Il explique comment créer un tunnel IPSec avec des clés pré-partagées afin de joindre deux réseaux privés : le réseau privé 192.168.1.x interne au routeur Cisco et le réseau privé 10.32.50.x interne au Pare-feu checkpoint.
Cet exemple de configuration suppose que le trafic provenant du routeur et du point de contrôle vers Internet (représenté ici par les réseaux 172.18.124.x) circule avant que vous ne commenciez la configuration.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Routeur Cisco 3600
Logiciel Cisco IOS® (C3640-JO3S56I-M), version 12.1(5)T, VERSION LOGICIELLE (fc1)
Pare-feu Checkpoint 4.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Utilisez l’outil de recherche de commandes (clients inscrits seulement) pour en savoir plus sur les commandes figurant dans le présent document.
Ce document utilise la configuration réseau suivante :
Ce document utilise les configurations suivantes.
Configuration du routeur Cisco 3600 |
---|
Current configuration : 1608 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname cisco_endpoint ! logging rate-limit console 10 except errors ! ip subnet-zero ! no ip finger ! ip audit notify log ip audit po max-events 100 ! !--- Internet Key Exchange (IKE) configuration crypto isakmp policy 1 authentication pre-share crypto isakmp key ciscorules address 172.18.124.157 ! !--- IPsec configuration crypto ipsec transform-set rtpset esp-des esp-sha-hmac ! crypto map rtp 1 ipsec-isakmp set peer 172.18.124.157 set transform-set rtpset match address 115 ! call rsvp-sync cns event-service server ! controller T1 1/0 ! controller T1 1/1 ! interface Ethernet0/0 ip address 172.18.124.35 255.255.255.240 ip nat outside no ip mroute-cache half-duplex crypto map rtp ! interface Ethernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! ip kerberos source-interface any ip nat pool INTERNET 172.18.124.36 172.18.124.36 netmask 255.255.255.240 ip nat inside source route-map nonat pool INTERNET ip classless ip route 0.0.0.0 0.0.0.0 172.18.124.34 no ip http server ! access-list 101 deny ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255 access-list 115 deny ip 192.168.1.0 0.0.0.255 any route-map nonat permit 10 match ip address 101 ! dial-peer cor custom ! line con 0 transport input none line aux 0 line vty 0 4 login ! end |
Complétez ces étapes pour configurer le pare-feu Checkpoint.
Les durées de vie par défaut d'IKE et d'IPsec étant différentes selon les fournisseurs, sélectionnez Properties > Encryption pour définir les durées de vie de Checkpoint en accord avec les valeurs par défaut de Cisco.
La durée de vie IKE par défaut de Cisco est de 86400 secondes (= 1 440 minutes) et peut être modifiée par les commandes suivantes :
crypto isakmp policy #
durée de vie
La durée de vie configurable de Cisco IKE est comprise entre 60 et 86400 secondes. La durée de vie IPsec par défaut de Cisco est de 3600 secondes, et elle peut être modifiée par la commande crypto ipsec security-association lifetime secondes #.
La durée de vie configurable de Cisco IPsec est comprise entre 120 et 86400 secondes.
Sélectionnez Manage > Network objects > New (or Edit) > Network pour configurer l'objet pour le réseau interne (appelé « cpinside ») derrière le point de contrôle.
Cela devrait correspondre au réseau de destination (deuxième) dans la commande Cisco access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255.
Sélectionnez Interne sous Emplacement.
Sélectionnez Manage > Network objects > Edit pour modifier l'objet pour le point de contrôle RTPCPVPN (passerelle) vers lequel le routeur Cisco pointe dans la commande set peer 172.18.124.157.
Sélectionnez Interne sous Emplacement. Dans Type, sélectionnez Passerelle. Sous Modules installés, activez la case à cocher VPN-1 & FireWall-1, ainsi que la case à cocher Management Station :
Sélectionnez Manage > Network objects > New > Network pour configurer l'objet pour le réseau externe (appelé « inside_cisco » ) derrière le routeur Cisco.
Cela doit correspondre au réseau source (premier) dans la commande Cisco access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255.
Sélectionnez Externe sous Emplacement.
Sélectionnez Manage > Network objects > New > Workstation pour ajouter un objet pour la passerelle de routeur Cisco externe (appelé « cisco_endpoint »). Il s'agit de l'interface Cisco à laquelle la commande crypto map name est appliquée.
Sélectionnez Externe sous Emplacement. Dans Type, sélectionnez Passerelle.
