Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

--- cisco:cryptoipsec [07/03/2014 14:01] – creata djbx83
+++ cisco:cryptoipsec [28/03/2024 22:24] (versione attuale) – modifica esterna 127.0.0.1
@@ Linea 1: / Linea 1: @@
-crypto isakmp policy 10
+[[:start|Torna all'inizio]] | [[cisco:index|Torna su]]
- encr 3des
- authentication pre-share
- group 2
-crypto isakmp key Ga13r4zo12! address 195.72.202.26
+====== Cisco Crypto MAP IPSec Tunnels ======
-!Il nome del SET è arbitrario
+Creare la policy per la Fase 1.
-crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac
+In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale.
+Tanto lui le tenta tutte prima.
-ip access-list extended VPN-TO-GAIERA
+  crypto isakmp policy 10
- permit ip 192.168.20.0 192.168.1.0
+   encr 3des
+   authentication pre-share
+   group 2
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel
-!!! DA APPLICARE ALL'ACL che fa l'overload (nat) !
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
-!ip access-list extended IP_NAT
+  crypto isakmp key abcdefghi!111222! address x.y.z.a
-! deny   ip LOCAL_NET REMOTE_NET
-! permit ip LOCAL_NET any
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo "Pippo".
-crypto map CMAP-VPN-TO-GAIERA 10 ipsec-isakmp
+  crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac
- set peer 195.72.202.26
- set transform-set 3des-sha1
- set pfs group2
- match address VPN-TO-GAIERA
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+Creare l'access list che servirà al Cisco per stabilire come "trasformare" i pacchetti verso il tunnel.
-!!! DA APPLICARE ALL'INTERFACCIA SU CUI VIENE FATTO L'OVERLOAD (nat) !
+.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario.
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
-interface Dialer0
+  ip access-list extended VPN-TO-DOVEVUOITU
- crypto map CMAP-VPN-CASA-MADRE
+   permit ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
+All'access list che "fa la Nat" occorre specificare la stessa regola specificata sopra, in quanto occorre far si che i pacchetti verso la rete remota NON VENGANO NATTATI, ma fatti passare lo stesso, tanto vi sarà la Crypto MAP assegnata all'interfaccia (più avanti la assegneremo) che si occuperà di incapsularli.
-!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+  ip access-list extended IP_NAT
+   deny   ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
+   permit ip 192.168.x.x 0.0.0.255 any
+Creiamo la Crypto Map vera e propria (Fase 2)
+  crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp
+   set peer x.y.z.a.
+   set transform-set 3des-sha1
+   set pfs group2
+   match address VPN-TO-DOVEVUOITU
+Chiaramente, questo è solo un esempio. Di solito quando si tirano su questo tipo di Tunnel ci si mette d'accordo sul tipo di encryption usare nella fase 1 e fase 2.
+Se l'altro sistemistico si mostra indeciso, usare questa che va più che bene.
+Finalmente, all'interfaccia su cui viene fatto l'overload della Nat, andremo ad applicare la Crypto Map.
+  interface Dialer0
+   crypto map CMAP-VPN-TO-DOVEVUOITU
+ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare.
+Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, l'interfaccia LAN della rete locale).