[Cisco] Einrichtung eines Site-to-Site VPN

11 Jahre her    Blog  Networking 

Der Aufbau einer IPsec Verbindung ist in zwei Phasen geregelt. Die Phase 1 gibt es in zwei Varianten, den “Main Mode” und den “Aggressive Mode”, wobei der Main Mode zu preferieren ist. Grob gesagt werden in Phase 1 die Verschlüsselungsparameter abgeglichen und in Phase 2 die Kommunikationen beschrieben (Encryption Domain).

Bei Cisco wird die Phase 1 folgendermaßen konfiguriert:

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key sicherer-key address IP.der.Gegen.stelle

Es wird eine IKE Policy erstellt, in der der Verschlüsselungsalgorithmus, der Hash, die Authentifizierungsart und die DH-Gruppe definiert werden. In diesem Fall wird mit 3DES verschlüsselt, mit SHA-1 gehasht (Standard, daher nicht in der Konfig ersichtlich), mit dem Pre-Shared-Key “sicherer-key” authentifiziert und die DH-Gruppe 2 angewandt. Die Gegenstelle ist IP.der.Gege.stelle. Baut man mehrere VPNs und benötigt man aufgrund von Anforderungen der Gegenseiten andere Methoden, lassen sich weitere Policies erstellen. Dazu muss einfach die Sequenznummer erhöht werden und unter der neuen Nummer die Parameter gesetzt werden. Die beiden VPN-Partner werden sich dann hoffentlich einig.

Für die Phase 2 werden auch Verschlüsselungsparameter benötigt, sie werden anhand eines Transform-Sets beschrieben:

crypto ipsec transform-set TRANSFORMSET esp-3des esp-sha-hmac

In Phase 2 wird ebenfalls 3DES und SHA-1 benutzt. Man kann hier auch von Phase 1 abweichen und z.B. AES-256 verschlüsseln und MD5 hashen. Des weiteren braucht man eine Crypto-Map:

crypto map CRYPTO-MAP 10 ipsec-isakmp
 set peer IP.der.Gegen.stelle
 set transform-set TRANSFORMSET
 match address ENCR-DOMAIN

Hier werden die Phase 2 Parameter zusammengefasst: Die IP der Gegenstelle taucht wieder auf, das Transformset wird verknüpft und die Encryption Domain in Form einer ACL hinterlegt. Diese ACL beschreibt dann den zu verschlüsselnden Traffic.

Angenommen, das lokale Netz ist 192.168.0.0/24 und das entfernte Netz ist 10.10.10.0/24 sähe die müsste die lokale ACL folgendermaßen aussehen. Zu beachten ist, dass in ACLs mit Wildcardmasken und nicht mit Subnetzmasken gearbeitet wird:

Extended IP access list ENCR-DOMAIN
    10 permit ip 192.168.0.0 0.0.0.255 10.10.10.0 0.0.0.255

Auf der Gegenstelle müssen die Seiten einfach getauscht werden. Die Verbindung an sich ist nun fertig konfiguriert. Nun muss man nur noch die Crypto-Map auf das externe Interface (i.d.R. ein Dialer) binden:

interface Dialer0
   [...]
   crypto map CRYPTO-MAP
end

Anschließend sollten sich die Netze gegenseitig erreichen können.

Die Verschlüsselungsparameter sollten dem aktuellen Standard entsprechen.

Cisco VPN IPsec

Vorheriger Post
Nächster Post

Grav was with by RocketTheme.

Impressum