Remarque : ne cochez pas la case VPN-1/FireWall-1.
Sélectionnez Manage > Network objects > Edit pour modifier l'onglet VPN du point de terminaison de la passerelle Checkpoint (appelé « RTPCPVPN »). Sous Domaine, sélectionnez Autre, puis sélectionnez l'intérieur du réseau de point de contrôle (appelé « cpinside ») dans la liste déroulante. Sous Schémas de cryptage définis, sélectionnez IKE, puis cliquez sur Edit.
Modifiez les propriétés IKE du cryptage DES pour qu'elles correspondent aux commandes suivantes :
crypto isakmp policy #
des de cryptage
Remarque : le cryptage DES est la valeur par défaut et n'est donc pas visible dans la configuration Cisco.
Remplacez les propriétés IKE par le hachage SHA1 pour accepter les commandes suivantes :
crypto isakmp policy #
sha haché
Remarque : l'algorithme de hachage SHA est l'algorithme par défaut et n'est donc pas visible dans la configuration Cisco.
Modifiez ces paramètres :
Désélectionnez le mode agressif.
Cochez Prend en charge les sous-réseaux.
Cochez Pre-Shared Secret sous Authentication Method. Ceci est en accord avec ces commandes :
crypto isakmp policy #
pré-partage d'authentification
Cliquez sur Edit Secrets pour définir la clé pré-partagée en accord avec la commande Cisco crypto isakmp key key address address :
Sélectionnez Manage > Network objects > Edit pour modifier l'onglet VPN « cisco_endpoint ». Sous Domaine, sélectionnez Autre, puis sélectionnez l'intérieur du réseau Cisco (appelé « inside_cisco »). Sous Schémas de cryptage définis, sélectionnez IKE, puis cliquez sur Edit.
Modifiez les propriétés IKE du cryptage DES pour qu'elles correspondent aux commandes suivantes :
crypto isakmp policy #
des de cryptage
Remarque : le cryptage DES est la valeur par défaut et n'est donc pas visible dans la configuration Cisco.
Remplacez les propriétés IKE par le hachage SHA1 pour accepter les commandes suivantes :
crypto isakmp policy #
sha haché
Remarque : l'algorithme de hachage SHA est l'algorithme par défaut et n'est donc pas visible dans la configuration Cisco.
Modifiez ces paramètres :
Désélectionnez le mode agressif.
Cochez Prend en charge les sous-réseaux.
Cochez Pre-Shared Secret sous Authentication Method. Ceci est en accord avec ces commandes :
crypto isakmp policy #
pré-partage d'authentification
Cliquez sur Edit Secrets pour configurer la clé pré-partagée pour qu'elle soit en accord avec la commande crypto isakmp key key address address Cisco.
Dans la fenêtre Éditeur de stratégie, insérez une règle avec Source et Destination comme "inside_cisco" et "cpinside" (bidirectionnel). Définissez Service=Any, Action=Encrypt et Track=Long.
Cliquez sur l'icône Encrypt verte et sélectionnez Edit properties pour configurer les stratégies de cryptage sous l'en-tête Action.
Sélectionnez IKE, puis cliquez sur Edit.
Dans la fenêtre Propriétés IKE, modifiez ces propriétés pour qu'elles correspondent aux transformations Cisco IPsec dans la commande crypto ipsec transform-set rtpset esp-des esp-sha-hmac :
Sous Transform, sélectionnez Encryption + Data Integrity (ESP). L'algorithme de chiffrement doit être DES, l'intégrité des données doit être SHA1, et la passerelle d'homologue autorisée doit être la passerelle de routeur externe (appelée « cisco_endpoint »). Click OK.
Après avoir configuré le point de contrôle, sélectionnez Policy > Install dans le menu Checkpoint pour que les modifications prennent effet.
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show crypto isakmp sa : affiche toutes les associations de sécurité IKE actuelles au niveau d'un homologue.
show crypto ipsec sa : affiche les paramètres utilisés par les associations de sécurité actuelles.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.
debug crypto engine : affiche les messages de débogage sur les moteurs de chiffrement, qui effectuent le chiffrement et le déchiffrement.
debug crypto isakmp—Affichage de messages d'événements IKE.
debug crypto ipsec — Affiche des événements IPsec.
clear crypto isakmp : efface toutes les connexions IKE actives.
clear crypto sa : efface toutes les SA IPsec.
Lorsque plusieurs réseaux internes adjacents sont configurés dans le domaine de cryptage du point de contrôle, le périphérique peut les résumer automatiquement en fonction du trafic intéressant. Si le routeur n'est pas configuré pour correspondre, le tunnel risque d'échouer. Par exemple, si les réseaux internes 10.0.0.0 /24 et 10.0.1.0 /24 sont configurés pour être inclus dans le tunnel, ils peuvent être résumés en 10.0.0.0 /23.
Le suivi ayant été défini sur Long dans la fenêtre de l'Éditeur de stratégies, le trafic refusé doit apparaître en rouge dans la Visionneuse de journaux. Un débogage plus détaillé peut être obtenu avec :
C:\WINNT\FW1\4.1\fwstop C:\WINNT\FW1\4.1\fw d -d
et dans une autre fenêtre :
C:\WINNT\FW1\4.1\fwstart
Remarque : il s'agissait d'une installation de Microsoft Windows NT.
Exécutez ces commandes pour effacer les SA sur le point de contrôle :
fw tab -t IKE_SA_table -x fw tab -t ISAKMP_ESP_table -x fw tab -t inbound_SPI -x fw tab -t ISAKMP_AH_table -x
Répondez yes à la question Are you sure ? activer.
Configuration register is 0x2102 cisco_endpoint#debug crypto isakmp Crypto ISAKMP debugging is on cisco_endpoint#debug crypto isakmp Crypto IPSEC debugging is on cisco_endpoint#debug crypto engine Crypto Engine debugging is on cisco_endpoint# 20:54:06: IPSEC(sa_request): , (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 3600s and 4608000kb, spi= 0xA29984CA(2727969994), conn_id= 0, keysize= 0, flags= 0x4004 20:54:06: ISAKMP: received ke message (1/1) 20:54:06: ISAKMP: local port 500, remote port 500 20:54:06: ISAKMP (0:1): beginning Main Mode exchange 20:54:06: ISAKMP (0:1): sending packet to 172.18.124.157 (I) MM_NO_STATE 20:54:06: ISAKMP (0:1): received packet from 172.18.124.157 (I) MM_NO_STATE 20:54:06: ISAKMP (0:1): processing SA payload. message ID = 0 20:54:06: ISAKMP (0:1): found peer pre-shared key matching 172.18.124.157 20:54:06: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy 20:54:06: ISAKMP: encryption DES-CBC 20:54:06: ISAKMP: hash SHA 20:54:06: ISAKMP: default group 1 20:54:06: ISAKMP: auth pre-share 20:54:06: ISAKMP (0:1): atts are acceptable. Next payload is 0 20:54:06: CryptoEngine0: generate alg parameter 20:54:06: CRYPTO_ENGINE: Dh phase 1 status: 0 20:54:06: CRYPTO_ENGINE: Dh phase 1 status: 0 20:54:06: ISAKMP (0:1): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR 20:54:06: ISAKMP (0:1): sending packet to 172.18.124.157 (I) MM_SA_SETUP 20:54:06: ISAKMP (0:1): received packet from 172.18.124.157 (I) MM_SA_SETUP 20:54:06: ISAKMP (0:1): processing KE payload. message ID = 0 20:54:06: CryptoEngine0: generate alg parameter 20:54:06: ISAKMP (0:1): processing NONCE payload. message ID = 0 20:54:06: ISAKMP (0:1): found peer pre-shared key matching 172.18.124.157 20:54:06: CryptoEngine0: create ISAKMP SKEYID for conn id 1 20:54:06: ISAKMP (0:1): SKEYID state generated 20:54:06: ISAKMP (1): ID payload next-payload : 8 type : 1 protocol : 17 port : 500 length : 8 20:54:06: ISAKMP (1): Total payload length: 12 20:54:06: CryptoEngine0: generate hmac context for conn id 1 20:54:06: ISAKMP (0:1): sending packet to 172.18.124.157 (I) MM_KEY_EXCH 20:54:06: ISAKMP (0:1): received packet from 172.18.124.157 (I) MM_KEY_EXCH 20:54:06: ISAKMP (0:1): processing ID payload. message ID = 0 20:54:06: ISAKMP (0:1): processing HASH payload. message ID = 0 20:54:06: CryptoEngine0: generate hmac context for conn id 1 20:54:06: ISAKMP (0:1): SA has been authenticated with 172.18.124.157 20:54:06: ISAKMP (0:1): beginning Quick Mode exchange, M-ID of 1855173267 20:54:06: CryptoEngine0: generate hmac context for conn id 1 20:54:06: ISAKMP (0:1): sending packet to 172.18.124.157 (I) QM_IDLE 20:54:06: CryptoEngine0: clear dh number for conn id 1 20:54:06: ISAKMP (0:1): received packet from 172.18.124.157 (I) QM_IDLE 20:54:06: CryptoEngine0: generate hmac context for conn id 1 20:54:06: ISAKMP (0:1): processing HASH payload. message ID = 1855173267 20:54:06: ISAKMP (0:1): processing SA payload. message ID = 1855173267 20:54:06: ISAKMP (0:1): Checking IPSec proposal 1 20:54:06: ISAKMP: transform 1, ESP_DES 20:54:06: ISAKMP: attributes in transform: 20:54:06: ISAKMP: encaps is 1 20:54:06: ISAKMP: SA life type in seconds 20:54:06: ISAKMP: SA life duration (basic) of 3600 20:54:06: ISAKMP: SA life type in kilobytes 20:54:06: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 20:54:06: ISAKMP: authenticator is HMAC-SHA 20:54:06: validate proposal 0 20:54:06: ISAKMP (0:1): atts are acceptable. 20:54:06: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 172.18.124.157, src= 172.18.124.35, dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 20:54:06: validate proposal request 0 20:54:06: ISAKMP (0:1): processing NONCE payload. message ID = 1855173267 20:54:06: ISAKMP (0:1): processing ID payload. message ID = 1855173267 20:54:06: ISAKMP (0:1): processing ID payload. message ID = 1855173267 20:54:06: CryptoEngine0: generate hmac context for conn id 1 20:54:06: ipsec allocate flow 0 20:54:06: ipsec allocate flow 0 20:54:06: ISAKMP (0:1): Creating IPSec SAs 20:54:06: inbound SA from 172.18.124.157 to 172.18.124.35 (proxy 10.32.50.0 to 192.168.1.0) 20:54:06: has spi 0xA29984CA and conn_id 2000 and flags 4 20:54:06: lifetime of 3600 seconds 20:54:06: lifetime of 4608000 kilobytes 20:54:06: outbound SA from 172.18.124.35 to 172.18.124.157 (proxy 192.168.1.0 to 10.32.50.0) 20:54:06: has spi 404516441 and conn_id 2001 and flags 4 20:54:06: lifetime of 3600 seconds 20:54:06: lifetime of 4608000 kilobytes 20:54:06: ISAKMP (0:1): sending packet to 172.18.124.157 (I) QM_IDLE 20:54:06: ISAKMP (0:1): deleting node 1855173267 error FALSE reason "" 20:54:06: IPSEC(key_engine): got a queue event... 20:54:06: IPSEC(initialize_sas): , (key eng. msg.) dest= 172.18.124.35, src= 172.18.124.157, dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), src_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 3600s and 4608000kb, spi= 0xA29984CA(2727969994), conn_id= 2000, keysize= 0, flags= 0x4 20:54:06: IPSEC(initialize_sas): , (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 3600s and 4608000kb, spi= 0x181C6E59(404516441), conn_id= 2001, keysize= 0, flags= 0x4 20:54:06: IPSEC(create_sa): sa created, (sa) sa_dest= 172.18.124.35, sa_prot= 50, sa_spi= 0xA29984CA(2727969994), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 2000 20:54:06: IPSEC(create_sa): sa created, (sa) sa_dest= 172.18.124.157, sa_prot= 50, sa_spi= 0x181C6E59(404516441), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 2001 cisco_endpoint#sho cry ips sa interface: Ethernet0/0 Crypto map tag: rtp, local addr. 172.18.124.35 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.32.50.0/255.255.255.0/0/0) current_peer: 172.18.124.157 PERMIT, flags={origin_is_acl,} #pkts encaps: 14, #pkts encrypt: 14, #pkts digest 14 #pkts decaps: 14, #pkts decrypt: 14, #pkts verify 14 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0, #send errors 1, #recv errors 0 local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157 path mtu 1500, media mtu 1500 current outbound spi: 181C6E59 inbound esp sas: spi: 0xA29984CA(2727969994) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: rtp --More-- sa timing: remaining key lifetime (k/sec): (4607998/3447) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x181C6E59(404516441) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: rtp sa timing: remaining key lifetime (k/sec): (4607997/3447) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: cisco_endpoint#show crypto isakmp sa dst src state conn-id slot 172.18.124.157 172.18.124.35 QM_IDLE 1 0 cisco_endpoint#exit
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
17-Oct-2001 |
Première publication |