Mainos / Advertisement:

Ero sivun ”IPsec” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
 
(5 välissä olevaa versiota 3 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Tehdään cisco 2811 routterista ipsec hosti.
+
<languages/>
 +
<translate>
 +
<!--T:1-->
 +
Tehdään cisco 2811 routterista ipsec isäntä.
  
==== Tietoja: ====
+
==== Tietoja: ==== <!--T:2-->
 
Ulkoverkkoon menevä interface: fa0/0
 
Ulkoverkkoon menevä interface: fa0/0
  
 +
<!--T:3-->
 
sisäverkkoon: fa0/1
 
sisäverkkoon: fa0/1
  
  
==== Konffataan ====
+
==== Konffataan ==== <!--T:4-->
  
 +
<!--T:5-->
 
Pistetään ensin verkkoliitännät kuntoon
 
Pistetään ensin verkkoliitännät kuntoon
  
  interface FastEthernet0/0
+
  <!--T:6-->
 +
interface FastEthernet0/0
 
   description *Mitä haluatkaan*
 
   description *Mitä haluatkaan*
 
   ip address 10.10.10.2 255.255.255.0
 
   ip address 10.10.10.2 255.255.255.0
Rivi 18: Rivi 24:
 
   crypto map ipsecmap
 
   crypto map ipsecmap
  
  interface FastEthernet0/1
+
  <!--T:7-->
 +
interface FastEthernet0/1
 
   description *Mitä haluatkaan*
 
   description *Mitä haluatkaan*
 
   ip address 192.168.100.1 255.255.255.0
 
   ip address 192.168.100.1 255.255.255.0
 
   ip nat inside
 
   ip nat inside
  
 +
<!--T:8-->
 
Otetaan käyttöön aaa new-model yksinkertaisesti
 
Otetaan käyttöön aaa new-model yksinkertaisesti
 
  aaa new-model
 
  aaa new-model
  
Nyt ei ole kyse mistää aa-kerhosta vaan aaa tulee sanoista (authentication-authorization-accounting) eli sitä tarvitaan usein kuin touhutaan todennuksen kanssa.
+
<!--T:9-->
 +
Nyt ei ole kyse mistää aa-kerhosta vaan aaa tulee sanoista (authentication-authorization-accounting) eli sitä tarvitaan usein kuin touhoutaan todennuksen kanssa.
  
 +
<!--T:10-->
 
Nyt määritellään kirjautumislähteet paikalliseksi eikä esim radiukselta.
 
Nyt määritellään kirjautumislähteet paikalliseksi eikä esim radiukselta.
 
  aaa authentication login IPsecE local
 
  aaa authentication login IPsecE local
 
  aaa authorization network IPsecO local
 
  aaa authorization network IPsecO local
  
Käsketään routteria jämäkästi käyttämään salausta esp-3des esp-md5-hmac
+
<!--T:11-->
 +
Käsketään reititintä ehdottomasti käyttämään esp-3des esp-md5-hmac salausta.
 
  crypto ipsec transform-set Esimerkki esp-3des esp-md5-hmac
 
  crypto ipsec transform-set Esimerkki esp-3des esp-md5-hmac
  
Luodaan dynaaminen kenttä joka laittaa ipsecin käyttämään Esimerkki salausta.
+
<!--T:12-->
 +
Luodaan dynaaminen kenttä joka laittaa ipsecin käyttämään esimerkkisalausta.
 
  crypto dynamic-map TestiMap 7
 
  crypto dynamic-map TestiMap 7
 
   set transform-set Esimerkki  
 
   set transform-set Esimerkki  
  
Tehdään isakmp poliisi jossa määritellään yhteyden säätöjä
+
<!--T:13-->
 +
Tehdään isakmp käytäntö jossa määritellään yhteyden säätöjä:
 
  crypto isakmp policy 7
 
  crypto isakmp policy 7
 
   encr 3des
 
   encr 3des
Rivi 45: Rivi 58:
 
   group 2
 
   group 2
  
 +
<!--T:14-->
 
Sitten luodaan ryhmä ipseciä varten
 
Sitten luodaan ryhmä ipseciä varten
 
  crypto isakmp client configuration group Testaajat
 
  crypto isakmp client configuration group Testaajat
Rivi 51: Rivi 65:
 
   netmask 255.255.255.0
 
   netmask 255.255.255.0
  
Tehdään pooli josta tulee osoitteet asiakkaille
+
<!--T:15-->
 +
Tehdään osoiteavaruus nimellä testipool, josta tulee osoitteet asiakkaille.
 
  ip local pool testipool 192.168.70.20 192.168.70.30
 
  ip local pool testipool 192.168.70.20 192.168.70.30
  
Tehdään taas kartta ja yhdistellään palasia ja mitä nyt konffailtu ollaan niin yhteen :)
+
<!--T:16-->
 +
Tehdään taas kartta ja tutkitaan mitä olemme tehneet.
 
  crypto map ipsecmap client authentication list IpsecE
 
  crypto map ipsecmap client authentication list IpsecE
 
  crypto map ipsecmap isakmp authorization list IpsecO
 
  crypto map ipsecmap isakmp authorization list IpsecO
Rivi 60: Rivi 76:
 
  crypto map ipsecmap 7 ipsec-isakmp dynamic TestiMap
 
  crypto map ipsecmap 7 ipsec-isakmp dynamic TestiMap
  
Natti tarvii vielä lykkiä pystyyn joten pistetään se
+
<!--T:17-->
 +
NAT tarvitsee vielä pistää pystyyn.
 
  ip access-list extended nonat
 
  ip access-list extended nonat
 
   deny ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255
 
   deny ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255
 
   permit ip any any
 
   permit ip any any
  
  ip nat inside source list nonat interface FastEthernet0/0 overload
+
  <!--T:18-->
 +
ip nat inside source list nonat interface FastEthernet0/0 overload
  
  
Tehdään vielä käyttäjä
+
<!--T:19-->
 +
Tehdään vielä käyttäjä.
 
  username johannes password 0 Qwerty1
 
  username johannes password 0 Qwerty1
  
HUOM: Jh:n koti vpn salasana ei kuitenkaan ole Qwerty1 että turha koittaa XDD
 
  
 +
<!--T:20-->
 +
Testataan nyt VPN:äämme
  
Nyt ei muuta kuin testaamaan vpn
+
<!--T:21-->
 
 
 
Laitetaan tiedot kohdalleen
 
Laitetaan tiedot kohdalleen
  
 +
<!--T:22-->
 
[[Tiedosto:Vpn1.jpg]]
 
[[Tiedosto:Vpn1.jpg]]
  
  
Ja sisälle päästiin :)
+
<!--T:23-->
 +
Ja sisälle päästiin.
  
 +
<!--T:24-->
 
[[Tiedosto:Vpn2.jpg]]
 
[[Tiedosto:Vpn2.jpg]]
 +
 +
</translate>
 +
 +
[[Category:Cisco]]

Nykyinen versio 17. maaliskuuta 2017 kello 17.09

Muut kielet:
English • ‎suomi

Tehdään cisco 2811 routterista ipsec isäntä.

Tietoja:

Ulkoverkkoon menevä interface: fa0/0

sisäverkkoon: fa0/1


Konffataan

Pistetään ensin verkkoliitännät kuntoon 

interface FastEthernet0/0
 description *Mitä haluatkaan*
 ip address 10.10.10.2 255.255.255.0
 ip nat outside
 ipv6 ospf cost 1
 crypto map ipsecmap

interface FastEthernet0/1
 description *Mitä haluatkaan*
 ip address 192.168.100.1 255.255.255.0
 ip nat inside

Otetaan käyttöön aaa new-model yksinkertaisesti 

aaa new-model

Nyt ei ole kyse mistää aa-kerhosta vaan aaa tulee sanoista (authentication-authorization-accounting) eli sitä tarvitaan usein kuin touhoutaan todennuksen kanssa.

Nyt määritellään kirjautumislähteet paikalliseksi eikä esim radiukselta. 

aaa authentication login IPsecE local
aaa authorization network IPsecO local

Käsketään reititintä ehdottomasti käyttämään esp-3des esp-md5-hmac salausta. 

crypto ipsec transform-set Esimerkki esp-3des esp-md5-hmac

Luodaan dynaaminen kenttä joka laittaa ipsecin käyttämään esimerkkisalausta. 

crypto dynamic-map TestiMap 7
 set transform-set Esimerkki

Tehdään isakmp käytäntö jossa määritellään yhteyden säätöjä: 

crypto isakmp policy 7
 encr 3des
 authentication pre-share
 group 2

Sitten luodaan ryhmä ipseciä varten 

crypto isakmp client configuration group Testaajat
 key Avain
 pool testipool
 netmask 255.255.255.0

Tehdään osoiteavaruus nimellä testipool, josta tulee osoitteet asiakkaille. 

ip local pool testipool 192.168.70.20 192.168.70.30

Tehdään taas kartta ja tutkitaan mitä olemme tehneet. 

crypto map ipsecmap client authentication list IpsecE
crypto map ipsecmap isakmp authorization list IpsecO
crypto map ipsecmap client configuration address respond
crypto map ipsecmap 7 ipsec-isakmp dynamic TestiMap

NAT tarvitsee vielä pistää pystyyn. 

ip access-list extended nonat
 deny ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip any any

ip nat inside source list nonat interface FastEthernet0/0 overload


Tehdään vielä käyttäjä. 

username johannes password 0 Qwerty1


Testataan nyt VPN:äämme

Laitetaan tiedot kohdalleen

Vpn1.jpg


Ja sisälle päästiin.

Vpn2.jpg

Noudettu kohteesta ”https://taisto.org/index.php?title=IPsec&oldid=13960
Mainos / Advertisement: