisco RV120W

Configuration du matériel Cisco. Florian Duraffourg

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

SECURIDAY 2013 Cyber War

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Passerelle de Sécurité Internet Guide d installation


IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1

Devoir Surveillé de Sécurité des Réseaux

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Mise à jour des logiciels de vidéo de Polycom

Guide d'installation et de configuration de Pervasive.SQL 7 dans un environnement réseau Microsoft Windows NT

Arkoon Security Appliances Fast 360

Comment fonctionne le PATH MTU dans les tunnels GRE et IPSec?

Couche application. La couche application est la plus élevée du modèle de référence.

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

Exemple de configuration USG

Administration du WG302 en SSH par Magicsam

Présentation et portée du cours : CCNA Exploration v4.0

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Mise en route d'un Routeur/Pare-Feu

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

VPN IP security Protocol

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Note d Application. Bascule d ALOHA via injection de route en BGP

VPN SSL sur ASA Projet

VoD ( Video on Demand ) avec VLC

COMMANDES RÉSEAUX TCP/IP WINDOWS.

Sécurité GNU/Linux. Virtual Private Network

WEB page builder and server for SCADA applications usable from a WEB navigator

TP4 : Firewall IPTABLES

Les techniques de la télémaintenance

Figure 1a. Réseau intranet avec pare feu et NAT.

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Direction des Systèmes d'information

Kerberos en environnement ISP UNIX/Win2K/Cisco

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

VTP. LAN Switching and Wireless Chapitre 4

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Présentation et portée du cours : CCNA Exploration v4.0

Contrôle d accès Access control MOD-TCPIP-AI. Notice technique / Technical Manual

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

IMS INTERNET /Paramétrage de l offre / Gateway Cisco IMS INTERNET. Paramétrage de l offre Gateway CISCO. Référence Edition Date de Diffusion Page

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Guide de compatibilité des routeurs avec le service Flexfone

Instructions pour mettre à jour un HFFv2 v1.x.yy v2.0.00

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

(1) Network Camera

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Sauvegardes par Internet avec Rsync

Unité de stockage NAS

INSTALLATION D'OPENVPN:

Tutoriel de formation SurveyMonkey

SSH, le shell sécurisé

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

Configuration d'un trunk SIP OpenIP sur un IPBX ShoreTel

Installation du client Cisco VPN 5 (Windows)

Vanilla : Virtual Box

Transcription:

PIX/ASA 7.x et plus tard : Exemple de configuration d'un VPN IPsec de site à site (L2L) avec NAT de stratégie Contenu Introduction Conditions préalables Conditions requises Composants utilisés Produits connexes Conventions Configurez Diagramme du réseau Configurations Vérifiez Commandes show de PIX-A Commandes show de PIX-B Dépannez Suppression des associations de sécurité Dépannage des commandes Informations connexes Introduction Ce document décrit les étapes utilisées pour traduire (NAT) le trafic VPN d'une extrémité qui voyagent au-dessus d'un tunnel d'ipsec de l'entre réseaux locaux (L2L) entre deux dispositifs de sécurité et TAPOTENT également le trafic Internet. Chaque appliance de sécurité dispose derrière elle d un réseau protégé privé. Le réseau 192.168.1.0 dans PIX-A est traduit au réseau de 172.18.1.0 et envoie le trafic VPN par le tunnel d'ipsec. Dans L2L VPN, vous pouvez initier le tunnel d'ipsec de l'un ou l'autre de côté des points d'extrémité de tunnel. Dans ce scénario, PIX-A de réseau intérieur (192.168.1.0) est traduit au réseau de 172.18.1.0 utilisant la stratégie NAT pour le trafic VPN. En raison de cette traduction, le réseau de source du trafic intéressant 172.18.1.0 n'est pas accessible de PIX-B. Si vous essayez d'initier le tunnel du PIX-B, l'adresse de destination du trafic intéressant 172.18.1.0 VPN, par exemple, natted l'adresse réseau de PIX-A, n'est pas accessible. Ainsi vous devez initier le tunnel VPN seulement du PIX-A. Conditions préalables Conditions requises Assurez-vous que vous avez configuré les dispositifs de sécurité PIX avec des adresses IP sur les interfaces et ayez la Connectivité de base avant que vous poursuiviez cet exemple de configuration. Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Passages de Cisco PIX 500 Series Security Appliance avec la version 7.x et ultérieures Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Produits connexes Cette configuration peut également être utilisée avec des passages d'appliance de sécurité adaptable de gamme Cisco 5500 avec la version de logiciel 7.x et plus tard.

Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Remarque: Utilisez l'outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section. Diagramme du réseau Ce document utilise la configuration réseau suivante : Configurations Ce document utilise les configurations suivantes : Configuration PIX-A Configuration PIX-B PIX-A#show running-config : Saved : PIX Version 7.1(1) hostname PIX-A enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security-level 0 ip address 172.17.1.1 255.255.255.0 --- Configure the outside interface. interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 --- Configure the inside interface. PIX-A passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list new extended permit ip 172.18.1.0 255.255.255.0 10.1.0.0 255.255.255.0 --- This access list(new) is used with the crypto map (outside_map) --- in order to determine which traffic should be encrypted --- and sent across the tunnel. access-list policy-nat extended permit ip 192.168.1.0 255.255.255.0 10.1.0.0 255.255.255.0

--- The policy-nat ACL is used with the static --- command in order to match the VPN traffic for translation. pager lines 24 mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-511.bin no asdm history enable arp timeout 14400 static (inside,outside) 172.18.1.0 access-list policy-nat --- It is a Policy NAT statement. --- The static command with the access list (policy-nat), --- which matches the VPN traffic and translates the source (192.168.1.0) to 172.18.1.0 --- for outbound VPN traffic global (outside) 1 172.19.1.1 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 --- The above statements will PAT the internet traffic --- except the VPN traffic using the IP address 172.19.1.1 route outside 0.0.0.0 0.0.0.0 172.17.1.2 1 --- Output suppressed --- PHASE 2 CONFIGURATION --- --- The encryption types for Phase 2 are defined here. crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac --- Define the transform set for Phase 2. crypto map outside_map 20 match address new --- Define which traffic should be sent to the IPsec peer with the -- access list (new). crypto map outside_map 20 set peer 172.16.1.2 --- Sets the IPsec peer (remote end point) crypto map outside_map 20 set transform-set ESP-AES-256-SHA --- Sets the IPsec transform set "ESP-AES-256-SHA" --- to be used with the crypto map entry "outside_map" crypto map outside_map interface outside --- Specifies the interface to be used with --- the settings defined in this configuration --- PHASE 1 CONFIGURATION --- --- This configuration uses isakmp policy 10. --- Policy 65535 is included in the configuration by default. --- These configuration commands define the --- Phase 1 policy parameters that are used. isakmp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 5 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400

tunnel-group 172.16.1.2 type ipsec-l2l --- In order to create and manage the database of connection-specific records --- for ipsec-l2l IPsec (LAN-to-LAN) tunnels, use the tunnel-group --- command in global configuration mode. --- For L2L connections, the name of the tunnel group must be --- the IP address of the IPsec peer (remote peer end). tunnel-group 172.16.1.2 ipsec-attributes pre-shared-key * --- Enter the pre-shared key in order to configure the authentication method. telnet timeout 5 ssh timeout 5 console timeout 0 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service-policy global_policy global Cryptochecksum:33e1e37cd1280d908210dac0cc26e706 : end PIX-B PIX-B#show running-config : Saved : PIX Version 8.0(2) hostname PIX-B enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security-level 0 ip address 172.16.1.2 255.255.255.0 interface Ethernet1 nameif inside security-level 100 ip address 10.1.0.1 255.255.255.0 --- Output Suppressed access-list 102 extended permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0 --- This access list (102) is used with the crypto map --- outside_map in order to determine which traffic should be encrypted --- and sent across the tunnel. access-list no-nat extended permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0 --- This access list (no-nat) is used with the --- nat zero command. --- This prevents traffic, which matches the access list, from undergoing --- network address translation (NAT).

global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 --- The previous statements PAT the internet traffic --- except the VPN traffic that uses the outside interface IP address nat (inside) 0 access-list no-nat --- NAT 0 prevents NAT for networks specified in the ACL (no-nat). route outside 0.0.0.0 0.0.0.0 172.16.1.1 1 --- PHASE 2 CONFIGURATION --- --- The encryption types for Phase 2 are defined here. crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac --- Define the transform set for Phase 2. crypto map outside_map 20 match address 102 --- Define which traffic should be sent to the IPsec peer. crypto map outside_map 20 set peer 172.17.1.1 --- Sets the IPsec peer crypto map outside_map 20 set transform-set ESP-AES-256-SHA --- Sets the IPsec transform set "ESP-AES-256-SHA" --- to be used with the crypto map entry "outside_map" crypto map outside_map interface outside --- Specifies the interface to be used with --- the settings defined in this configuration --- PHASE 1 CONFIGURATION --- --- This configuration uses isakmp policy 10. --- Policy 65535 is included in the config by default. --- The configuration commands here define the --- Phase 1 policy parameters that are used. crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal --- Output suppressed --- In order to create and manage the database of connection-specific --- records for ipsec-l2l IPsec (LAN-to-LAN) tunnels, use the --- tunnel-group command in global configuration mode. --- For L2L connections the name of the tunnel group must be --- the IP address of the IPsec peer.

tunnel-group 172.17.1.1 type ipsec-l2l tunnel-group 172.17.1.1 ipsec-attributes pre-shared-key * --- Enter the pre-shared key in order to configure the authentication method. prompt hostname context Cryptochecksum:6b505b4a05c1aee96a71e67c23e71865 : end Vérifiez Utilisez cette section pour confirmer que votre configuration fonctionne correctement. L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'oit afin d'afficher une analyse de la sortie de la commande show. show crypto isakmp sa Affiche toutes les associations de sécurité actuelles IKE (SA) sur un homologue. show crypto ipsec sa Affiche les paramètres utilisés par les SA en cours. Échantillon Commandes show de PIX-A PIX-A#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.16.1.2 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE PIX-A#show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 20, local addr: 172.17.1.1 access-list new permit ip 172.18.1.0 255.255.255.0 10.1.0.0 255.255.255.0 local ident (addr/mask/prot/port): (172.18.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0) current_peer: 172.16.1.2 #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.2 path mtu 1500, ipsec overhead 76, media mtu 1500 current outbound spi: 95D66663 inbound esp sas: spi: 0x9A4CB431 (2588718129) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: outside_map sa timing: remaining key lifetime (kb/sec): (4274999/28758) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x95D66663 (2513856099) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto-map: outside_map sa timing: remaining key lifetime (kb/sec): (4274999/28756) IV size: 16 bytes replay detection support: Y PIX-A#show nat

NAT policies on Interface inside: match ip inside 192.168.1.0 255.255.255.0 outside 10.1.0.0 255.255.255.0 static translation to 172.18.1.0 translate_hits = 5, untranslate_hits = 5 PIX-A#show xlate 1 in use, 2 most used Global 172.18.1.0 Local 192.168.1.0 Commandes show de PIX-B PIX-B#show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 20, local addr: 172.16.1.2 access-list 102 permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0 local ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.18.1.0/255.255.255.0/0/0) current_peer: 172.17.1.1 #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14 #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 14, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.17.1.1 path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 9A4CB431 inbound esp sas: spi: 0x95D66663 (2513856099) transform: esp-aes-256 esp-sha-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: outside_map sa timing: remaining key lifetime (kb/sec): (3824998/28712) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x9A4CB431 (2588718129) transform: esp-aes-256 esp-sha-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: outside_map sa timing: remaining key lifetime (kb/sec): (3824998/28712) IV size: 16 bytes replay detection support: Y PIX-B#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.17.1.1 Type : L2L Role : responder Rekey : no State : MM_ACTIVE Dépannez Suppression des associations de sécurité En cas de dépannage, soyez sûr de supprimer les associations de sécurité existantes après une modification. En mode privilégiée du PIX, utilisez les commandes suivantes : clear crypto ipsec sa Supprime l'ipsec actif SAS. clear crypto isakmp SA Supprime l'ike actif SAS. Dépannage des commandes L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'oit afin d'afficher une analyse de la sortie de la commande show. Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

debug crypto ipsec affiche les négociations IPsec de la Phase 2. debug crypto isakmp affiche les négociations ISAKMP de la Phase 1. Informations connexes Exemples et notes techniques de configuration 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 15 décembre 2015 http://www.cisco.com/cisco/web/support/ca/fr/109/1097/1097246_pixasa7x-vpn-nat-config.html

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back