FBLab.it Wiki

Strumenti Utente

Strumenti Sito

Traccia:
cisco:cryptoipsec

Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

Link a questa pagina di confronto

Prossima revisione		Revisione precedente
cisco:cryptoipsec [07/03/2014 14:01] – creata djbx83cisco:cryptoipsec [28/03/2024 22:24] (versione attuale) – modifica esterna 127.0.0.1
Linea 1: Linea 1:
-crypto isakmp policy 10 +[[:start|Torna all'inizio]] | [[cisco:index|Torna su]]
- encr 3des +
- authentication pre-share +
- group 2+
  
-crypto isakmp key Ga13r4zo12! address 195.72.202.26+====== Cisco Crypto MAP IPSec Tunnels ======
  
-!Il nome del SET è arbitrario +Creare la policy per la Fase 1. 
-crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac+In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale. 
 +Tanto lui le tenta tutte prima.
  
-ip access-list extended VPN-TO-GAIERA +  crypto isakmp policy 10 
- permit ip 192.168.20.0 192.168.1.0+   encr 3des 
 +   authentication pre-share 
 +   group 2
  
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! +Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel
-!!! DA APPLICARE ALL'ACL che fa l'overload (nat) ! +
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!+
  
-!ip access-list extended IP_NAT +  crypto isakmp key abcdefghi!111222address x.y.z.a
-! deny   ip LOCAL_NET REMOTE_NET +
-permit ip LOCAL_NET any+
  
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!+Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo "Pippo".
  
-crypto map CMAP-VPN-TO-GAIERA 10 ipsec-isakmp +  crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac
- set peer 195.72.202.26 +
- set transform-set 3des-sha1 +
- set pfs group2 +
- match address VPN-TO-GAIERA+
  
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! +Creare l'access list che servirà al Cisco per stabilire come "trasformare" i pacchetti verso il tunnel. 
-!!! DA APPLICARE ALL'INTERFACCIA SU CUI VIENE FATTO L'OVERLOAD (nat) !  +192.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario.
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!+
  
-interface Dialer0 +  ip access-list extended VPN-TO-DOVEVUOITU 
- crypto map CMAP-VPN-CASA-MADRE+   permit ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255 
 +    
 +All'access list che "fa la Nat" occorre specificare la stessa regola specificata sopra, in quanto occorre far si che i pacchetti verso la rete remota NON VENGANO NATTATI, ma fatti passare lo stesso, tanto vi sarà la Crypto MAP assegnata all'interfaccia (più avanti la assegneremo) che si occuperà di incapsularli. 
  
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!+  ip access-list extended IP_NAT 
 +   deny   ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255 
 +   permit ip 192.168.x.x 0.0.0.255 any 
 + 
 +Creiamo la Crypto Map vera e propria (Fase 2) 
 + 
 +  crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp 
 +   set peer x.y.z.a. 
 +   set transform-set 3des-sha1 
 +   set pfs group2 
 +   match address VPN-TO-DOVEVUOITU 
 + 
 +Chiaramente, questo è solo un esempio. Di solito quando si tirano su questo tipo di Tunnel ci si mette d'accordo sul tipo di encryption usare nella fase 1 e fase 2. 
 +Se l'altro sistemistico si mostra indeciso, usare questa che va più che bene. 
 + 
 +Finalmente, all'interfaccia su cui viene fatto l'overload della Nat, andremo ad applicare la Crypto Map. 
 + 
 +  interface Dialer0 
 +   crypto map CMAP-VPN-TO-DOVEVUOITU 
 + 
 +ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare. 
 +Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, l'interfaccia LAN della rete locale).
cisco/cryptoipsec.1394197276.txt.gz · Ultima modifica: (modifica esterna)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki