مشاهدة النسخة كاملة : مشكلة مع ASA 5500 في عمب site-to-site vpn
السلام عليكم ورحمة الله وبركاته
عندي جهازين واحد 5510 والتاني 5505 والمطلوب ربط موقعين ببعض عن طريق site-to-site vpn بس بعد ما عملت الكونفيجريشن ال led بتاعة ال VPN منورتش وساعات بتعمل Flashing وساعات لأ الحقيقة مش عارف ايه المشكلة
الأخطاء اللي ممكن اكون وقعت فيها ممكن تكون ايه ؟؟
وجزاكم الله خيرا
one-zero
28-05-2009, 17:15
اكتب الكونفجريشن اذا سمحت ختى نعرف ماذا فعلت
وعليكم السلام,
ممكن نشوف configuration عشان نقدر نساعدك؟
في نقطة ثانية, vpn tunnel عمره ما حيكون UP إذا ما في interesting traffic بيمر بين الموقعين
طبعا إنت تحدد interesting traffic عن طريق crypto acl
خلي بالك من security associations وأنه ما بيصير Expiration ليها
أخر نقطة , في كل موقع - لازم يكون فيه route للموقع التاني - لازم يكون فيه Route ل interesting traffic
السلام عليكم ورحمة الله وبركاته
شكرا على اهتمامكم
الحمد لله المشكلة اتحلت بمساعدة أحد الأصدقاء بس لسه في حاجات مش واضحه بالنسبة لي أنا هكتل ابConfiguration وياريت حد يعلقلي عليها ]بتاعة الsite الأول
hostname Main-Site
enable password M9kFm8nwzdRLJxXs encrypted
passwd M9kFm8nwzdRLJxXs encrypted
names
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address 196.219.220.50 255.255.255.240
!
interface Ethernet0/1
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 70
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
<--- More --->
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list Inbound extended permit tcp any host 196.219.220.53 eq www
access-list Inbound extended permit tcp any host 196.219.220.53 eq https
access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389
access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list Outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
pager lines 24
mtu Outside 1500
mtu Inside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
access-group Inbound in interface Outside
route Outside 0.0.0.0 0.0.0.0 196.219.220.49 1
http server enable
http 10.10.10.0 255.255.255.0 DMZ
http 192.168.1.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map0 1 match address Outside_1_cryptomap
crypto map Outside_map0 1 set peer 196.202.88.122
crypto map Outside_map0 1 set transform-set ESP-3DES-MD5
crypto map Outside_map0 1 set security-association lifetime seconds 28800
crypto map Outside_map0 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map0 interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.1.0 255.255.255.0 Inside
telnet 192.168.2.0 255.255.255.0 Inside
telnet 10.10.10.0 255.255.255.0 DMZ
telnet timeout 5
ssh timeout 5
console timeout 0
management-access Inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 196.202.88.122 type ipsec-l2l
tunnel-group 196.202.88.122 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
<--- More --->
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:77e63b10631e6f541a3658117eb1024e
: end
Main-Site# sh ver
Main-Site# sh version
Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.1(3)
Compiled on Thu 07-Aug-08 20:53 by builders
System image file is "disk0:/asa804-k8.bin"
Config file at boot was "startup-config"
Main-Site up 3 hours 50 mins
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
site 2
hostname SSBCASA
enable password M9kFm8nwzdRLJxXs encrypted
passwd M9kFm8nwzdRLJxXs encrypted
names
!
interface Vlan1
nameif Inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif Outside
security-level 0
ip address 196.202.88.122 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu Inside 1500
mtu Outside 1500
<--- More --->
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (Outside) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.2.0 255.255.255.0
static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255
access-group Inbound in interface Outside
route Outside 0.0.0.0 0.0.0.0 196.202.88.123 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.2.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.2.0 255.255.255.0 Inside
telnet timeout 5
ssh timeout 5
console timeout 0
<--- More --->
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 196.219.220.50 type ipsec-l2l
tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a99be2cddfdd378fc5c6f4ec711a1a0f
: end
SSBCASA(config)# sh ver
SSBCASA(config)# sh version
Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.2(1)
Compiled on Thu 07-Aug-08 20:53 by builders
System image file is "disk0:/asa804-k8.bin"
Config file at boot was "startup-config"
SSBCASA up 38 mins 30 secs
Hardware: ASA5505, 256 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : �CN1000-MC-BOOT-2.00
SSL/IKE microcode: �CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : �CNlite-MC-IPSECm-MAIN-2.05
0: Int: Internal-Data0/0 : address is 0022.90b5.1d4c, irq 11
1: Ext: Ethernet0/0 : address is 0022.90b5.1d44, irq 255
2: Ext: Ethernet0/1 : address is 0022.90b5.1d45, irq 255
3: Ext: Ethernet0/2 : address is 0022.90b5.1d46, irq 255
4: Ext: Ethernet0/3 : address is 0022.90b5.1d47, irq 255
5: Ext: Ethernet0/4 : address is 0022.90b5.1d48, irq 255
6: Ext: Ethernet0/5 : address is 0022.90b5.1d49, irq 255
<--- More --->
7: Ext: Ethernet0/6 : address is 0022.90b5.1d4a, irq 255
8: Ext: Ethernet0/7 : address is 0022.90b5.1d4b, irq 255
9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
10: Int: Not used : irq 255
11: Int: Not used : irq 255
Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 20, DMZ Unrestricted
Inside Hosts : Unlimited
Failover : Active/Standby
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 25
WebVPN Peers : 2
Dual ISPs : Enabled
VLAN Trunk Ports : 8
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
This platform has an ASA 5505 Security Plus license.
<--- More --->
Serial Number: JMX1237Z1X8
Running Activation Key: 0x8431d55e 0xec9a0e69 0xa893e548 0xa324f47c 0x483716ad
Configuration register is 0x1
Configuration last modified by enable_15 at 15:32:21.419 UTC Thu May 28 2009
SSBCASA(config)# sh fla
SSBCASA(config)# sh flash:
--#-- --length-- -----date/time------ path
100 14137344 May 28 2009 14:55:48 asa804-k8.bin
101 11348300 May 28 2009 14:56:28 asdm-621.bin
62 4096 May 28 2009 14:57:30 log
66 4096 May 28 2009 14:57:47 crypto_archive
127111168 bytes total (101302272 bytes free)
SSBCASA(config)#
SSBCASA(config)#
SSBCASA(config)#
SSBCASA(config)# wr mem
Building configuration...
Cryptochecksum: a99be2cd dfdd378f c5c6f4ec 711a1a0f
3631 bytes copied in 1.160 secs (3631 bytes/sec)
[OK]
SSBCASA(config)#
SSBCASA(config)#
SSBCASA(config)# sh cry
SSBCASA(config)# sh crypto isa
SSBCASA(config)# sh crypto isakmp sa
SSBCASA(config)# sh crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 196.219.220.50
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
SSBCASA(config)#
SSBCASA(config)#
SSBCASA(config)# sh cry
SSBCASA(config)# sh crypto ips
SSBCASA(config)# sh crypto ipsec sa
SSBCASA(config)# sh crypto ipsec sa
interface: Outside
Crypto map tag: Outside_map, seq num: 1, local addr: 196.202.88.122
access-list Outside_1_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer: 196.219.220.50
#pkts encaps: 682, #pkts encrypt: 682, #pkts digest: 682
#pkts decaps: 768, #pkts decrypt: 768, #pkts verify: 768
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 682, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 196.202.88.122, remote crypto endpt.: 196.219.220.50
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 4BDDC5CF
inbound esp sas:
spi: 0xE07F8762 (3766454114)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
<--- More --->
slot: 0, conn_id: 512000, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (3914957/27827)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x4BDDC5CF (1272825295)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 512000, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (3914964/27827)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389
access-group Inbound in interface Outside
static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255
الأوامر دول بيسمحوا لأي شخص من outside أنه يعمل access للسيرفر 192.168.2.30على TCP 3389
فيه NAT والأشخاص الموجودين في outside بيشوفوا السيرفر على أنه 196.202.88.125 و ASA بيحول IP Address من196.202.88.125إلى192.168.2.30وبالعكس (ثنائي الإتجاه)
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap
أي ترافيك بين 192.168.1.0و 192.168.2.0 حيكون encrypted و ASA لما يشوف ترافيك بين 2 subnets حيقوم بإعداد وتهيئة VPN tunnel مع الطرف الثاني
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
global (Outside) 1 interface
nat (Inside) 1 192.168.2.0 255.255.255.0
الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122
كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN
يعني الشرط الموجود في
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
مش حيتحقق و VPN ما حيشتغل
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
الحل هو nat exemption
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
هنا بنقول ل ASA أنه فقط أي ترافيك من 192.168.2.0 ل 192.168.1.0 ما حيكون Pat وحيطلع بدون أي تغيير من ASA
------------------
هذا بالنسبة ل site 2 ونفس الفكرة ل site 1
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
global (Outside) 1 interface
nat (Inside) 1 192.168.2.0 255.255.255.0
الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122
كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN
يعني الشرط الموجود في
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
مش حيتحقق و VPN ما حيشتغل
جزاكم الله خيرا أخي الحبيب بس ال VPN شغال فعلا
وعندي سؤال كمان لو في ترافك جاي من 192.168.1.0 رايح ل 192.168.2.0 هيبقى باين ايه أقصد هياخد IP من أي Range ?
اهلين أخي فؤاد
الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
ولكنهم موجودين في site 2, عشان كدا vpn شغال
ونفس القصة مع site 1
access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0
اهلين أخي فؤاد
الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
ولكنهم موجودين في site 2, عشان كدا vpn شغال
ونفس القصة مع site 1
access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0
بارك الله فيك أخي الحبيب بس لو ممكن تشرح الجملتين دول بشيء من التفصيل
وجزاك الله كل خير
طيب , خلينا نفترض أنه في ترافيك رايح من site 2 إلى site 1
من 192.168.2.55 إلى 192.168.1.44
لو الأمرين دول مش موجودين
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
pat حيشتغل وحيغير source ip address
يعني بدل
192.168.2.55 --> 192.168.1.44
حتكون
196.202.88.122 --> 192.168.1.44
vpn مش حيشتغل لأنه ASA كان متوقع ip address في subnet 192.168.2.0
والترافيك حيحصلوه drop لأنه private ip address 192.168.1.44
لو الأمرين دول كانوا موجودين , vpn حيشتغل لأنه مش حيحصل تغيير ل source ip address
وحتكون 192.168.2.55 --> 192.168.1.44
بارك الله فيك أخي الحبيب وزادك الله من علمه بس بالنسبة للجمل دي
global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
access-group Inbound in interface Outside
الي هي في ال Site الأول ممكن تشرحهالي اذا سمحت وجزاك الله كل خير
static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
إنت عندك سيرفر في DMZ و IP تبعه هو 10.10.10.2 , أي مستخدم إنترنت مش حيقدر يوصل للسيرفر على IP 10.10.10.2 لأنه private ip address عشان كدا لازم نعمل static nat ونغير ip address ل 192.219.220.53
كدا إنت ممكن توصل للسيرفر عن طريق الإنترنت من خلال 192.219.220.53 و ASA حيغير ip ل 10.10.10.2
static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
نفس القصة, عندك سيرفرين , واحد في DMZ وواحد في inside و حتوصلهم من الإنترنت عن طريق public ip address
10.10.10.3 حيتغير ل 196.219.220.52 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر
192.168.1.2 حيتغير ل 196.219.220.51 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر
global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 1 192.168.1.0 255.255.255.0
هنا أي ترافيك طالع منinside ورايح ل outside أو DMZ حيتغير source ip address ل ip الموجود على interface يعني حتصل عملية PAT
مثلا لو واحد رايح للإنترنت و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 196.219.220.50
و واحد رايح ل DMZ و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 10.10.10.1
يعني لو رايح للسيرفر 10.10.10.2
192.168.1.88 --> 10.10.10.2
حيتغير ل 10.10.10.1 --> 10.10.10.2
لو في أكتر من مستخدم حيروحوا ل 10.10.10.2 , كلهم ips تبعتهم كلها حتتغير ل 10.10.10.1 ولكن حيختلف source port
access-list Inbound extended permit tcp any host 196.219.220.53 eq www
access-list Inbound extended permit tcp any host 196.219.220.53 eq https
access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389
دي access list بتسمح للأنترنت users أنهم يوصلوا للسرفرات في DMZ و inside
access-group Inbound in interface Outside
هنا بنربط access-list على outside interface في inbound direction عن طريق كلمة in
in معناها inbound
inbound هو إسم access-list
nat (Inside) 0 access-list Inside_nat0_outbound
تم شرحها سابقا
كساك ربي حرير الجنان أخي الحبي لا أعلم ماذا أقول بارك الله فيك بالنسبة بقى للجمل دي ؟؟crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000crypto map Outside_map 1 match address Outside_1_cryptomapcrypto map Outside_map 1 set peer 196.219.220.50 crypto map Outside_map 1 set transform-set ESP-3DES-MD5crypto map Outside_map 1 set security-association lifetime seconds 28800crypto map Outside_map 1 set security-association lifetime kilobytes 4608000crypto map Outside_map interface Outsidecrypto isakmp enable Outsidecrypto isakmp policy 10مهمتها ايه ؟؟؟ وهل لازم يكون في تطابق بينها وبين نفس الجمل اللي ع السايت التاني ؟؟
بسم الله الرحمن الرحيم
الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
الفكرة والمفهوم واحد بس الأوامر تختلف قليلا
لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set
VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN
------------------------------------------------------------------------------------------------------------------------
نبدأ بإعدادت ISAKMP
crypto isakmp enable Outside
هذا الأمر يقوم بتفعيل isakmp على outside interface
crypto isakmp policy 10
هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها
ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر
ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)
طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به
authentication pre-share
encryption 3des
hash md5
group 2
دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف
- authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
- نوع encryption وهل هو DES أو AES H أو 3DES
- نوع Hashing وهل هو MD5 أو SHA
- نوع DH group وهل هي 2 أو 5 أو 7 أو 1
tunnel-group 196.219.220.50 type ipsec-l2l
هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50
tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key test123
ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها
------------------------------------------------------------------------------------------------------------------------
أعدادات IPSEC
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
هنا إستخدمنا 3des و MD5
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
هنا بنربط transform set مع crypto map إللي إسمها Outside_map
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap
هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map
crypto map Outside_map 1 set peer 196.219.220.50
هنا بنحدد ip تبع الموقع الآخر
crypto map Outside_map interface Outside
هنا بنربط cyrpto map على outside interface
--------------------------------------------------------------------
crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
هنا إستخدمنا رقم 1 ل crypto map
---------------------------------------------------------------
هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA
يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
وممكن تحدده عن طريق الوقتseconds 28800
هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
خاصة ب crypto map معينة
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
بالتوفيق يا أخي الكريم
بسم الله الرحمن الرحيم
الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
الفكرة والمفهوم واحد بس الأوامر تختلف قليلا
لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set
VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN
------------------------------------------------------------------------------------------------------------------------
نبدأ بإعدادت ISAKMP
crypto isakmp enable Outside
هذا الأمر يقوم بتفعيل isakmp على outside interface
crypto isakmp policy 10
هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها
ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر
ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)
طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به
authentication pre-share
encryption 3des
hash md5
group 2
دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف
- authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
- نوع encryption وهل هو DES أو AES H أو 3DES
- نوع Hashing وهل هو MD5 أو SHA
- نوع DH group وهل هي 2 أو 5 أو 7 أو 1
tunnel-group 196.219.220.50 type ipsec-l2l
هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50
tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key test123
ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها
------------------------------------------------------------------------------------------------------------------------
أعدادات IPSEC
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
هنا إستخدمنا 3des و MD5
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
هنا بنربط transform set مع crypto map إللي إسمها Outside_map
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap
هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map
crypto map Outside_map 1 set peer 196.219.220.50
هنا بنحدد ip تبع الموقع الآخر
crypto map Outside_map interface Outside
هنا بنربط cyrpto map على outside interface
--------------------------------------------------------------------
crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
هنا إستخدمنا رقم 1 ل crypto map
---------------------------------------------------------------
هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA
يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
وممكن تحدده عن طريق الوقتseconds 28800
هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
خاصة ب crypto map معينة
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
بالتوفيق يا أخي الكريم
أخي الكريم
جزاك الله كل خير وزادك من علمه وبارك لك فيه
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir