Υλοποίηση VPN μεταξύ Cisco ASA και του Microsoft Forefront TMG 2010
Αγαπητοί συνάδελφοι της κοινότητας σε συνέχεια του άρθρου υλοποίσης VPN Tunnel μεταξύ του Juniper SRX
και του Microsoft Forefront TMG 2010 Secure Gateway προχωρούμε ένα βήμα παρακάτω και υλοποιούμε ένα VPN μεταξύ του Cisco ASAs 5505 και του Forefront TMG 2010. Και σε αυτήν την προσπάθεια το αποτέλεσμα στέφθηκε από επιτυχία. Έτσι λοιπόν θα έχουμε δύο λειτουργικά VPN configurations κάνοντας χρήση εξοπλισμού από διαφορετικούς κατασκευαστές. Ουσιαστικά χρησιμοποιούμε το ίδιο setup, με μόνη αλλαγή την χρησιμοποιήση ορισμένων διαφορετικών IP addresses
λαθώς επίσης και την αλλαγή στο σχεδιάγραμμα λειτουργίας στο οποίο αντικαθιστούμε το σύστημα SRX με το αντίστοιχο του ASA
symbol :
Όσον αφορά τα βήματα του wizard για λόγους συντομίας μπορείτε να τα βρείτε στο προηγούμενο άρθρο. Απλά προχωρούμε στις απαραίτητες αλλαγές των “default” settings στο IPSec configuration και χρησιμοποιούμε έναν διαφορετικό συνδυασμό στο Phase II συγκρινόμενον με αυτόν του SRX VPN έτσι να είμαστε συμβατοί με τον εξοπλισμό Cisco.
Phase I: Εncryption = 3DES, auth SHA1, DH group2, lifetime 28800 seconds
Phase II: Εncryption = 3DES, integrity SHA1, rekey 4608000bytes and/or 3600 seconds, pfs group2
Σε καμία περίπτωση δεν θα πρέπει να ξεχάσουμε να επανεκκινήσουμε (restart) τα TMG services μετά από την επιτυχημένη υλοποίηση του configuration ….
Το τελικό VPN παρουσιάζεται παρακάτω:
Ο VPN wizard δημιούργησε επίσης το παρακάτω network object:
Καθώς επίσης και το ακόλουθο access rule:
Το χαρακτηριστικό αυτό είναι ιδιαιτέρως χρήσιμο και αποτελεσματικό διότι μας επιτρέπει να να κάνουμε setup για το προς υλοποίηση VPN χωρίς να είναι απαραίτητο να περάσουμε διαμέσου όλων των ενδιάμεσων βημάτων στοιχείο το οποίο από μόνο εγκυμονεί την πιθανότητα λαθών. Συνεπώς η Microsoft μας βοηθά με την χρήση έξυπνων Wizards να αποφύγουμε την πιθανότητα δημιουργίας λαθών (misconfiguration).
Μετά από το setup και το restart, προχωρούμε στην παραμετροποίηση του Cisco ASA 5505 εφαρμόζοντας ένα απλό VPN site-to-site setup:
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800
crypto ipsec transform-set TMGTrans esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 4608000
access-list toTMG extended permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
access-list toTMG extended permit ip 192.168.13.0 255.255.255.0 192.168.114.0 255.255.255.0
tunnel-group 172.16.100.183 type ipsec-l2l
tunnel-group 172.16.100.183 ipsec-attributes
pre-shared-key *
crypto map TMGVPN 10 match address toTMG
crypto map TMGVPN 10 set pfs
crypto map TMGVPN 10 set peer 172.16.100.183
crypto map TMGVPN 10 set transform-set TMGTrans
crypto map TMGVPN interface outside
Όπως θα παρατηρήσουμε το ping μεταξύ των δύο laptops παρουσιάζει τα αναμενόμενα αποτελέσματα στον Forefront TMG 2010:
Αντιστοίχως στον ASA:
Το IKE SA
ciscoasa(config)# show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 172.16.100.183
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Το IPSec SA:
ciscoasa(config)# show crypto ipsec sa
interface: outside
Crypto map tag: TMGVPN, seq num: 10, local addr: 172.16.100.160
access-list toTMG permit ip 192.168.114.0 255.255.255.0 192.168.13.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.114.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.13.0/255.255.255.0/0/0)
current_peer: 172.16.100.183
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.16.100.160, remote crypto endpt.: 172.16.100.183
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: D988A73B
inbound esp sas:
spi: 0xC740C5FB (3342910971)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 77824, crypto-map: TMGVPN
sa timing: remaining key lifetime (kB/sec): (3914999/3553)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FD
outbound esp sas:
spi: 0xD988A73B (3649611579)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 77824, crypto-map: TMGVPN
sa timing: remaining key lifetime (kB/sec): (3914999/3553)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Ελπίζω ότι θα βρείτε το συγκεκριμένο άρθρο χρήσιμο.
(Υπενθύμιση : Συγγραφέας του άρθρου είναι ο Alex Dittman)
1 Comment
Recommended Comments