IKEv2 IPv6 Site-to-Site Tunnel configureren tussen ASA en FTD
Inleiding
Dit document bevat een configuratievoorbeeld voor het instellen van een IPv6-site-naar-site-tunnel tussen een ASA (Adaptive Security Appliance) en FTD (Firepower Threat Defense) met behulp van het protocol Internet Key Exchange versie 2 (IKEv2). De installatie omvat end-to-end IPv6-netwerkconnectiviteit met ASA en FTD als VPN-terminerende apparaten.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Fundamentele kennis van ASA CLI-configuratie
- Fundamentele kennis van IKEv2- en IPSEC-protocollen
- Inzicht in IPv6-adressering en -routering
- Basiskennis van FTD-configuratie via FMC
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco ASAv met 9.6.(4)12
- Cisco FTDv met 6.5.0
- Cisco FMCv met 6.6.0
Configureren
Netwerkdiagram
ASA-configuratie
In dit gedeelte wordt de configuratie beschreven die vereist is voor de ASA.
Stap 1. Configureer de ASA interfaces.
interface GigabitEthernet0/0
nameif outside
security-level 0
ipv6 address 2001:bbbb::1/64
ipv6 enable
interface GigabitEthernet0/1
nameif inside
security-level 100
ipv6 address 2001:aaaa::1/64
ipv6 enable
Stap 2. Stel een IPv6-standaardroute in.
ipv6 route outside ::/0 2001:bbbb::2
Stap 3. Configureer het IKEv2-beleid en schakel IKEv2 in op de externe interface.
crypto ikev2 policy 1
encryption aes-256
integrity sha256
group 14
prf sha256
lifetime seconds 86400
crypto ikev2 enable outside
Stap 4. De tunnelgroep configureren.
tunnel-group 2001:cccc::1 type ipsec-l2l
tunnel-group 2001:cccc::1 ipsec-attributes
ikev2 remote-authentication pre-shared-key cisco123
ikev2 local-authentication pre-shared-key cisco123
Stap 5. Maak de objecten en de Access Control List (ACL) aan om het interessante verkeer aan te passen.
object-group network local-network
network-object 2001:aaaa::/64
object-group network remote-network
network-object 2001:dddd::/64
access-list CRYPTO_ACL extended permit ip object-group local-network object-group remote-network
Stap 6. Configureer de NAT-regels (Network Address Translation) voor het interessante verkeer.
nat (inside,outside) source static local-network local-network destination static remote-network remote-network no-proxy-arp route-lookup
Stap 7. Het IKEv2 IPSec-voorstel configureren.
crypto ipsec ikev2 ipsec-proposal ikev2_aes256
protocol esp encryption aes-256
protocol esp integrity sha-1
Stap 8. Stel de Crypto Map in en pas deze toe op de externe interface.
crypto map VPN 1 match address CRYPTO_ACL
crypto map VPN 1 set peer 2001:cccc::1
crypto map VPN 1 set ikev2 ipsec-proposal ikev2_aes256
crypto map VPN 1 set reverse-route
crypto map VPN interface outside
FTD-configuratie
In deze sectie vindt u instructies voor het configureren van een FTD met behulp van FMC.
De VPN-topologie definiëren
Stap 1. Navigeer naar Apparaten > VPN > Site-to-site.
Selecteer 'VPN toevoegen' en kies 'Firepower Threat Defense Device', zoals in deze afbeelding wordt getoond.
Stap 2. Het vak 'Nieuwe VPN-topologie maken' wordt weergegeven. Geef de VPN een gemakkelijk te identificeren naam.
Netwerktopologie: Punt naar punt
IKE-versie: IKEv2
In dit voorbeeld is bij het selecteren van eindpunten knooppunt A de FTD. Node B is de ASA. Klik op de groene plusknop om apparaten aan de topologie toe te voegen.
Stap 3. Voeg de FTD toe als het eerste eindpunt.
Kies de interface waar de cryptografische kaart wordt toegepast. Het IP-adres moet automatisch worden ingevuld vanuit de apparaatconfiguratie.
Klik op het groene pluspictogram onder Beveiligde netwerken om subnetten te selecteren die via deze VPN-tunnel worden gecodeerd. In dit voorbeeld bestaat het 'Local Proxy'-netwerkobject op FMC uit het IPv6-subnet '2001: DDDD:/64'.
Met de bovenstaande stap is de FTD-eindpuntconfiguratie voltooid.
Stap 4. Klik op het groene plus-pictogram voor knooppunt B dat een ASA is in het configuratievoorbeeld. Apparaten die niet door de FMC worden beheerd, worden beschouwd als Extranet. Voeg een apparaatnaam en IP-adres toe.
Stap 5. Selecteer het groene plusteken om beveiligde netwerken toe te voegen.
Stap 6. Selecteer de ASA-subnetten die moeten worden gecodeerd en voeg ze toe aan de geselecteerde netwerken.
'Remote Proxy' is het ASA-subnet '2001: AAAA::/64' in dit voorbeeld.
IKE-parameters configureren
Stap 1. Geef onder het tabblad IKE de parameters op die u wilt gebruiken voor de eerste IKEv2-uitwisseling. Klik op het groene pluspictogram om een nieuw IKE-beleid te maken.
Stap 2. Geef in het nieuwe IKE-beleid een prioriteitsnummer op, evenals de levensduur van fase 1 van de verbinding. Deze handleiding gebruikt deze parameters voor de eerste uitwisseling:
Integriteit (SHA256),
Codering (AES-256),
PRF (SHA256), en
Diffie-Hellman Group (Groep 14).
Alle IKE-beleidsregels op het apparaat worden naar de externe peer verzonden, ongeacht wat in het geselecteerde beleidsgedeelte staat. De eerste die overeenkomt met de externe peer, wordt geselecteerd voor de VPN-verbinding.
[Optioneel] Kies welk beleid het eerst wordt verzonden met behulp van het prioriteitsveld. Prioriteit 1 wordt als eerste verzonden.
Stap 3. Nadat de parameters zijn toegevoegd, selecteert u het hierboven geconfigureerde beleid en kiest u het verificatietype.
Selecteer de optie Vooraf gedeelde handmatige sleutel. Voor deze handleiding wordt de vooraf gedeelde sleutel 'cisco123' gebruikt.
IPSEC-parameters configureren
Stap 1. Ga naar het tabblad IPsec en maak een nieuw IPsec-voorstel door op het potloodpictogram te klikken om de transformatieset te bewerken.
Stap 2. Maak een nieuw IKEv2 IPsec-voorstel door het groene pluspictogram te selecteren en voer de fase 2-parameters in zoals hieronder wordt weergegeven:
ESP-hash: SHA-1
ESP-codering: AES-256
Stap 3. Nadat het nieuwe IPsec-voorstel is gemaakt, voegt u het toe aan de geselecteerde transformatiesets.
Stap 4. Het nieuw geselecteerde IPsec-voorstel wordt nu vermeld onder de IKEv2 IPsec-voorstellen.
Indien nodig kunnen de fase 2-levensduur en PFS hier worden bewerkt. In dit voorbeeld is de levensduur ingesteld als standaard en is de PFS uitgeschakeld.
U moet de onderstaande stappen configureren om toegangscontrole te omzeilen of regels voor toegangscontrole maken om VPN-subnetten via FTD toe te staan.
toegangscontrole omzeilen
Als sysopt permit-vpn niet is ingeschakeld, moet een toegangscontrolebeleid worden gemaakt om het VPN-verkeer via het FTD-apparaat mogelijk te maken. Als sysopt permit-vpn is ingeschakeld, slaat u het maken van een toegangscontrolebeleid over. In dit configuratievoorbeeld wordt de optie "Toegangsbeheer omzeilen" gebruikt.
De parameter sysopt permit-vpn kan worden ingeschakeld onder Geavanceerd > Tunnel.
NAT-vrijstelling configureren
Configureer een NAT-vrijstellingsverklaring voor het VPN-verkeer. NAT-vrijstelling moet worden ingesteld om te voorkomen dat VPN-verkeer overeenkomt met een andere NAT-verklaring en VPN-verkeer verkeerd vertaalt.
Stap 1. Navigeer naar Apparaten > NAT en maak een nieuw beleid door te klikken op Nieuw beleid > Threat Defense NAT.
Stap 2. Klik op Regel toevoegen.
Stap 3. Maak een nieuwe statische handleiding NAT-regel.
Verwijs naar de binnen- en buiteninterfaces voor de NAT-regel. Als u de interfaces op het tabblad Interfaceobjecten opgeeft, kunnen deze regels geen invloed hebben op het verkeer van andere interfaces.
Navigeer naar het tabblad Vertaling en selecteer de bron- en doelsubnetten. Aangezien dit een NAT-vrijstellingsregel is, moet u ervoor zorgen dat de oorspronkelijke bron/bestemming en de vertaalde bron/bestemming hetzelfde zijn.
Klik op het tabblad Geavanceerd en schakel no-proxy-arp en route-opzoeken in.
Sla deze regel op en bevestig de definitieve NAT-instructie in de NAT-lijst.
Stap 4. Zodra de configuratie is voltooid, slaat u de configuratie op en implementeert u deze in de FTD.
Verifiëren
Start interessant verkeer vanaf het LAN-systeem of u kunt de onderstaande opdracht packet-tracer uitvoeren op de ASA.
packet-tracer input inside icmp 2001:aaaa::23 128 0 2001:dddd::33 detail
Opmerking: Hier Type = 128 en Code=0 staat voor ICMPv6 "Echo Request".
In het onderstaande gedeelte worden de opdrachten beschreven die u kunt uitvoeren op ASAv of FTD LINA CLI om de status van de IKEv2-tunnel te controleren.
Dit is een voorbeeld van een output van de ASA:
ciscoasa# show crypto ikev2 sa
IKEv2 SAs:
Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
6638313 2001:bbbb::1/500 2001:cccc::1/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/224 sec
Child sa: local selector 2001:aaaa::/0 - 2001:aaaa::ffff:ffff:ffff:ffff/65535
remote selector 2001:dddd::/0 - 2001:dddd::ffff:ffff:ffff:ffff/65535
ESP spi in/out: 0xa0fd3fe6/0xd95ecdb8
ciscoasa# show crypto ipsec sa detail
interface: outside
Crypto map tag: VPN, seq num: 1, local addr: 2001:bbbb::1
access-list CRYPTO_ACL extended permit ip 2001:aaaa::/64 2001:dddd::/64
local ident (addr/mask/prot/port): (2001:aaaa::/64/0/0)
remote ident (addr/mask/prot/port): (2001:dddd::/64/0/0)
current_peer: 2001:cccc::1
#pkts encaps: 11, #pkts encrypt: 11, #pkts digest: 11
#pkts decaps: 11, #pkts decrypt: 11, #pkts verify: 11
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts invalid pad (rcv): 0,
#pkts invalid ip version (rcv): 0,
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0
local crypto endpt.: 2001:bbbb::1/500, remote crypto endpt.: 2001:cccc::1/500
path mtu 1500, ipsec overhead 94(64), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: D95ECDB8
current inbound spi : A0FD3FE6
inbound esp sas:
spi: 0xA0FD3FE6 (2700951526)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 1937408, crypto-map: VP
sa timing: remaining key lifetime (kB/sec): (4055040/28535)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0xD95ECDB8 (3646868920)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 1937408, crypto-map: VPN
sa timing: remaining key lifetime (kB/sec): (4193280/28535)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
ciscoasa# show vpn-sessiondb detail l2l filter name 2001:cccc::1
Session Type: LAN-to-LAN Detailed
Connection : 2001:cccc::1
Index : 473 IP Addr : 2001:cccc::1
Protocol : IKEv2 IPsec
Encryption : IKEv2: (1)AES256 IPsec: (1)AES256
Hashing : IKEv2: (1)SHA256 IPsec: (1)SHA1
Bytes Tx : 352 Bytes Rx : 352
Login Time : 12:27:36 UTC Sun Apr 12 2020
Duration : 0h:06m:40s
IKEv2 Tunnels: 1
IPsec Tunnels: 1
IKEv2:
Tunnel ID : 473.1
UDP Src Port : 500 UDP Dst Port : 500
Rem Auth Mode: preSharedKeys
Loc Auth Mode: preSharedKeys
Encryption : AES256 Hashing : SHA256
Rekey Int (T): 86400 Seconds Rekey Left(T): 86000 Seconds
PRF : SHA256 D/H Group : 14
Filter Name :
IPsec:
Tunnel ID : 473.2
Local Addr : 2001:aaaa::/64/0/0
Remote Addr : 2001:dddd::/64/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28400 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes
Bytes Tx : 352 Bytes Rx : 352
Pkts Tx : 11 Pkts Rx : 11
Problemen oplossen
Voer de volgende foutopsporingsopdrachten uit om problemen met de IKEv2-tunnelinstelling op te lossen met ASA en FTD:
foutopsporings-crypto-voorwaarde peer <peer IP>
Debug Crypto IKEV2 Protocol 255
Debug Crypto IKEV2 Platform 255
Hier is een voorbeeld van het werken IKEv2 debugs voor referentie:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115935-asa-ikev2-debugs.html
Referenties
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/119425-configure-ipsec-00.html
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble.html
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
12-May-2020
|
Eerste vrijgave |
Feedback