Cisco Crypto MAP IPSec Tunnels
Creare la policy per la Fase 1. In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale. Tanto lui le tenta tutte prima.
crypto isakmp policy 10 encr 3des authentication pre-share group 2
Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel
crypto isakmp key abcdefghi!111222! address x.y.z.a
Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo “Pippo”.
crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac
Creare l'access list che servirà al Cisco per stabilire come “trasformare” i pacchetti verso il tunnel. 192.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario.
ip access-list extended VPN-TO-DOVEVUOITU permit ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
All'access list che “fa la Nat” occorre specificare la stessa regola specificata sopra, in quanto occorre far si che i pacchetti verso la rete remota NON VENGANO NATTATI, ma fatti passare lo stesso, tanto vi sarà la Crypto MAP assegnata all'interfaccia (più avanti la assegneremo) che si occuperà di incapsularli.
ip access-list extended IP_NAT deny ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255 permit ip 192.168.x.x 0.0.0.255 any
Creiamo la Crypto Map vera e propria (Fase 2)
crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp set peer x.y.z.a. set transform-set 3des-sha1 set pfs group2 match address VPN-TO-DOVEVUOITU
Chiaramente, questo è solo un esempio. Di solito quando si tirano su questo tipo di Tunnel ci si mette d'accordo sul tipo di encryption usare nella fase 1 e fase 2. Se l'altro sistemistico si mostra indeciso, usare questa che va più che bene.
Finalmente, all'interfaccia su cui viene fatto l'overload della Nat, andremo ad applicare la Crypto Map.
interface Dialer0 crypto map CMAP-VPN-TO-DOVEVUOITU
ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare. Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, l'interfaccia LAN della rete locale).