суббота, 2 августа 2014 г.

Распространенная настройка cisco PIX/ASA для предприятия (часть №2)

Напомню схему:


В прошлый раз мы настроили внутренние сети, сделали доступ в «интернет», открыли доступ из «интернета» к нашему внутреннему web-серверу. Сегодня будем подключать удаленный офис к корпоративной сети путем настройки site-to-site vpn. 
Настройку будем проводить через ASDM и, если потребуется, корректировать через консоль.
Для начала, зайдем на ASA2 через консоль и настроим ее для дальнейшей работы.
  • ASA2> en
    Password:
    ASA2# conf t
    ASA2(config)# command-alias exec wr copy running-config disk0:/.private/startup-config - создаем так называемый алиас. Теперь wr будет исполнять действия сохраниения как надо (касается сохранения настроек ASA в GNS3);
    ASA2(config)# hostname ASA2
    ASA2(config)# enable password cisco
    ASA2(config)# username admin password ciscocisco privilege 15
    ASA2(config)# int ethernet 0/0
    ASA2(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ASA2(config-if)# ip address 1.1.1.2 255.255.255.252
    ASA2(config-if)# no shutdown
    ASA2(config-if)# exit
    ASA2(config)# int ethernet 0/1
    ASA2(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ASA2(config-if)# ip address 192.168.2.1 255.255.255.0
    ASA2(config-if)# no shutdown
    ASA2(config-if)# exit
    ASA2(config)# wr
    ASA2(config)# http server enable
    ASA2(config)# http 192.168.2.0 255.255.255.0 inside
    ASA2(config)# access-list WORK extended permit ip any any – простой список доступа;
    ASA2(config)# access-list FOR_NAT extended permit ip 192.168.2.0 255.255.255.0 any – список для NAT;
    ASA2(config)# access-group WORK in interface inside – привязываем список доступа к интерфейсу;
    ASA2(config)# nat (inside) 1 access-list FOR_NAT – определяем что подпадает под NAT;
    ASA2(config)# global (outside) 1 interface – включаем NAT на интерфейсе outside;
    INFO: outside interface address added to PAT pool
    ASA2(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.1 – задаем маршрут по умолчанию;
    ASA2(config)#wr
    ASA2(config)#exit
    ASA2#
На этом пока остановимся и проверим доступ нашего Remote_PC (192.168.2.10) в «интернет» (открытие web и ftp на Public_Web_Server (3.3.3.10)) и доступ к внутреннему сайту на Office_Web_Server (10.10.10.201) на адрес 2.2.2.2.
Заходим на наш удаленный компьютер и смотрим. Проверим ping:


Сетевая доступность присутствует. Проверим доступность web и ftp на Public_Web_Server (3.3.3.10). Открываем браузер:


Web-сайт и ftp в «интернете» работают. Теперь проверим внутренний web-сайт компании:


Все работает. Можно переходить к настройке site-to-site VPN. Для этого запускаем ASDM и начинаем работу с ASA2, раз уж мы ее начали настраивать :).
Запускаем «IPSec VPN Wizard»: 


Откроется знакомое уже нам окно:


Здесь выбираем тип туннеля «Site-to-Site», остальные параметры оставляем по умолчанию и нажимаем «Next». 


Здесь прописываем IP-адрес соседнего устройства (1), с которым будем настраивать VPN, задаем ключ (2). Имя туннельной группы (3) прописывается автоматически (можно изменить, если есть желание). Нажимаем «Next».


Здесь выбираем алгоритм шифрования и аутентификации для фазы IKE, можно оставить все по умолчанию. Нажимаем «Next».


Здесь выбираем алгоритм шифрования и аутентификации для IPSec туннеля. Также можно оставить все по умолчанию. Нажимаем «Next».


На этом этапе остановимся подробнее. Здесь нужно определить, какие сети будут идти в VPN, причем как локальные (1), так и удаленные (2), а так же прописать, какие сети не должны попадать под NAT (3). Итак, нажимаем на 1:


Выбираем нашу локальную сеть и нажимаем «OK». Затем на предыдущей картинке выбираем 2:


Здесь, если нет удаленной сети в списке, выбираем «Add» и «Network Object». В маленьком открывшемся окне надо будет прописать название (опционально), адрес сети и ее маску, после этого она должна появиться в списке:


Выбираем нашу удаленную сеть и нажимаем «OK». В итоге, у вас должно получиться вот такое итоговое окно:


Нажимаем «Next».


Это последняя страница показывает всё, что мы задали на предыдущих этапах. Нажимаем «Finish». Не забудьте сохранить конфигурацию. Лучше это сделать через консоль (если вы используете GNS3).
Посмотреть, что VPN действительно создался, можно через ASDM вот на этой страничке:


Путь: «Configuration»--«Site-to-Site VPN».
Теперь переходим на второе устройство (ASA1) и делаем то же самое, что и ранее. Только в качестве IP-адреса соседа, прописываем адрес ASA2. Не забудьте, что ключ (Pre-shared) должен быть одинаковым с обеих сторон, как и параметры шифрования и аутентификации. Приводить картинки не буду, думаю, у вас и так все получится.
Ну что, надеюсь, у вас все получилось :). Теперь перейдем к проверкам. Зайдем на Remote_PC (192.168.2.10) и проверим для начала ping на Working_PC (192.168.1.12):


Ping на внутреннюю машину есть!!!! Для сравнения я попытался пропинговать еще и внутренний сайт, но, как видно, ничего не получилось, так как в VPN попадают запросы только на сеть (192.168.1.0/24). Теперь попробуем открыть RDP на внутреннюю машину (как по условию проверок задачи №4):



Все работает!!! Единственное, что осталось проверить, это доступность сайтов и ftp при работающем VPN. Проверим и это:


Ping есть. Проверим сайты и ftp:


Поздравляю, у нас все получилось!!!!! Все работает как часы :).
Можно подвести итоги. В этих двух постах я попробовал рассказать, как сделать настройки cisco PIX/ASA для работы в небольших офисах (на мой взгляд). Мне кажется, что этих настроек вполне достаточно для выполнения функций, возложенных на локальную сеть в этих предприятиях.
На этом я хочу закончить этот пост, состоящий из 2-частей. Очень надеюсь, что он вам понравился, и вы почерпнули из него, что-то для себя.

Источник: go-to-easyit.com/2011/09/cisco-pixasa-2.html

Комментариев нет:

Отправить комментарий