Configuration d'un tunnel IPsec – entre un concentrateur Cisco VPN 5000 et un pare-feu Checkpoint 4.1

Introduction

Il explique comment créer un tunnel IPSec avec des clés pré-partagées afin de joindre deux réseaux privés . Il relie un réseau privé à l'intérieur du concentrateur Cisco VPN 5000 (192.168.1.x) à un réseau privé à l'intérieur du pare-feu Checkpoint 4.1 (10.32.50.x). Il est supposé que le trafic à partir du concentrateur VPN et à l'intérieur du point de contrôle vers Internet (représenté dans ce document par les réseaux 172.18.124.x) circule avant de commencer cette configuration.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Concentrateur Cisco VPN 5000

• Logiciel Cisco VPN 5000 Concentrator version 5.2.19.0001

• Pare-feu Checkpoint 4.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l’outil de recherche de commandes (clients inscrits seulement) pour en savoir plus sur les commandes figurant dans le présent document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations

Ce document utilise la configuration suivante .

[ IP Ethernet 0:0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 192.168.1.1
 
[ General ]
EthernetAddress          = 00:00:a5:e9:c8:00
DeviceType               = VPN 5002/8 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
DeviceName               = "cisco_endpoint"
IPSecGateway             = 172.18.124.34
 
[ IKE Policy ]
Protection               = SHA_DES_G2
 
[ Tunnel Partner VPN 1 ]
KeyLifeSecs              = 28800
LocalAccess              = "192.168.1.0/24"
Peer                     = "10.32.50.0/24"
BindTo                   = "ethernet 1:0"
SharedKey                = "ciscorules"
KeyManage                = Auto
Transform                = esp(sha,des)
Partner                  = 172.18.124.157
Mode                     = Main
 
[ IP VPN 1 ]
Numbered                 = Off
Mode                     = Routed
 
[ IP Ethernet 1:0 ]
IPAddress                = 172.18.124.35
SubnetMask               = 255.255.255.240
Mode                     = Routed
 
[ IP Static ]
10.32.50.0 255.255.255.0 VPN 1 1
 
Configuration size is 1131 out of 65500 bytes.

Pare-feu Checkpoint 4.1

Suivez ces étapes pour configurer le pare-feu Checkpoint 4.1.

1. Sélectionnez Propriétés > Cryptage pour définir les durées de vie IPsec Checkpoint de manière à être en accord avec la commande KeyLifeSecs = 28800 Concentrateur VPN.

   Remarque : laissez les durées de vie de Checkpoint Internet Key Exchange (IKE) par défaut.

   

2. Sélectionnez Gérer > Objets réseau > Nouveau (ou Modifier) > Réseau pour configurer l'objet pour le réseau interne (« cpinside ») derrière le point de contrôle. Ceci doit être conforme à la commande Peer = « 10.32.50.0/24" du concentrateur VPN.

   

3. Sélectionnez Manage > Network Objects > Edit pour modifier l'objet du point de terminaison de passerelle (« RTPCPVPN » Checkpoint) auquel le concentrateur VPN pointe dans la commande Partner = <ip>.

   • Sélectionnez Interne sous Emplacement.

   • Sélectionnez Gateway pour Type.

   • Vérifiez VPN-1 et FireWall-1 et Management Station sous Modules installés.

   

4. Sélectionnez Gérer > Objets réseau > Nouveau (ou Modifier) > Réseau pour configurer l'objet pour le réseau externe (« inside_cisco ») derrière le concentrateur VPN.

   Ceci doit être conforme à la commande LocalAccess = <192.168.1.0/24> Concentrateur VPN.

   

5. Sélectionnez Gérer > Objets réseau > Nouveau > Station de travail pour ajouter un objet pour la passerelle de concentrateur VPN externe (« cisco_endpoint »).

   Il s'agit de l'interface « externe » du concentrateur VPN avec connectivité au point de contrôle (dans ce document, 172.18.124.35 est l'adresse IP dans la commande IPAddress = <ip>).

   Sélectionnez Externe sous Emplacement. Sélectionnez Gateway pour Type.

   Remarque : Ne cochez pas VPN-1/FireWall-1.

   

6. Sélectionnez Gérer > Objets réseau > Modifier pour modifier l'onglet VPN du point de terminaison de passerelle Checkpoint (appelé RTPCPVPN). Sous Domaine, sélectionnez Autre, puis sélectionnez l'intérieur du réseau Checkpoint (appelé « cpinside ») dans la liste déroulante. Sous Schémas de chiffrement définis, sélectionnez IKE, puis cliquez sur Modifier.

