Cisco ASA VPN
From HackerNet
Revision as of 11:35, 12 January 2016 by Helikopter (talk | contribs) (Created page with "Huvudartikel: Cisco ASA =Site-to-site= Förutsättningar för att sätta upp VPN-tunnlar är att klocka måste gå rätt och att NAT-regler måste ligga i rätt...")
Huvudartikel: Cisco ASA
Contents
Site-to-site
Förutsättningar för att sätta upp VPN-tunnlar är att klocka måste gå rätt och att NAT-regler måste ligga i rätt ordning.
Kolla hur man gör på aktuell version
vpnsetup site-to-site steps vpnsetup ipsec-remote-access steps
IKEv2 behåller inte riktigt nomenklaturen med faser men ändå.
Fas 1
crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha lifetime 28800 group 2
PSK
tunnel-group <other-side> type ipsec-l2l tunnel-group <other-side> ipsec-attributes ikev1 pre-shared-key ***** crypto map VPNMAP 10 set peer <other-side>
Fas 2
crypto ipsec ikev1 transform-set SITE2-FAS2 esp-aes-256 esp-sha-hmac crypto map VPNMAP 10 set transform-set SITE2-FAS2 access-list CRYPTO-to-SITE2 extended permit ip 172.16.20.0 255.255.255.0 172.16.40.0 255.255.255.0 crypto map VPNMAP 10 match address CRYPTO-to-SITE2 crypto map VPNMAP 10 set security-association lifetime seconds 3600
NAT Exempt
object network LAN1 subnet 172.16.20.0 255.255.255.0 object network LAN2 subnet 172.16.40.0 255.255.255.0 nat (inside,outside) 1 source static LAN1 LAN1 destination static LAN2 LAN2
Övrigt
Tillåt trafik in från andra sidan.
access-list OUTSIDE-IN extended permit ip object LAN2 object LAN1
Behöver endast göras vid första VPN-tunneluppsättningen.
crypto map VPNMAP interface OUTSIDE crypto isakmp enable OUTSIDE
Troubleshoot
show crypto isakmp sa detail show vpn-sessiondb detail l2l
Remote Access
AnyConnect
AnyConnect SSL split tunnel
object network NETWORK_OBJ_10.0.0.0_25 subnet 10.0.0.0 255.255.255.128 webvpn anyconnect image disk0:/anyconnect[TAB] 1 anyconnect enable ip local pool DASpool 10.0.0.51-10.0.0.100 mask 255.255.255.0 group-policy AnyC-SSL-Group internal group-policy AnyC-SSL-Group attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value Just-10 address-pool value DASpool vpn-tunnel-protocol ssl-client dns-server value 8.8.8.8 wins-server none default-domain value hackernet.se exit tunnel-group AnyC-SSL-TunGroup type remote-access tunnel-group AnyC-SSL-TunGroup general-attributes default-group-policy AnyC-SSL-Group address-pool DASpool tunnel-group AnyC-SSL-TunGroup webvpn-attributes group-alias HACKERNET enable nat (inside,outside) 1 source static any any destination static NETWORK_OBJ_10.0.0.0_25 --- username juan password cisco priv 15 username juan attributes service-type remote-access vpn-group-policy AnyC-SSL-Group exit
