Tunel VPN IPSEC Windows 2008 Cisco

Dla naszego przypadku jedyną maszyną, która potrzebuje komunikować się przez tunel IPSEC od strony Windows 2008 jest sam serwer Windows.

Konfigurujemy Windows 2008

Start → Administrative Tools → Windows Firewall with Advanced Security

Firewall powinien być włączony

Zmieniamy ustawienia IPSEC – przycisk customize

Key Exchange odpowiada isakmp policy na urządzeniach Cisco ( faza 1 ipsec )

Data Protection odpowiada crypto ipsec transform-set ( faza 2 ipsec )

Ustawienia key exchange

ustawienia data protection

uwaga: należy tak skonfigurować ustawienia dla Windows aby pokrywały się one z ustawieniami na urządzeniach Cisco.

Dla firewalla W2008 dodajemy nowe reguły w kierunku inbound tak aby przepuścić tunel:

przepuszczamy protokół ESP ( protokół numer 50 ) oraz ISAKMP ( udp port 500 )

Inbound Rules → Prawy klawisz → new

klikamy Next, zaznaczamy wszystkie programy

Wybieramy protokół ( dla przypadku esp będzie to custom I numer 50 , dla isakmp I udp sprawa jest prostsza

Wybieramy source & destination IP ( możemy wyspecyfikować adres urządzenia, z którym nawiązujemy połączenie typu tunel )

Określamy czy reguła ma przepuszczać ruch

Określamy kiedy reguła jest ważna

Nadajemy nazwę

Dodajemy Connection Security Rule ( prawy klawisz new )

Dodajemy adresy ip które powinny być szyfrowane ( odpowiednik crypto access-list ) I adresy urządzeń terminujących VPN

Which computer are in Endpoint 1 ( lokalne sieci za w2008 , które powinny byc szyfrowane )

Which computer are in Endpoint 2 ( odległe sieci za tunelem , które powinny byc szyfrowane ) local tunnel computer

remote tunnel computer nie potrzebują wytłumaczenia.

Deklarujemy sposób uwierzytelniania

Przycisk customize

W first authentication dodajemy

Wybieramy kiedy szyfrowanie ma być aplikowane

Nadajemy nazwę połączeniu I klikamy Finish

Po stronie Cisco konfiguracja jest prosta:

crypto isakmp policy 10

encr 3des

authentication pre-share

crypto isakmp key XXXXXXX address 192.168.193.221

!

!

crypto ipsec transform-set tset esp-3des esp-sha-hmac

!

crypto map cmap local-address FastEthernet0/0

crypto map cmap 10 ipsec-isakmp

set peer 192.168.193.221

set transform-set tset

match address cacl

interface FastEthernet0/0

ip address 192.168.193.222 255.255.255.0

duplex auto

speed auto

crypto map cmap

!

ip route 1.1.1.1 255.255.255.255 192.168.193.221

!

ip access-list extended cacl

permit ip host 2.2.2.2 host 1.1.1.1

permit ip host 192.168.193.222 host 192.168.193.221

permit ip host 2.2.2.2 host 192.168.193.221

!

A teraz weryfikacja:

Router#ping 192.168.193.221

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.193.221, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 24/32/44 ms

Router#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status

192.168.193.222 192.168.193.221 QM_IDLE 1002 0 ACTIVE

IPv6 Crypto ISAKMP SA

Router#sh crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: cmap, local addr 192.168.193.222

protected vrf: (none)

local ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)

current_peer 192.168.193.221 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: 192.168.193.222, remote crypto endpt.: 192.168.193.221

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

current outbound spi: 0x0(0)

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:

protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.193.222/255.255.255.255/0/0)

remote ident (addr/mask/prot/port): (192.168.193.221/255.255.255.255/0/0)

current_peer 192.168.193.221 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 31, #pkts encrypt: 31, #pkts digest: 31

#pkts decaps: 31, #pkts decrypt: 31, #pkts verify: 31

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 6, #recv errors 31

Po stronie W2008 pojawia się security association:

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
2019-01-09T11:16:55+00:00