   

7. Remplacez les propriétés IKE par le chiffrement DES et le hachage SHA1 pour accepter la commande Concentrateur VPN SHA_DES_G2.

   Note : Le « G2 » fait référence au groupe Diffie-Hellman 1 ou 2. Lors du test, il a été découvert que le Checkpoint accepte soit « G2 » soit « G1 ».

   Modifiez ces paramètres :

   1. Désélectionnez Mode agressif.

   2. Cochez Support Subnets.

   3. Cochez Pre-Shared Secret sous Authentication Method.

   

8. Cliquez sur Modifier les secrets pour définir la clé pré-partagée en accord avec la commande SharedKey = <key> Concentrateur VPN.

   

9. Sélectionnez Gérer > Objets réseau > Modifier pour modifier l'onglet VPN « cisco_endpoint ». Sous Domaine, sélectionnez Autre, puis sélectionnez l'intérieur du réseau du concentrateur VPN (appelé « inside_cisco »). Sous Schémas de chiffrement définis, sélectionnez IKE, puis cliquez sur Modifier.

   

10. Remplacez les propriétés IKE par le chiffrement DES et le hachage SHA1 pour accepter la commande Concentrateur VPN SHA_DES_G2.

    Note : Le « G2 » fait référence au groupe Diffie-Hellman 1 ou 2. Lors du test, il a été constaté que le point de contrôle accepte soit « G2 » soit « G1 ».

    Modifiez ces paramètres :

    1. Désélectionnez Mode agressif.

    2. Cochez Support Subnets.

    3. Cochez Pre-Shared Secret sous Authentication Method.

    

11. Cliquez sur Modifier les secrets pour définir la clé pré-partagée en accord avec la commande SharedKey = <key> Concentrateur VPN.

    

12. Dans la fenêtre Éditeur de stratégie, insérez une règle avec Source et Destination comme « inside_cisco » et « cpinside » (bidirectionnel). Définir Service=Any, Action=Encrypt et Track=Long.

    

13. Sous l'en-tête Action, cliquez sur l'icône Chiffrement vert et sélectionnez Modifier les propriétés pour configurer les stratégies de chiffrement.

    

14. Sélectionnez IKE, puis cliquez sur Modifier.

    

15. Dans la fenêtre Propriétés IKE, modifiez ces propriétés pour accepter la commande Transform = esp(sha,des) Concentrator VPN.

    Sous Transform, sélectionnez Encryption + Data Integrity (ESP). L'algorithme de chiffrement doit être DES, l'intégrité des données doit être SHA1 et la passerelle d'homologue autorisée doit être la passerelle de concentrateur VPN externe (appelée « cisco_endpoint »). Click OK.

    

16. Après avoir configuré le point de contrôle, sélectionnez Policy > Install dans le menu Checkpoint pour que les modifications prennent effet.

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Commandes de dépannage du concentrateur VPN 5000

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

• vpn trace dump all - Affiche des informations sur toutes les connexions VPN correspondantes, y compris des informations sur l'heure, le numéro VPN, l'adresse IP réelle de l'homologue, les scripts qui ont été exécutés, et en cas d'erreur, la routine et le numéro de ligne du code logiciel où l'erreur s'est produite.

• show system log buffer : affiche le contenu de la mémoire tampon interne du journal.

• show vpn statistics : affiche ces informations pour les utilisateurs, les partenaires et le total pour les deux. (Pour les modèles modulaires, l'affichage comprend une section pour chaque logement de module. Reportez-vous à la section Exemple de sortie de débogage.)

  • Current Active : connexions actives actuelles.

  • Dans Negot : les connexions en cours de négociation.

  • Eau élevée : nombre maximal de connexions actives simultanées depuis le dernier redémarrage.

  • Total cumulé : nombre total de connexions ayant réussi depuis le dernier redémarrage.

  • Tunnel OK : nombre de tunnels pour lesquels il n'y a pas eu d'erreur.

  • Tunnel Starts : nombre de démarrages du tunnel.

  • Tunnel Error : nombre de tunnels avec des erreurs.

• show vpn statistics verbose - Affiche les statistiques de négociation ISAKMP et beaucoup plus de statistiques de connexion actives.

