|
|
Страница 1 из 1
|
[ Сообщений: 20 ] |
|
перевод asa с ipsec crypto map на vti
Автор |
Сообщение |
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
Доброго времени суток.
По многочисленным советам занялся темой перевода работы головного офиса и филиалов на VTI. В головном офисе стоит asa 5520 в филиалах в основном 891. Не буду прилагать все конфиги, думаю пока это не требуется. Проштудировал немного интернета, сконфигурировал туннельные интерфейсы на обоих сторонах. Пытаюсь переключить тестовый филиал. команда перевода на 891 следующая: interface Tunnel1 no shut interface FastEthernet4 no crypto map vpn_map ip route 192.168.0.0 255.255.255.0 172.16.2.1 no crypto map vpn_map 10 ipsec-isakmp
на asa: no crypto map Outside_map 1 .... route Outside 172.20.1.0 255.255.255.0 172.16.2.2
интерфейсы не поднимаются, ошибка на asa в дебаге такая: Aug 11 15:16:51 [IKEv1]Group = 11.11.11.11, IP = 11.11.11.11, Static Crypto Map Check by-passed: Crypto map entry incomplete! Aug 11 15:16:51 [IKEv1]Group = 11.11.11.11, IP = 11.11.11.11, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface Outside * 11.11.11.11 замен
Думаю ошибка из-за того что на asa еще есть: crypto map Outside_map interface Outside
убрать её пока тяжело, это отключение всех филиалов, хотелось бы планомерно, постепенно всё переключить. Возможно по выводам ошибаюсь, прошу помощи.
|
11 авг 2022, 14:28 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
ASAv ставите и забываете
|
11 авг 2022, 18:04 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
root99 писал(а): ASAv ставите и забываете как еще одна asa решит вопросы с другой? только что появится поле для экспериментов.
|
12 авг 2022, 11:07 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Извините, но в наше время использовать 5520 - побойтесь бога это решето в области безопасности - ASAv виртуальная с современным софтом разворачиваете параллельно и переключаете, в чём проблема - это задача любого инженера....
|
12 авг 2022, 11:11 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
так это покупать надо, да еще и не продадут сейчас. либо использовать старое ломаное, опять тоже "безопасное"
+на в vcenter лить и пробросом сетей провайдера, исторически стараюсь средства связи оградить от серверной инфраструктуры
|
12 авг 2022, 11:57 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
снова прошу помощи, сижу второй день, гугл не рулит! на asa и cisco 891 туннельные интерфейсы в состоянии up пинг с 891 на ip тунеля asa не идет, точнее ответ с asa не доходит debug icmp trace на asa показывает ICMP echo request from 172.30.2.2 to 172.30.2.1 ID=75 seq=0 len=72 ICMP echo reply from 172.30.2.1 to 172.30.2.2 ID=75 seq=0 len=72 ICMP echo request from 172.30.2.2 to 172.30.2.1 ID=75 seq=1 len=72 ICMP echo reply from 172.30.2.1 to 172.30.2.2 ID=75 seq=1 len=72 ping 172.30.2.1 source tunnel 0srb-gw1#ping 172.30.2.1 source tunnel 0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.30.2.1, timeout is 2 seconds: Packet sent with a source address of 172.30.2.2 ..... Success rate is 0 percent (0/5) srb-gw1#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status XX.XXX.XX.XXX YY.YY.YY.YY QM_IDLE 2141 ACTIVE Код: interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr XX.XXX.XX.XXX
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer YY.YYY.YY.YYY port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 85, #pkts encrypt: 85, #pkts digest: 85 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: XX.XXX.XX.XXX, remote crypto endpt.: YY.YYY.YY.YYY plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4 current outbound spi: 0x9E4135A7(2655073703) PFS (Y/N): Y, DH group: group2
inbound esp sas: spi: 0xA47CBC8C(2759638156) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 29, flow_id: Onboard VPN:29, sibling_flags 80000040, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4250898/1759) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0x9E4135A7(2655073703) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 30, flow_id: Onboard VPN:30, sibling_flags 80000040, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4250893/1759) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
interface Tunnel0 ip address 172.30.2.2 255.255.255.0 tunnel source FastEthernet4 tunnel mode ipsec ipv4 tunnel destination YY.YYY.YYY.YYY tunnel protection ipsec profile RO_PROFILE crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key KEYKEY address XX.XX.XX.XXX ! ! crypto ipsec transform-set ts esp-3des esp-sha-hmac mode tunnel ! crypto ipsec profile RO_PROFILE set transform-set ts set pfs group2
|
17 авг 2022, 14:19 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Ходите вокруг да около - на сайте циски лежит правильная конфигурация https://www.cisco.com/c/en/us/support/d ... ec-00.html
|
17 авг 2022, 16:42 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
Эта инструкция для "static crypto map" ,мне же тут несколько раз рекомендовали уйти в сторону vti. Оставлю тут для истории хорошую ссылку по переходу. Моя проблема актуальна. https://www.cisco.com/c/en/us/products/ ... enyentries
|
18 авг 2022, 04:47 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
root99 писал(а): Ходите вокруг да около - на сайте циски лежит правильная конфигурация Это неправильная конфигурация. Лет уже 500 как. И у TS сейчас именно так все и сделано. Это (crypto-map) использовалось только для совсместимости, когда ASA/FTD не умели в VTI. Несколько лет уже как умеют. Текущая правильная конфигурация - это IKEv2 и VTI, то что у них называется FlexVPN. halt писал(а): пинг с 891 на ip тунеля asa не идет, точнее ответ с asa не доходит На 891 на вид вроде все норм. Не забудьте только открыть снаружи 500/UDP, 4500/UDP и ESP. Смотрите что там со стороны ASA. У вас появился новый интерфейс. Разберитесь там в какую зону его нужно относить и т.п. Читайте доки. И сейчас уже как-то нехорошо использовать 3DES, SHA-1 и DH и PFS Group2. Как минимум нужно AES-128, SHA-256 и Group5. И делайте уже на IKEv2. Разница в конфиге с IKEv1 в данном случае небольшая. Но если потом появится необходимость в каких-то фичах IKEv2, то придется опять переделывать. halt писал(а): Оставлю тут для истории хорошую ссылку по переходу. Да, дока хорошая. Migration to IPsec Virtual Tunnel Interface - Cisco IOS XE White Paper https://www.cisco.com/c/en/us/products/ ... 44879.htmlИ вот еще почитайте: ASA and IOS Crypto VPN’s - comparison and operational choices (BRKSEC-2338.pdf) https://www.ciscolive.com/c/dam/r/cisco ... C-2338.pdfSummary - Use IKEv2: Industry Standard, Vendors are migrating to it - Use Tunnel interfaces everywhere you can (better scale, easy HA, and lot more!) - Crypto Maps only with 3rd parties not supporting Tunnels И вообще там масса полезных док по теме. Код: BRKSEC-2342.pdf Branch Router Security - 2018 Orlando, FL BRKSEC-2338.pdf ASA and IOS Crypto VPN’s - comparison and operational choices - 2018 Barcelona BRKSEC-2881.pdf Designing Remote-Access and Site-to-Site IPSec networks with FlexVPN - 2018 Orlando, FL BRKSEC-3001.pdf Advanced IKEv2 Protocol - 2019 Barcelona LTRSEC-3004.pdf Advanced IOS IPSec VPN with FlexVPN Lab - 2018 Barcelona BRKSEC-3005.pdf Cryptographic Protocols and Algoritms - 2018 Barcelona BRKSEC-3036.pdf Advanced IPSec with FlexVPN and IKEv2 - 2016 Berlin BRKSEC-3054.pdf FlexVPN Remote Access, IoT and Site-to-Site Advanced Crypto Design - 2019 San Diego, CA
LTRIOT-2570.pdf Industrial IoT Gateways in Cellular and VPN Deployments - 2019 Barcelona
BRKRST-2331.pdf Troubleshooting EIGRP Networks - 2019 San Diego, CA
Требуется регистрация, но она free. https://www.ciscolive.com/global/on-demand-library.html
_________________ Knowledge is Power
|
18 авг 2022, 04:50 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Да, и роуты через туннели (и прочие Point-to-Point interfaces) удобнее и нагляднее писать в виде Код: ip route 10.10.1.0 255.255.255.0 Tunnel0
Через IP тоже работает, но это не наглядно и актуально только для Ethernet интерфейсов.
_________________ Knowledge is Power
|
18 авг 2022, 05:40 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
Цитата: И сейчас уже как-то нехорошо использовать 3DES, SHA-1 и DH и PFS Group2. Как минимум нужно AES-128, SHA-256 и Group5. И делайте уже на IKEv2. Разница в конфиге с IKEv1 в данном случае небольшая. Но если потом появится необходимость в каких-то фичах IKEv2, то придется опять переделывать. ikev1 я пока делаю умышленно, так проще запуститься. После успешного пинга займусь ikev2. Цитата: Разберитесь там в какую зону его нужно относить и т.п. Можно поподробнее? Такое ощущение что с asa трафик не уходит или уходит куда-то-то не туда. хотя бы пару команд для изучения
|
18 авг 2022, 06:36 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
halt писал(а): Можно поподробнее? Такое ощущение что с asa трафик не уходит или уходит куда-то-то не туда. Возможно. Я не настолько силен в ASA. Это очень своеОбразная железка. На большого любителя. Реально же трафик с VTI уходит через outside. Может там что-то нужно дополнительно разрешать или инспектить. Те же ISAKMP (500 и 4500 UDP) и ESP. Или еще что-то. Вот почитайте доку: CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.8 Chapter: Virtual Tunnel Interface https://www.cisco.com/c/en/us/td/docs/s ... n-vti.html
_________________ Knowledge is Power
|
18 авг 2022, 07:00 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
На АСА5520 нет VTI для начала - единственная конфигурация та что выше
|
18 авг 2022, 08:11 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
Цитата: На АСА5520 нет VTI для начала - единственная конфигурация та что выше опечатался, ASA5525 у меня
|
18 авг 2022, 08:20 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
тогда всё упрощается - не знаете как сделать через CLI включаете ASDM на ASA создаёте VTI все остальные нужные поля заполнятся интуитивно, crypto-map с нужным набором шифров и тд.
|
18 авг 2022, 08:47 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
halt писал(а): опечатался, ASA5525 у меня Отлично. Т.е. мы обсуждаем настройку неизвестно какой железки с неизвестно каким софтом! Версия софта то в ASA какая? root99 писал(а): crypto-map с нужным набором шифров и тд. transform-set наверное?
_________________ Knowledge is Power
|
18 авг 2022, 09:50 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
System image file is "disk0:/asa992-85-smp-k8.bin"
Hardware: ASA5525, 8192 MB RAM, CPU Lynnfield 2394 MHz, 1 CPU (4 cores) ASA: 4178 MB RAM, 1 CPU (1 core) I
|
18 авг 2022, 11:18 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
если быть точным IPSec Profile цепляется на VTI
|
18 авг 2022, 11:22 |
|
|
halt
Зарегистрирован: 09 мар 2018, 16:19 Сообщения: 47
|
с проблемой разобрался, причина - два провайдера. я vti поднимал c использованием резервного канала (2-м), пинги с интерфейса вылетали с 1-го. route до wan 891 через 2-го провайдера решил проблему. тут где-то встречал реплику что на asa пакет ухоит с интерфейса на который пришел пакет. viewtopic.php?f=2&t=11757&p=88275&hilit=%D0%B6%D0%B5%D1%81%D1%82%D0%BA%D0%BE%D0%B3%D0%BE#p88275
|
19 авг 2022, 15:34 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
halt писал(а): я vti поднимал c использованием резервного канала (2-м), пинги с интерфейса вылетали с 1-го. route до wan 891 через 2-го провайдера решил проблему. Если вы про tunnel source FastEthernet4 то тут очевидно имело место распространенное заблуждение, касающееся source <int_xx>. Эта конструкция встречается много где, в RADIUS, в ping, etc. Но значит это только то, что Source IP в пакетах этого сервиса будет IP адресом определенного интерфейса. Никакого отношения к маршрутизации этих пакетов (к выбору исходящего интерфейса) это не имеет. Пакеты будут отправляться в соответствии с обычными механизмами маршрутизации (GRT, PBR, F-VRF, etc). Причем пакеты IPSec туннелей не учитывают local PBR. halt писал(а): тут где-то встречал реплику что на asa пакет ухоит с интерфейса на который пришел пакет. Bessmertniy писал(а): Ответ в соответствии с таблицей маршрутизации не уйдет через другой интерфейс из-за жесткого rpf на асах. Ну не знаю, как насчет "жесткого", Reverse Path Forwarding (RPF) включается на интерфейсах. CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1 Preventing IP Spoofing https://www.cisco.com/c/en/us/td/docs/s ... tools.htmlИ, кмк, это немного о другом. Вот почитайте про то, как в ASA учитывается входящий интерфейс при управлении транзитным трафиком сессии. Что поставить на периметр сети: Cisco маршрутизатор или Cisco ASA? - Хабр https://habr.com/ru/company/cbs/blog/279857/"Коснёмся чуточку архитектурных особенностей программно-аппаратной частей. Сразу заметим, что программный код ASA и маршрутизатора абсолютно разный. Поэтому некоторые процессы реализованы по-разному. Например, маршрутизация. На ASA нет привычного для маршрутизаторов Cisco Express Forwarding (CEF). Используется своя собственная логика: маршрут определяется для сессии единожды при её установлении (чем-то напоминает fast-switching). Можно сказать, что маршрутизатор оперирует пакетами, а ASA – сессиями. На маршрутизацию в ASA может влиять NAT (правильнее сказать: NAT в ряде случаев определяет, куда будут отправлены пакеты той или иной сессии). На маршрутизаторах такого нет, всем «рулит» таблица маршрутизации или PBR. При переключении маршрутизации с одного интерфейса на другой на ASA далеко не всегда сессия будет также переброшена (она может остаться работать на старом интерфейсе). ASA для каждой сессии запоминает не только исходящий интерфейс (т.е. куда слать), но и входящий (откуда изначально пришли пакеты). Эта особенность работы наиболее ярко проявляется, когда у нас есть несколько провайдеров (подключенных через статическую маршрутизацию) и на них есть какие-то публикации. В случае ASA ответные пакеты всегда пойдут через того провайдера, через которого пришёл запрос. Т.е. все публикации будут рабочими. В случае маршрутизатора ответные пакеты будут идти через провайдера по умолчанию. Т.е. только на одном провайдере будут работать публикации (такое поведение можно обойти с помощью плясок с бубном: VRF+BGP)."
_________________ Knowledge is Power
|
31 авг 2022, 22:30 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 20 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 78 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|