Mainos / Advertisement:

IPsec

Kohteesta Taisto
Versio hetkellä 21. tammikuuta 2015 kello 11.27 – tehnyt Minh (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun
Muut kielet:
English • ‎suomi

Tehdään cisco 2811 routterista ipsec hosti.

Tietoja:

Ulkoverkkoon menevä interface: fa0/0

sisäverkkoon: fa0/1


Konffataan

Pistetään ensin verkkoliitännät kuntoon

interface FastEthernet0/0
 description *Mitä haluatkaan*
 ip address 10.10.10.2 255.255.255.0
 ip nat outside
 ipv6 ospf cost 1
 crypto map ipsecmap
interface FastEthernet0/1
 description *Mitä haluatkaan*
 ip address 192.168.100.1 255.255.255.0
 ip nat inside

Otetaan käyttöön aaa new-model yksinkertaisesti

aaa new-model

Nyt ei ole kyse mistää aa-kerhosta vaan aaa tulee sanoista (authentication-authorization-accounting) eli sitä tarvitaan usein kuin touhoutaan todennuksen kanssa.

Nyt määritellään kirjautumislähteet paikalliseksi eikä esim radiukselta.

aaa authentication login IPsecE local
aaa authorization network IPsecO local

Käsketään reititintä ehdottomasti käyttämään esp-3des esp-md5-hmac salausta.

crypto ipsec transform-set Esimerkki esp-3des esp-md5-hmac

Luodaan dynaaminen kenttä joka laittaa ipsecin käyttämään esimerkkisalausta.

crypto dynamic-map TestiMap 7
 set transform-set Esimerkki 

Tehdään isakmp käytäntö jossa määritellään yhteyden säätöjä:

crypto isakmp policy 7
 encr 3des
 authentication pre-share
 group 2

Sitten luodaan ryhmä ipseciä varten

crypto isakmp client configuration group Testaajat
 key Avain
 pool testipool
 netmask 255.255.255.0

Tehdään osoiteavaruus nimellä testipool, josta tulee osoitteet asiakkaille.

ip local pool testipool 192.168.70.20 192.168.70.30

Tehdään taas kartta ja tutkitaan mitä olemme tehneet.

crypto map ipsecmap client authentication list IpsecE
crypto map ipsecmap isakmp authorization list IpsecO
crypto map ipsecmap client configuration address respond
crypto map ipsecmap 7 ipsec-isakmp dynamic TestiMap

NAT tarvitsee vielä pistää pystyyn.

ip access-list extended nonat
 deny ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip any any
ip nat inside source list nonat interface FastEthernet0/0 overload


Tehdään vielä käyttäjä.

username johannes password 0 Qwerty1


Testataan nyt VPN:äämme

Laitetaan tiedot kohdalleen

Vpn1.jpg


Ja sisälle päästiin.

Vpn2.jpg

Mainos / Advertisement: