Hướng dẫn cấu hình vpn ipsec trên asmd

​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi nhánh với nhau 1 cách an toàn và chi phí rẻ nhất mà không cần phải thuê Lease Line, tuy nhiên việc cấu hình trên trên các router vẫn còn tương đối phức tạp đòi hỏi người quản trị phải có 1 trình độ nhất định và được đào tạo chuyên nghiệp. Nắm bắt được điều đó, DrayTek đã phát triển 1 dòng router Vigor series, dễ cấu hình, dễ sử dụng, an toàn, bảo mật và hiệu năng cao. Bài viết này sẽ giúp bạn thiết lập 1 kênh VPN giữa 2 chi nhánh 1 cách nhanh chóng và đơn giản nhất. Bài hướng dẫn này có thể áp dụng cho hầu hết các dòng Router Vigor hiện tại do DrayTek sản xuất Trừ Vigor3300 và các dòng ADSL đời cũ đã hết sản xuất.

Chuẩn bị

• 01 IP tĩnh: cần ít nhất 1 ip tĩnh public để VPN hoạt động ổn định.Nếu bạn không thuê ip tĩnh, đừng lo, bạn vẫn có thể dùng tên miền động (DDNS) Địa chỉ mạng nội bộ ở 2 chi nhánh khác lớp mạng với nhau: Công nghệ VPN đòi hỏi địa chỉ ip ở 2 site không được trùng nhau, bài viết này dùng lớp mạng 192.168.60.1/24 cho chi nhánh Hà Nội và lớp mạng 192.168.62.1/24 cho chi nhánh HCM.

Để thiết lập thiết bị Cisco ASA với VPN tương thích với ChromeOS, hãy sử dụng công cụ Cisco Adaptive Security Device Manager (ASDM).

Lưu ý: Những hướng dẫn này giả định rằng bạn đang sử dụng ASDM phiên bản 6.4.

1. Thiết lập VPN trên thiết bị

2. Kiểm tra cấu hình

Kiểm tra kết nối với OS X

1. Đăng nhập vào máy tính chạy OS X của bạn.
2. Trên màn hình, nhấp vào biểu tượng mạng không dây.
3. Ở cuối danh sách thả xuống, chọn Tùy chọn mạng mở.
4. Ở dưới cùng bên trái của hộp xuất hiện, nhấp vào dấu +.
5. Trong hộp xuất hiện:
   1. Trong danh sách "Giao diện" thả xuống, chọn VPN.
   2. Trong danh sách "Kiểu VPN" thả xuống, chọn L2TP trên IPsec.
   3. Nhấp vào Tạo.
6. Chọn VPN mới tạo của bạn từ danh sách.
7. Định cấu hình VPN:
   1. Trong trường "Địa chỉ máy chủ", nhập địa chỉ bên ngoài của máy chủ VPN.
   2. Nhập tên tài khoản (tên người dùng) đã được tạo khi bạn thiết lập VPN.
8. Nhấp vào Cài đặt xác thực.
   1. Nhập mật khẩu đã được tạo khi bạn tạo tên người dùng.
   2. Đặt Bí mật được chia sẻ thành khóa chia sẻ trước (cụm mật khẩu) hoặc chứng chỉ bạn đã sử dụng trước đây.
   3. Để trống trường "Tên nhóm".
   4. Nhấp vào OK.
9. Nhấp vào Áp dụng, sau đó nhấp vào Kết nối.
10. Nếu trạng thái hiển thị là "Đã kết nối", hãy mở một tab Chrome mới và thử mở một trang web do máy chủ cung cấp được tường lửa bảo vệ. Bạn cũng có thể mở cửa sổ dòng lệnh và sử dụng ping/SSH.

3. Lưu cấu hình

Nếu cấu hình hoạt động, nhấp vào Lưu để lưu trữ cấu hình vào bộ nhớ flash của thiết bị.

Thông tin này có hữu ích không?

Chúng tôi có thể cải thiện trang này bằng cách nào?

Nếu ta không có đường kết nối Internet thì có thể sử dụng một Switch Layer 3 giả lập môi trường Internet bằng các đặt IP trên Switch như thể hiện trong sơ đồ. Nhiệm vụ của Switch ISP giả lập môi trường Internet là đảm bảo tất cả các IP Public đều có thể giao tiếp được với nhau.

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình VPN Client to Site trên router Cisco để Remote Access từ xa. Trong bài Lab này mình sử dụng phần mềm Packet Tracert để cấu hình.

VPN Client to Site là gì?

IPSec VPN Client to Site là 1 công nghệ cho phép người dùng có thể sử dụng các thiết bị Laptop, Máy tính để bàn, máy tính bảng... kết nối tới công ty, chi nhánh, văn phòng.. từ bất cứ đâu có internet, để sử dụng các tài nguyên chia sẻ, quản trị hay cấu hình thiết bị từ xa.

Yêu cầu

Mô hình mạng bao gồm 2 site HQ và BR. Mạng HQ bao gồm 2 VLAN 10 (10.0.0.0/24) và VLAN 20 (10.0.1.0/24). Mạng BR sử dụng VLAN1 172.16.1.0/24. Yêu cầu bài lap là cấu hình VPN Client to Site trên thiết bị định tuyến Router Cisco ISR4321 để client ở mạng BR có thể truy cập vào 2 VLAN của mạng HQ sử dụng IPSec và MD5. Client remote access sử dụng dải địa chỉ IP từ 192.1668.1.20 đến 192.168.1.50.

IP WAN của HQ là 100.0.0.100/24 và IP Wan của BR là 100.0.0.1/24 sử dụng giao thức NAT để truy cập internet. Trong bài viết này mình đã cấu hình trước đảm bảo 2 site đều ping được ra internet.

Ta có 2 site: Site1 (IP LAN: 191.168.1.0/24) và Site2 (IP LAN: 192.168.2.0/24) kết nối với Internet thông qua tường lửa Firewall Cisco ASA và cần cấu hình VPN Site-to-Site.

Kịch bản mạng cụ thể như sau:

Các yêu cầu của thiết lập mạng là:

• 2 Site được kết nối với IPSEC VPN Site-to-Site qua Internet. Cả 2 Site đều sử dụng tường lửa Cisco ASA (phiên bản 9.x hoặc 8.4).
• Site1 là địa điểm trụ sở chính và Site2 là địa điểm chi nhánh ở xa.
• Các mạng LAN trên mỗi Site giao tiếp với nhau qua đường hầm IPSEC VPN.
• Các máy trong Site1 (mạng 192.168.1.0/24) có thể truy cập Internet thông qua kết nối Internet cục bộ thông qua ASA1.
• Các máy trong Site2 (mạng 192.168.2.0/24) chỉ có thể truy cập Internet qua Site1 thông qua đường hầm VPN. Mặc dù có kết nối Internet cục bộ trên Site2, các máy không được phép truy cập Internet trực tiếp. Chúng phải đến Site1 (ASA1 ) qua đường hầm VPN và sau đó dùng tường lửa ASA1 để truy cập Internet.
• Tình huống có lưu lượng truy cập VPN đi vào và thoát ra cùng một giao diện ASA được gọi là "VPN on a stick" (VPN trên một thanh). Các tình huống như trên rất hữu ích trong các trường hợp bạn muốn kiểm soát tập trung tất cả các truy cập Internet (đối với các máy trong Site chính và cả các máy trong các Site chi nhánh từ xa). Bạn có thể thực hiện lọc nội dung, bộ nhớ đệm, bảo vệ chống vi-rút, v.v. trên Site chính trung tâm và tất cả các Site khác sử dụng các tài nguyên tập trung này.

Một số điểm chính cần lưu ý để thực hiện kịch bản trên là:

• Vì các máy Site2 (địa chỉ IP Private) không được phép truy cập Internet cục bộ, bạn không được cấu hình NAT trên ASA2 để dịch các địa chỉ IP Private sang IP Public. Điều này sẽ ngăn các máy truy cập Internet.
• Trên ASA1, bạn sẽ có lưu lượng truy cập từ Site2 vào và thoát ra cùng một giao diện (giao diện outside của tường lửa). Để thực hiện điều này, bạn phải bật lưu lượng “intra-interface” trên ASA1, để lưu lượng truy cập có thể vào và thoát ra cùng một giao diện đồng thời. Có thể thực hiện việc này bằng cách sử dụng lệnh “same-security-traffic allow intra-interface”.
• Trên ASA1, bạn phải thực hiện PAT trên lưu lượng truy cập đến từ Site2 để nó có thể truy cập internet thông qua giao diện bên ngoài ASA1.
• ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA2 và cho phép 192.168.2.0 đối với “any IP”. Điều này là bắt buộc để các máy Site2 có thể truy cập Internet thông qua đường hầm VPN.
• ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA1 phải cho phép “any IP” hướng tới 192.168.2.0. Điều này là bắt buộc để lưu lượng truy cập trở lại từ các máy trên Internet có thể qua đường hầm VPN tới Site2. Bây giờ chúng ta hãy xem cấu hình trên cả ASA1 và ASA2.

Cấu hình Firewall ASA1

interface GigabitEthernet0 nameif outside security-level 0 ip address 20.20.20.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0

!Cho phép lưu lượng truy cập nội bộ (để vào và thoát cùng một giao diện)

same-security-traffic permit intra-interface

!Cấu hình các đối tượng mạng theo yêu cầu bắt buộc

object network obj-local subnet 192.168.1.0 255.255.255.0 object network obj-remote subnet 192.168.2.0 255.255.255.0 object network internal-lan subnet 192.168.1.0 255.255.255.0

! ACL cho VPN Lưu lượng truy cập, cho phép bất kỳ IP nào hướng tới Site2

access-list VPN-ACL extended permit ip any 192.168.2.0 255.255.255.0

! Miễn NAT cho lưu lượng VPN giữa Site1 - Site2

nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote

! Cấu hình PAT cho mạng LAN cục bộ để truy cập Internet bằng giao diện bên ngoài ASA1

object network internal-lan nat (inside,outside) dynamic interface

! Cấu hình PAT cho LAN Site2 từ xa để truy cập Internet qua giao diện bên ngoài ASA1

object network obj-remote nat (outside,outside) dynamic interface

! Cấu hình VPN IPSEC Site-to-Site

crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 30.30.30.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 30.30.30.1 type ipsec-l2l tunnel-group 30.30.30.1 ipsec-attributes ikev1 pre-shared-key cisco123

Cấu hình Firewall ASA2

interface GigabitEthernet0 nameif outside security-level 0 ip address 30.30.30.1 255.255.255.0 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0

! Cấu hình các đối tượng mạng bắt buộc

object network obj-local subnet 192.168.2.0 255.255.255.0 object network obj-remote subnet 192.168.1.0 255.255.255.0

! ACL cho Lưu lượng truy cập VPN, cho phép Site2 hướng tới bất kỳ IP nào.

access-list VPN-ACL extended permit ip 192.168.2.0 255.255.255.0 any

! Miễn NAT cho lưu lượng VPN giữa Site2 - Site1

nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote

! Cấu hình VPN IPSEC Site-to-Site

crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac crypto map VPNMAP 10 match address VPN-ACL crypto map VPNMAP 10 set peer 20.20.20.1 crypto map VPNMAP 10 set ikev1 transform-set TRSET crypto map VPNMAP interface outside crypto isakmp identity address crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 86400 tunnel-group 20.20.20.1 type ipsec-l2l tunnel-group 20.20.20.1 ipsec-attributes ikev1 pre-shared-key cisco123

Đến đây cấu hình VPN Site-to-Site (VPN on a stick) trên 2 Site sử dụng Firewall Cisco ASA đã hoàn tất.

Chúc các bạn thực hiện thành công!

• > Cấu hình VPN Site-to-Site trên Firewall Cisco ASA bằng ASDM

  Xin chào các bạn, trong bài viết sau đây mình sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên Firewall Cisco ASA, ta có mô hình kết nối 02 chi nhánh như sau.

* Các bước thực hiện: - Cấu hình VPN Site to Site trên site A - Cấu hình VPN Site to Site trên site B - Kiểm tra kết nối

* Tiến hành cấu hình: Trước tiên, các bạn đăng nhập vào giao diện quản trị của ASA ở site A.

Tiếp theo các bạn vào Configuration > Firewall > Address và chọn Add >> Network Object.