Récapitulation de réseau

Lorsque plusieurs réseaux internes adjacents sont configurés dans le domaine de chiffrement sur le point de contrôle, le périphérique peut automatiquement les résumer en fonction du trafic intéressant. Si le concentrateur VPN n'est pas configuré pour correspondre, le tunnel risque d'échouer. Par exemple, si les réseaux internes 10.0.0.0 /24 et 10.0.1.0 /24 sont configurés pour être inclus dans le tunnel, ils peuvent être résumés sur 10.0.0.0 /23.

Débogage du pare-feu Checkpoint 4.1

Il s'agissait d'une installation de Microsoft Windows NT. Étant donné que le suivi a été défini pour Long dans la fenêtre Éditeur de stratégie (comme indiqué à l'étape 12), le trafic refusé doit apparaître en rouge dans la Visionneuse de journaux. Vous pouvez obtenir plus de débogage détaillé en :

C:\WINNT\FW1\4.1\fwstop
C:\WINNT\FW1\4.1\fw d -d

et dans une autre fenêtre :

C:\WINNT\FW1\4.1\fwstart

Émettez ces commandes pour effacer les associations de sécurité (SA) sur le point de contrôle :

fw tab -t IKE_SA_table -x
fw tab -t ISAKMP_ESP_table -x
fw tab -t inbound_SPI -x
fw tab -t ISAKMP_AH_table -x

Répondez oui à la question Êtes-vous sûr ? activer.

Exemple de sortie de débogage

cisco_endpoint#vpn trac dump all
         4 seconds -- stepmngr trace enabled --
   new script: lan-lan primary initiator for <no id> (start)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (start)
         38 seconds doing l2lp_init, (0 @ 0)
         38 seconds doing l2lp_do_negotiation, (0 @ 0)
   new script: ISAKMP secondary Main for lan-lan-VPN0:1:[172.18.124.157] (start)
         38 seconds doing isa_i_main_init, (0 @ 0)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (done)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (start)
         38 seconds doing isa_i_main_process_pkt_2, (0 @ 0)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (done)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (start)
         38 seconds doing isa_i_main_process_pkt_4, (0 @ 0)
manage @ 38 seconds :: lan-lan-VPN0:1:[172.18.124.157] (done)
manage @ 39 seconds :: lan-lan-VPN0:1:[172.18.124.157] (start)
         39 seconds doing isa_i_main_process_pkt_6, (0 @ 0)
         39 seconds doing isa_i_main_last_op, (0 @ 0)
   end script: ISAKMP secondary Main for lan-lan-VPN0:1:[172.18.124.157], (0 @ 0)
   next script: lan-lan primary initiator for lan-lan-VPN0:1:[172.18.124.157], (0 @ 0)
         39 seconds doing l2lp_phase_1_done, (0 @ 0)
         39 seconds doing l2lp_start_phase_2, (0 @ 0)
   new script: phase 2 initiator for lan-lan-VPN0:1:[172.18.124.157] (start)
         39 seconds doing iph2_init, (0 @ 0)
         39 seconds doing iph2_build_pkt_1, (0 @ 0)
         39 seconds doing iph2_send_pkt_1, (0 @ 0)
manage @ 39 seconds :: lan-lan-VPN0:1:[172.18.124.157] (done)
manage @ 39 seconds :: lan-lan-VPN0:1:[172.18.124.157] (start)
         39 seconds doing iph2_pkt_2_wait, (0 @ 0)
         39 seconds doing ihp2_process_pkt_2, (0 @ 0)
         39 seconds doing iph2_build_pkt_3, (0 @ 0)
         39 seconds doing iph2_config_SAs, (0 @ 0)
         39 seconds doing iph2_send_pkt_3, (0 @ 0)
         39 seconds doing iph2_last_op, (0 @ 0)
   end script: phase 2 initiator for lan-lan-VPN0:1:[172.18.124.157], (0 @ 0)
   next script: lan-lan primary initiator for lan-lan-VPN0:1:[172.18.124.157], (0 @ 0)
         39 seconds doing l2lp_open_tunnel, (0 @ 0)
         39 seconds doing l2lp_start_i_maint, (0 @ 0)
   new script: initiator maintenance for lan-lan-VPN0:1:[172.18.124.157] (start)
         39 seconds doing imnt_init, (0 @ 0)
manage @ 39 seconds :: lan-lan-VPN0:1:[172.18.124.157] (done)


cisco_endpoint#show vpn stat
 
          Current  In       High     Running  Tunnel   Tunnel   Tunnel  
          Active   Negot    Water    Total    Starts   OK       Error   
          --------------------------------------------------------------
Users     0        0        0        0        0        0        0        
Partners  1        0        1        1        1        0        0        
Total     1        0        1        1        1        0        0        
 
