Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando um IPsec entre duas PIXes com acesso do cliente VPN 4.x

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento ilustra dois dispositivos do firewall PIX segura Cisco que executam um túnel simples VPN do PIX1 ao PIX2 sobre uma rede pública usando o IPsec. Um Cisco VPN Client 4.x conecta ao PIX1. A configuração usa as chaves pré-compartilhada (curingas para o IPs dos clientes), e a configuração de modo para os clientes.

Nota:  O cliente VPN pode alcançar o LAN atrás do PIX1, mas não o LAN atrás do PIX2. O PIX não reorienta o tráfego.

Pré-requisitos

Requisitos

Para que o IPsec trabalhe, você deve ter estabelecido a Conectividade do ponto final de túnel ao ponto final de túnel antes que você comece esta configuração.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 6.3 (1) do PIX Firewall

    Nota: O comando show version deve mostrar que a criptografia está permitida.

  • Versão 4.0.2 (A) do cliente VPN

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção explica como configurar o PIX a PIX e a cliente VPN 4.x.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/14092/pixpixvpn-01.gif

Configurando as PIXes

Este documento utiliza as seguintes configurações:

Configuração PIX1
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-1
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the Network Address Translation (NAT) process.

access-list 100 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0

!--- Include traffic in the encryption process.

access-list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.154 255.255.255.0
ip address inside 10.2.2.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool test 192.168.1.1-192.168.1.25
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00timeout conn 1:00:00 
   half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 30 set transform-set myset

!--- Use the crypto-map sequence 10 command for PIX to PIX.

crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset

!--- Use the crypto-map sequence 65000 command for PIX to VPN Client.

crypto map newmap 65000 ipsec-isakmp dynamic dynmap
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.153 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5

!--- Internet Security Association and Key Management Protocol (ISAKMP) policy
!--- for a VPN Client running 3.x code and later needs to be Diffie-Hellman (DH)
!--- group 2 or above (group 1 is default).

isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- IPSec group configuration for VPN Client.

vpngroup vpn3000 address-pool test
vpngroup vpn3000 dns-server 10.2.2.2
vpngroup vpn3000 wins-server 10.2.2.2
vpngroup vpn3000 default-domain cisco.com
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:0527568558f8f0a4017a2db377a36cc2
: end
[OK]

Configuração PIX2
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-2
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the NAT process.

access-list 100 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.153 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map newmap 10 ipsec-isakmp

!--- Include traffic in the encryption process.

crypto map newmap 10 match address 100
crypto map newmap 10 set peer 172.18.124.154
crypto map newmap 10 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.154 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:6d2f51a85d4f8a7991b62183fcc2836c
: end
[OK]

Configurando o cliente de VPN

Termine estas etapas a fim configurar o cliente VPN:

  1. Inicie o VPN Client e, em seguida, clique em New para criar uma nova conexão.

  2. Incorpore a informação inicial para a entrada, tal como o nome, o host, e a senha.

    • No campo de entrada de conexão, atribua um nome a sua entrada.

    • No campo do host, incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface pública do PIX para conexões.

    • Sob a autenticação do grupo, entre no nome do grupo e no group password, e incorpore então a senha outra vez para confirmá-la.

    Clique a salvaguarda quando você é terminado.

    /image/gif/paws/14092/pixpixvpn-02.gif

  3. Selecione a entrada de conexão que você criou, e clique-a então conectam a fim conectar ao PIX.

    /image/gif/paws/14092/pixpixvpn-03.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verifique números de sequência do crypto map

Se os pares estáticos e dinâmicos são configurados no mesmo mapa de criptografia, a ordem das entradas do mapa de criptografia é muito importante. O número de seqüência da entrada do mapa de criptografia dinâmico deve ser mais alto do que todas as outras entradas do mapa estático de criptografia. Se as entradas estáticas são numeradas mais altamente do que a entrada dinâmica, as conexões com aqueles pares falham.

Este é um exemplo de um crypto map corretamente numerado que contenha uma entrada estática e uma entrada dinâmica. Note que a entrada dinâmica tem o número de seqüência mais alto e a sala foi adicionada à entrada adicional estática:

crypto dynamic-map dynmap 30 set transform-set myset
crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset
crypto map newmap 65000 ipsec-isakmp dynamic dynmap

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Você pode usar estes comandos no PIX com o logging monitor debugging ou ser executado dos comandos logging console debugging:

  • IPsec do debug crypto — Debuga o processamento de IPSec.

  • isakmp do debug crypto — Debuga o processamento de ISAKMP.

No cliente VPN, traga acima o indicador do log no indicador da esquerda mais baixa.

Limpando associações de segurança (SAs)

No modo de configuração do PIX, use estes comandos:

  • clear [crypto] ipsec sa — Suprime das associações de segurança do IPSec ativo. As palavras-chave crypto são opcionais.

  • clear [crypto] isakmp sa — Suprime das associações de segurança do IKE ativo. As palavras-chave crypto são opcionais.

No cliente VPN, você pode selecionar a aba do log para ver as entradas de registro.

Nota: Para que o IPsec trabalhe, o ponto final de túnel à conectividade de ponto final de túnel é exigido antes que você comece esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 14092