(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS) Show Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi nhánh với nhau 1 cách an toàn và chi phí rẻ nhất mà không cần phải thuê Lease Line, tuy nhiên việc cấu hình trên trên các router vẫn còn tương đối phức tạp đòi hỏi người quản trị phải có 1 trình độ nhất định và được đào tạo chuyên nghiệp. Nắm bắt được điều đó, DrayTek đã phát triển 1 dòng router Vigor series, dễ cấu hình, dễ sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ giúp bạn thiết lập 1 kênh VPN giữa 2 chi nhánh 1 cách nhanh chóng và đơn giản nhất. Bài hướng dẫn này có thể áp dụng cho hầu hết các dòng Router Vigor hiện tại do DrayTek sản xuất Trừ Vigor3300 và các dòng ADSL đời cũ đã hết sản xuất. Chuẩn bị
Để thiết lập thiết bị Cisco ASA với VPN tương thích với ChromeOS, hãy sử dụng công cụ Cisco Adaptive Security Device Manager (ASDM). Lưu ý: Những hướng dẫn này giả định rằng bạn đang sử dụng ASDM phiên bản 6.4. 1. Thiết lập VPN trên thiết bị2. Kiểm tra cấu hìnhKiểm tra kết nối với OS X
3. Lưu cấu hìnhNếu cấu hình hoạt động, nhấp vào Lưu để lưu trữ cấu hình vào bộ nhớ flash của thiết bị. Thông tin này có hữu ích không?Chúng tôi có thể cải thiện trang này bằng cách nào? Nếu ta không có đường kết nối Internet thì có thể sử dụng một Switch Layer 3 giả lập môi trường Internet bằng các đặt IP trên Switch như thể hiện trong sơ đồ. Nhiệm vụ của Switch ISP giả lập môi trường Internet là đảm bảo tất cả các IP Public đều có thể giao tiếp được với nhau. Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình VPN Client to Site trên router Cisco để Remote Access từ xa. Trong bài Lab này mình sử dụng phần mềm Packet Tracert để cấu hình. VPN Client to Site là gì?IPSec VPN Client to Site là 1 công nghệ cho phép người dùng có thể sử dụng các thiết bị Laptop, Máy tính để bàn, máy tính bảng... kết nối tới công ty, chi nhánh, văn phòng.. từ bất cứ đâu có internet, để sử dụng các tài nguyên chia sẻ, quản trị hay cấu hình thiết bị từ xa. Yêu cầuMô hình mạng bao gồm 2 site HQ và BR. Mạng HQ bao gồm 2 VLAN 10 (10.0.0.0/24) và VLAN 20 (10.0.1.0/24). Mạng BR sử dụng VLAN1 172.16.1.0/24. Yêu cầu bài lap là cấu hình VPN Client to Site trên thiết bị định tuyến Router Cisco ISR4321 để client ở mạng BR có thể truy cập vào 2 VLAN của mạng HQ sử dụng IPSec và MD5. Client remote access sử dụng dải địa chỉ IP từ 192.1668.1.20 đến 192.168.1.50. IP WAN của HQ là 100.0.0.100/24 và IP Wan của BR là 100.0.0.1/24 sử dụng giao thức NAT để truy cập internet. Trong bài viết này mình đã cấu hình trước đảm bảo 2 site đều ping được ra internet. Ta có 2 site: Site1 (IP LAN: 191.168.1.0/24) và Site2 (IP LAN: 192.168.2.0/24) kết nối với Internet thông qua tường lửa Firewall Cisco ASA và cần cấu hình VPN Site-to-Site. Kịch bản mạng cụ thể như sau: Các yêu cầu của thiết lập mạng là:
Một số điểm chính cần lưu ý để thực hiện kịch bản trên là:
Cấu hình Firewall ASA1 interface GigabitEthernet0 nameif outside security-level 0 ip address 20.20.20.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 !Cho phép lưu lượng truy cập nội bộ (để vào và thoát cùng một giao diện) same-security-traffic permit intra-interface !Cấu hình các đối tượng mạng theo yêu cầu bắt buộc object network obj-local subnet 192.168.1.0 255.255.255.0 object network obj-remote subnet 192.168.2.0 255.255.255.0 object network internal-lan subnet 192.168.1.0 255.255.255.0 ! ACL cho VPN Lưu lượng truy cập, cho phép bất kỳ IP nào hướng tới Site2 access-list VPN-ACL extended permit ip any 192.168.2.0 255.255.255.0 ! Miễn NAT cho lưu lượng VPN giữa Site1 - Site2 nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote ! Cấu hình PAT cho mạng LAN cục bộ để truy cập Internet bằng giao diện bên ngoài ASA1 object network internal-lan nat (inside,outside) dynamic interface ! Cấu hình PAT cho LAN Site2 từ xa để truy cập Internet qua giao diện bên ngoài ASA1 object network obj-remote nat (outside,outside) dynamic interface ! Cấu hình VPN IPSEC Site-to-Site crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 30.30.30.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 30.30.30.1 type ipsec-l2l tunnel-group 30.30.30.1 ipsec-attributes ikev1 pre-shared-key cisco123 Cấu hình Firewall ASA2 interface GigabitEthernet0 nameif outside security-level 0 ip address 30.30.30.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! Cấu hình các đối tượng mạng bắt buộc object network obj-local subnet 192.168.2.0 255.255.255.0 object network obj-remote subnet 192.168.1.0 255.255.255.0 ! ACL cho Lưu lượng truy cập VPN, cho phép Site2 hướng tới bất kỳ IP nào. access-list VPN-ACL extended permit ip 192.168.2.0 255.255.255.0 any ! Miễn NAT cho lưu lượng VPN giữa Site2 - Site1 nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote ! Cấu hình VPN IPSEC Site-to-Site crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 20.20.20.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 20.20.20.1 type ipsec-l2l tunnel-group 20.20.20.1 ipsec-attributes ikev1 pre-shared-key cisco123 Đến đây cấu hình VPN Site-to-Site (VPN on a stick) trên 2 Site sử dụng Firewall Cisco ASA đã hoàn tất. Chúc các bạn thực hiện thành công!
* Các bước thực hiện: - Cấu hình VPN Site to Site trên site A - Cấu hình VPN Site to Site trên site B - Kiểm tra kết nối * Tiến hành cấu hình: Trước tiên, các bạn đăng nhập vào giao diện quản trị của ASA ở site A. Tiếp theo các bạn vào Configuration > Firewall > Address và chọn Add >> Network Object. Các bạn nhập IP lớp mạng trong ở site A, click OK. Tương tự, các bạn tạo những Object còn lại. Các bạn chọn Apply và send để áp dụng các thay đổi. Các bạn vào Wizard >> VPN Wizards >> Site-to-site VPN Wizard để mở giao diện cài đặt VPN. Ở màn hình Setup Wizard, các bạn click Next. Ở màn hình tiếp theo, các bạn nhập IP wan của ASA ở site B, chọn Interface là outsite, click Next. Màn hình tiếp theo, các bạn để như mặc định và click Next. Đến màn hình này, các bạn chọn Ipv4, Local Network là Site-A-Subnet, Remote Network là Site-B-Subnet, click Next. Tiếp theo, các bạn nhập Pre-shared Key, click Next. Ở màn hình này, cac bạn để mặc định, click Next. Kế tiếp, các bạn check vào những ô tùy chọn, click Next. Ở bước Summary, các bạn click Finish. Các bạn click send để thực thi các lệnh trên ASA. Trở về màn hình configuration, ta sẽ thấy một VPN connection profile được tạo ra. Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi. Các bạn chọn Send để thực thi các lệnh. Như vây, chúng ta đã hoàn tất cấu hình ở Site A. Thực hiện tương tự trên Site B, các bạn vào giao diện quản trị như bên dưới. Các bạn tạo các Network Object sau. Các bạn click Apply và Send để lưu các thay đổi. Bước tiếp theo, các bạn nhập IP Wan của ASA ở Site A à chọn Interface là outsite. Tiếp theo, các bạn chọn IP type là IPv4, Local Network là Site-B-Subnet, Remote Network là Site-A-Subnet. Bước kế tiếp, cac bạn nhập Pre-shared key và click Next. Kế tiếp, các bạn check chọn các check box và click next. Các bạn xem lại các thông tin đã cấu hình và click Finish. Các bạn click Send để thực thi các lệnh. Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi. Tiếp theo, các bạn click Send để thực thi các lệnh. Cuối cùng, các bạn kiểm tra kết nối giữa 2 site bằng lệnh Ping. Đến đây, các bước cấu hình VPN site to site trên Firewall Cisco ASA đã hoàn tất. Chúc các bạn thành công!Trong bài viết này mình sẽ hướng dẩn các bạn cấu hình VPN IPSec, cụ thể là cấu hình VPN Site to site trên Firewall Cisco ASA Ta sẽ sử dụng mô hình sau: Trong mô hình trên, yêu cầu đặt ra là thiết lập một VPN tunnel để bảo vệ traffic từ PC1 đi đến PC2. Trước khi có thể cấu hình VPN thì ta cần phải có đầy đủ các thông tin sau :
Trong bài này, chúng ta sẽ sử dụng các thông tin sau cho VPN tunnel :
Trước tiên ta sẽ bật IKE trên interface outside1 và cấu hình IKE Phase 1 policies. IKE có 2 version là IKEv1 và IKEv2. Ở đây ta sử dụng IKEv1: |