IOP slot 1:
 
          Current  In       High     Running  Tunnel   Tunnel   Tunnel  
          Active   Negot    Water    Total    Starts   OK       Error   
          --------------------------------------------------------------
Users     0        0        0        0        0        0        0        
Partners  0        0        0        0        0        0        0        
Total     0        0        0        0        0        0        0        

cisco_endpoint#show vpn stat verb
 
          Current  In       High     Running  Tunnel   Tunnel   Tunnel  
          Active   Negot    Water    Total    Starts   OK       Error   
          --------------------------------------------------------------
Users     0        0        0        0        0        0        0        
Partners  1        0        1        1        1        0        0        
Total     1        0        1        1        1        0        0        
 
Stats             VPN0:1
Wrapped               13
Unwrapped              9
BadEncap               0
BadAuth                0
BadEncrypt             0
rx IP                  9
rx IPX                 0
rx Other               0
tx IP                 13
tx IPX                 0
tx Other               0
IKE rekey              0
 
Input VPN pkts dropped due to no SA: 0
 
Input VPN pkts dropped due to no free queue entries: 0
 
ISAKMP Negotiation stats
Admin packets in        4
Fastswitch packets in   0
No cookie found         0
Can't insert cookie     0
Inserted cookie(L)      1
Inserted cookie(R)      0
Cookie not inserted(L)  0
Cookie not inserted(R)  0
Cookie conn changed     0
Cookie already inserted  0
Deleted cookie(L)       0
Deleted cookie(R)       0
Cookie not deleted(L)   0
Cookie not deleted(R)   0
Forwarded to RP         0
Forwarded to IOP        0
Bad UDP checksum        0
Not fastswitched        0
Bad Initiator cookie    0
Bad Responder cookie    0
Has Responder cookie    0
No Responder cookie     0
No SA                   0
Bad find conn           0
Admin queue full        0
Priority queue full     0
Bad IKE packet          0
No memory               0
Bad Admin Put           0
IKE pkt dropped         0
No UDP PBuf             0
No Manager              0
Mgr w/ no cookie        0
Cookie Scavenge Add     1
Cookie Scavenge Rem     0
Cookie Scavenged        0
Cookie has mgr err      0
New conn limited        0
 
IOP slot 1:
 
          Current  In       High     Running  Tunnel   Tunnel   Tunnel  
          Active   Negot    Water    Total    Starts   OK       Error   
          --------------------------------------------------------------
Users     0        0        0        0        0        0        0        
Partners  0        0        0        0        0        0        0        
Total     0        0        0        0        0        0        0        
 
Stats       
Wrapped     
Unwrapped   
BadEncap    
BadAuth     
BadEncrypt  
rx IP       
rx IPX      
rx Other    
tx IP       
tx IPX      
tx Other    
IKE rekey   
 
Input VPN pkts dropped due to no SA: 0
 
Input VPN pkts dropped due to no free queue entries: 0
 
ISAKMP Negotiation stats
Admin packets in        0
Fastswitch packets in   3
No cookie found         0
Can't insert cookie     0
Inserted cookie(L)      0
Inserted cookie(R)      1
Cookie not inserted(L)  0
Cookie not inserted(R)  0
Cookie conn changed     0
Cookie already inserted  0
Deleted cookie(L)       0
Deleted cookie(R)       0
Cookie not deleted(L)   0
Cookie not deleted(R)   0
Forwarded to RP         0
Forwarded to IOP        3
Bad UDP checksum        0
Not fastswitched        0
Bad Initiator cookie    0
Bad Responder cookie    0
Has Responder cookie    0
No Responder cookie     0
No SA                   0
Bad find conn           0
Admin queue full        0
Priority queue full     0
Bad IKE packet          0
No memory               0
Bad Admin Put           0
IKE pkt dropped         0
No UDP PBuf             0
No Manager              0
Mgr w/ no cookie        0
Cookie Scavenge Add     1
Cookie Scavenge Rem     0
Cookie Scavenged        0
Cookie has mgr err      0
New conn limited        0

Informations connexes

• Annonce de fin de commercialisation des concentrateurs Cisco VPN 5000
• Négociation IPSec/Protocoles IKE
• Support et documentation techniques - Cisco Systems