
Dla naszego przypadku jedyną maszyną, która potrzebuje komunikować się przez tunel IPSEC od strony Windows 2008 jest sam serwer Windows.
Konfigurujemy Windows 2008
Start → Administrative Tools → Windows Firewall with Advanced Security
Firewall powinien być włączony
Zmieniamy ustawienia IPSEC – przycisk customize
Key Exchange odpowiada isakmp policy na urządzeniach Cisco ( faza 1 ipsec )
Data Protection odpowiada crypto ipsec transform-set ( faza 2 ipsec )
Ustawienia key exchange
ustawienia data protection
uwaga: należy tak skonfigurować ustawienia dla Windows aby pokrywały się one z ustawieniami na urządzeniach Cisco.
Dla firewalla W2008 dodajemy nowe reguły w kierunku inbound tak aby przepuścić tunel:
przepuszczamy protokół ESP ( protokół numer 50 ) oraz ISAKMP ( udp port 500 )
Inbound Rules → Prawy klawisz → new
klikamy Next, zaznaczamy wszystkie programy
Wybieramy protokół ( dla przypadku esp będzie to custom I numer 50 , dla isakmp I udp sprawa jest prostsza
Wybieramy source & destination IP ( możemy wyspecyfikować adres urządzenia, z którym nawiązujemy połączenie typu tunel )
Określamy czy reguła ma przepuszczać ruch
Określamy kiedy reguła jest ważna
Nadajemy nazwę
Dodajemy Connection Security Rule ( prawy klawisz new )
Dodajemy adresy ip które powinny być szyfrowane ( odpowiednik crypto access-list ) I adresy urządzeń terminujących VPN
Which computer are in Endpoint 1 ( lokalne sieci za w2008 , które powinny byc szyfrowane )
Which computer are in Endpoint 2 ( odległe sieci za tunelem , które powinny byc szyfrowane ) local tunnel computer
remote tunnel computer nie potrzebują wytłumaczenia.
Deklarujemy sposób uwierzytelniania
Przycisk customize
W first authentication dodajemy
Wybieramy kiedy szyfrowanie ma być aplikowane
Nadajemy nazwę połączeniu I klikamy Finish
Po stronie Cisco konfiguracja jest prosta:
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key XXXXXXX address 192.168.193.221
!
!
crypto ipsec transform-set tset esp-3des esp-sha-hmac
!
crypto map cmap local-address FastEthernet0/0
crypto map cmap 10 ipsec-isakmp
set peer 192.168.193.221
set transform-set tset
match address cacl
interface FastEthernet0/0
ip address 192.168.193.222 255.255.255.0
duplex auto
speed auto
crypto map cmap
!
ip route 1.1.1.1 255.255.255.255 192.168.193.221
!
ip access-list extended cacl
permit ip host 2.2.2.2 host 1.1.1.1
permit ip host 192.168.193.222 host 192.168.193.221
permit ip host 2.2.2.2 host 192.168.193.221
!
A teraz weryfikacja:
Router#ping 192.168.193.221
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.193.221, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/32/44 ms
Router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.193.222 192.168.193.221 QM_IDLE 1002 0 ACTIVE
IPv6 Crypto ISAKMP SA
Router#sh crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: cmap, local addr 192.168.193.222
protected vrf: (none)
local ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
current_peer 192.168.193.221 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 192.168.193.222, remote crypto endpt.: 192.168.193.221
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.193.222/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.193.221/255.255.255.255/0/0)
current_peer 192.168.193.221 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 31, #pkts encrypt: 31, #pkts digest: 31
#pkts decaps: 31, #pkts decrypt: 31, #pkts verify: 31
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 6, #recv errors 31
Po stronie W2008 pojawia się security association:
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów