Easy VPN между Cisco ISR и Cisco VPN Client (Remote access Easy VPN)

Настройка Cisco Easy VPN с использованием Virtual Tunnel Interfaces (VTI) на сервере и Cisco VPN Client у VPN-клиента состоит из следующих шагов:
1. Настройка основных функций (политик и профилей) на сервере. На этом шаге настраиваются группы, которые содержат настройки для клиентов. К таким настройкам относятся профили ISAKMP, сетевые настройки (IP-адресация, DNS-сервера, WINS-сервера, имя домена) для различных групп пользователей удалённого доступа.

Настройка Cisco Easy VPN будет производиться на маршрутизаторе в следующей топологии:

EZVPN_001На Host2 установлен Cisco VPN Client, который через Easy VPN будет подключаться к маршрутизатору Router.


1.1 Настройка Crypto ISAKMP туннеля (IKE Phase 1)

router(config)# crypto isakmkp policy 10
router(config-isakmp)# hash sha
router(config-isakmp)# authentication pre-share
router(config-isakmp)# group 2
router(config-isakmp)# lifetime 3600
router(config-isakmp)# encryption aes 128

1.2 Настройка Crypto IPSec туннеля (IKE Phase 2)

router(config)# crypto ipsec transform-set IPSEC-TS esp-aes esp-sha-hmac
!
router(config)# crypto ipsec profile IPSEC-PROFILE
router(ipsec-profile)# set transform-set IPSEC-TS

1.3 Создание шаблона динамического виртуального туннельного интерфейса (Dynamic VTI Template), из которого настройки будут применяться ко всем динамически создаваемым виртуальным туннельным интерфейсам (VTI)

Router(config)# interface loopback 0
Router(config-if)# ip address 172.16.0.1 255.255.255.0
!
Router(config)# interface virtual-template 1 type tunnel
Router(config-if)# ip unnumbered loopback 0
Router(config-if)# tunnel mode ipsec ipv4
Router(config-if)# tunnel protection ipsec profile IPSEC-PROFILE

1.4 Создание группы с настройками для VPN клиентов (Client Configuration Group). В таких группах настраиваются данные для аутентификации (пароль группы) и
сетевые настройки, которые будут применены к каждому VPN-клиенту этой группы.

! Создание пула IP-адресов для VPN-клиентов
Router(config)# ip local pool VPN-POOL 172.16.0.50 172.16.0.254
!
! Создание ACL, который будет определять трафик, подлежащий шифрованию и передаче в туннель (Split Tunneling). В данном ACL весь трафик, который передаётся от VPN-клиента в сеть 172.16.0.0/24 и 192.168.0.0/24 будет зашифрован и передан через туннель
Router(config)# ip access-list extended VPN-SPLIT-TUNNEL
Router(config-ext-acl)# permit ip 172.16.0.0 0.0.0.255 any
Router(config-ext-acl)# permit ip 192.168.0.0 0.0.0.255 any
!
! Создание группы VPN-GROUP-SALES с настройками для VPN клиентов
Router(config) # crypto isakmp client configuration group VPN-GROUP-SALES
Router(config-isakmp-group)# key Cisco123
Router(config-isakmp-group)# domain mydomain.ru
Router(config-isakmp-group)# dns 172.16.0.10
Router(config-isakmp-group)# pool VPN-POOL
Router(config-isakmp-group)# acl VPN-SPLIT-TUNNEL

1.5 Создание профиля ISAKMP. Используются такие профили для ассоциирования каждой группы пользователей к шаблону виртуального туннельного интерфейса (VTI)

! Для авторизации VPN-клиентов будет использоваться локально настроенная на маршрутизаторе база данных с пользователями
Router(config)# aaa new-model
Router(config)# aaa authorization network LOCAL-AUTHOR local
!
!
! Создание профиля ISAKMP
Router(config)# crypto isakmp profile ISAKMP-PROFILE
! Определяем имя группы, которую этот ISAKMP профиль будет использовать
Router(conf-isa-prof)# match identity group VPN-GROUP-SALES
! Авторизация VPN-клиентов будет осуществляться по AAA-листу LOCAL-AUTHOR
Router(conf-isa-prof)# isakmp authorization list LOCAL-AUTHOR
! Easy VPN сервер обязан отвечать на запрос IP-адреса от VPN-клиентов
Router(conf-isa-prof)# client configuration address respond
! Определяем группу с настройками для VPN-клиентов, которая будет ассоциирована с данным ISAKMP профилем
Router(conf-isa-prof)# client configuration group VPN-GROUP-SALES
! «Привязываем» этот ISAKMP профиль (т.е. группу пользователей) к локальному динамическому VTI-интерфейсу
Router(conf-isa-prof)# virtual-template 1
!
!
Router(config)# crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)# set isakmp-profile ISAKMP-PROFILE

1.6 Настройка аутентификации VPN-клиентов

Router(config)# aaa authentication login LOCAL-AUTHEN local
!
Router(config)# username VPN-USER-SALES-1 privilege 0 secret 1234567890
!
! Настройка XAUTH
Router(config)# crypto isakmp profile ISAKMP-PROFILE
Router(conf-isa-prof)# client authentication list LOCAL-AUTHEN

2. Установка Cisco VPN клиента на клиентское устройство и его настройка на подключение к серверу Easy VPN.

Настройка Cisco VPN клиента начинается с добавления нового подключения:

EZVPN_01В открывшемся окне пишем имя подключения («My-Conn-1»), IP адрес порта маршрутизатора, к которому будет осуществляться подключение (10.0.0.254), имя группы, которое было прописано в п.1.4 (VPN-GROUP-SALES) и 2 раза пароль (Cisco123) из того же п.1.4. Нажимаем «Save»

EZVPN_02Теперь в списке подключений появится только что созданное подключение My-Conn-1, выделяем его и нажимаем «Connect»

EZVPN_03Появляется окно для ввода имени пользователя и пароля. Вводим логин созданного на маршрутизаторе пользователя VPN-USER-SALES-1 и его пароль 1234567890. Нажимаем OK

EZVPN_04Соединение с маршрутизатором установлено, о чём свидетельствует закрытый жёлтый замочек

EZVPN_05Чтобы просмотреть статистику по подключению переходим в меню «Status» -> «Statistics…»

EZVPN_06В открывшемся окне видим IP-адрес, присвоенный клиенту, внешний IP-адрес сервера EZVPN, статистику по отправленным/принятым пакетам (в т.ч. количество отправленных зашифрованных пакетов и количество принятых расшифрованных пакетов), а так же алгоритм шифрования и аутентификации в тоннеле. Ну и «пингом» проверяем доступность компьютера за маршрутизатором (сервером EZVPN)

EZVPN_07На маршрутизаторе можно просмотреть данные о VPN подключении следующим образом:

Router#show crypto session
Crypto session current status

Interface: Virtual-Access1
Username: VPN-USER-SALES-1
Profile: ISAKMP-PROFILE
Group: VPN-GROUP-SALES
Assigned address: 172.16.0.56
Session status: UP-ACTIVE
Peer: 10.0.0.50 port 65201
  Session ID: 0
  IKEv1 SA: local 10.0.0.254/500 remote 10.0.0.50/65201 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 172.16.0.56
        Active SAs: 2, origin: crypto map

и видно, что на маршрутизаторе появился новый виртуальный туннельный интерфейс Virtual-Access1:

Router#show ip interface brief
Interface                       IP-Address           OK?      Method      Status              Protocol
GigabitEthernet1       192.168.0.254       YES       manual        up                    up
GigabitEthernet2       10.0.0.254             YES       manual        up                    up
GigabitEthernet3       unassigned          YES       NVRAM        down              down
Loopback0                   172.16.0.1             YES       manual        up                    up
Virtual-Access1          172.16.0.1             YES        unset            up                   up
Virtual-Template1     172.16.0.1            YES        unset            up                    down

Добавить комментарий