Jump to content
  • entries
    83
  • comments
    41
  • views
    25732

Υλοποίηση VPN μεταξύ Cisco ASA και του Microsoft Forefront TMG 2010


Jordan_Tsafaridis

887 views

 Share

Αγαπητοί συνάδελφοι της κοινότητας σε συνέχεια του άρθρου υλοποίσης VPN Tunnel μεταξύ του Juniper SRX
και του Microsoft Forefront TMG 2010 Secure Gateway προχωρούμε ένα βήμα παρακάτω και υλοποιούμε ένα VPN μεταξύ του Cisco ASAs 5505 και του Forefront TMG 2010. Και σε αυτήν την προσπάθεια το αποτέλεσμα στέφθηκε από επιτυχία. Έτσι λοιπόν θα έχουμε δύο λειτουργικά VPN configurations κάνοντας χρήση εξοπλισμού από διαφορετικούς κατασκευαστές. Ουσιαστικά χρησιμοποιούμε το ίδιο setup, με μόνη αλλαγή την χρησιμοποιήση ορισμένων διαφορετικών IP addresses
λαθώς επίσης και την αλλαγή στο σχεδιάγραμμα λειτουργίας στο οποίο αντικαθιστούμε το σύστημα SRX με το αντίστοιχο του ASA
symbol :

 

ASATMGVPN

 

Όσον αφορά τα βήματα του wizard για λόγους συντομίας μπορείτε να τα βρείτε στο προηγούμενο άρθρο. Απλά προχωρούμε στις απαραίτητες αλλαγές των “default” settings στο IPSec configuration και χρησιμοποιούμε έναν διαφορετικό συνδυασμό στο Phase II συγκρινόμενον με αυτόν του SRX VPN έτσι να είμαστε συμβατοί με τον εξοπλισμό Cisco.

 

IKE1 IKE2

 

Phase I: Εncryption = 3DES, auth SHA1, DH group2, lifetime 28800 seconds
Phase II: Εncryption = 3DES, integrity SHA1, rekey 4608000bytes and/or 3600 seconds, pfs group2

Σε καμία περίπτωση δεν θα πρέπει να ξεχάσουμε να επανεκκινήσουμε (restart) τα TMG services μετά από την επιτυχημένη υλοποίηση του configuration ….

Το τελικό VPN παρουσιάζεται παρακάτω:

finalVPN

 

Ο VPN wizard δημιούργησε επίσης το παρακάτω network object:

 

networkobject

Καθώς επίσης και το ακόλουθο access rule:

access_rule

Το χαρακτηριστικό αυτό είναι ιδιαιτέρως χρήσιμο και αποτελεσματικό διότι μας επιτρέπει να να κάνουμε setup για το προς υλοποίηση VPN χωρίς να είναι απαραίτητο να περάσουμε διαμέσου όλων των ενδιάμεσων βημάτων στοιχείο το οποίο από μόνο εγκυμονεί την πιθανότητα λαθών. Συνεπώς η Microsoft μας βοηθά με την χρήση έξυπνων Wizards να αποφύγουμε την πιθανότητα δημιουργίας λαθών (misconfiguration).

Μετά από το setup και το restart, προχωρούμε στην παραμετροποίηση του Cisco ASA 5505 εφαρμόζοντας ένα απλό VPN site-to-site setup:

crypto isakmp enable outside

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800

crypto ipsec transform-set TMGTrans esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 4608000

access-list toTMG extended permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
access-list toTMG extended permit ip 192.168.13.0 255.255.255.0 192.168.114.0 255.255.255.0

tunnel-group 172.16.100.183 type ipsec-l2l
tunnel-group 172.16.100.183 ipsec-attributes
pre-shared-key *

crypto map TMGVPN 10 match address toTMG
crypto map TMGVPN 10 set pfs
crypto map TMGVPN 10 set peer 172.16.100.183
crypto map TMGVPN 10 set transform-set TMGTrans
crypto map TMGVPN interface outside

Όπως θα παρατηρήσουμε το ping μεταξύ των δύο laptops παρουσιάζει τα αναμενόμενα αποτελέσματα στον Forefront TMG 2010:

IKESA

SA

Αντιστοίχως στον ASA:

Το IKE SA

ciscoasa(config)# show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.16.100.183
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

 

Το IPSec SA:

ciscoasa(config)# show crypto ipsec sa

interface: outside
    Crypto map tag: TMGVPN, seq num: 10, local addr: 172.16.100.160

      access-list toTMG permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.114.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.13.0/255.255.255.0/0/0)
      current_peer: 172.16.100.183

      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.100.160, remote crypto endpt.: 172.16.100.183

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: D988A73B

    inbound esp sas:
      spi: 0xC740C5FB (3342910971)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 77824, crypto-map: TMGVPN
         sa timing: remaining key lifetime (kB/sec): (3914999/3553)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x000001FD
    outbound esp sas:
      spi: 0xD988A73B (3649611579)
         transform: esp-3des esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 77824, crypto-map: TMGVPN
         sa timing: remaining key lifetime (kB/sec): (3914999/3553)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

Ελπίζω ότι θα βρείτε το συγκεκριμένο άρθρο χρήσιμο.

(Υπενθύμιση :  Συγγραφέας του άρθρου είναι ο Alex Dittman)

 Share

1 Comment


Recommended Comments

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...