Các bạn nhập IP lớp mạng trong ở site A, click OK.

Tương tự, các bạn tạo những Object còn lại.

Các bạn chọn Apply và send để áp dụng các thay đổi.

Các bạn vào Wizard >> VPN Wizards >> Site-to-site VPN Wizard để mở giao diện cài đặt VPN.

Ở màn hình Setup Wizard, các bạn click Next.

Ở màn hình tiếp theo, các bạn nhập IP wan của ASA ở site B, chọn Interface là outsite, click Next.

Màn hình tiếp theo, các bạn để như mặc định và click Next.

Đến màn hình này, các bạn chọn Ipv4, Local Network là Site-A-Subnet, Remote Network là Site-B-Subnet, click Next.

Tiếp theo, các bạn nhập Pre-shared Key, click Next.

Ở màn hình này, cac bạn để mặc định, click Next.

Kế tiếp, các bạn check vào những ô tùy chọn, click Next.

Ở bước Summary, các bạn click Finish.

Các bạn click send để thực thi các lệnh trên ASA.

Trở về màn hình configuration, ta sẽ thấy một VPN connection profile được tạo ra.

Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi.

Các bạn chọn Send để thực thi các lệnh.

Như vây, chúng ta đã hoàn tất cấu hình ở Site A. Thực hiện tương tự trên Site B, các bạn vào giao diện quản trị như bên dưới.

Các bạn tạo các Network Object sau.

Các bạn click Apply và Send để lưu các thay đổi.

Bước tiếp theo, các bạn nhập IP Wan của ASA ở Site A à chọn Interface là outsite.

Tiếp theo, các bạn chọn IP type là IPv4, Local Network là Site-B-Subnet, Remote Network là Site-A-Subnet.

Bước kế tiếp, cac bạn nhập Pre-shared key và click Next.

Kế tiếp, các bạn check chọn các check box và click next.

Các bạn xem lại các thông tin đã cấu hình và click Finish.

Các bạn click Send để thực thi các lệnh.

Các bạn vào File >> Save Running Configuration to Flash để lưu các thay đổi.

Tiếp theo, các bạn click Send để thực thi các lệnh.

Cuối cùng, các bạn kiểm tra kết nối giữa 2 site bằng lệnh Ping.

Đến đây, các bước cấu hình VPN site to site trên Firewall Cisco ASA đã hoàn tất.

Trong bài viết này mình sẽ hướng dẩn các bạn cấu hình VPN IPSec, cụ thể là cấu hình VPN Site to site trên Firewall Cisco ASA

Ta sẽ sử dụng mô hình sau:

Trong mô hình trên, yêu cầu đặt ra là thiết lập một VPN tunnel để bảo vệ traffic từ PC1 đi đến PC2. Trước khi có thể cấu hình VPN thì ta cần phải có đầy đủ các thông tin sau :

1. IKE Phase 1 policies: bao gồm encryption, hash, authentication, DH group, lifetime, pre-shared-key là gì?

2. IKE Phase 2 policies (transform set): encryption, hash, lifetime, có dùng PFS hay không?

3. Địa chỉ IP public của 2 VPN peers dùng để thiết lập VPN tunnel.

4. Những network sẽ được bảo vệ bởi VPN tunnel là gì?

Trong bài này, chúng ta sẽ sử dụng các thông tin sau cho VPN tunnel :

1. IKE Phase 1 policies: + Encryption: 3DES + Hash: MD5 + Authentication: pre-shared-key + DH group: 2 + Pre-shared-key: cisco123 + Lifetime: 3600s

2. IKE Phase 2 policies: + Encryption: AES 256 + Hash: SHA1 + PFS: Group 5 + Lifetime: 1800s

3. Địa chỉ IP public của ASA1 là 100.0.0.1 (cổng outside1), địa chỉ IP public của ASA2 là 220.0.0.1

4. Hai network sẽ được bảo vệ bởi VPN tunnel là 192.168.2.0/24 và 172.16.2.0/24.

Trước tiên ta sẽ bật IKE trên interface outside1 và cấu hình IKE Phase 1 policies. IKE có 2 version là IKEv1 và IKEv2. Ở đây ta sử dụng IKEv1: