Настройка Enhanced Easy VPN Server на ISR маршрутизаторах Cisco.
Задача
Обеспечить удаленным пользователям ограниченный доступ (только к одному серверу) в корпоративной сети (LAN) по шифрованному каналу.
Оборудование – CISCO 18XX
Шифрованный канал организован с использованием технологий Cisco Enhanced Easy VPN на сервере и Cisco VPN Client в качестве Remote части. Cisco Enhanced Easy VPN – это традиционный Easy VPN реализованный с использованием dynamic VTI вместо crypto map.
Cisco Router
|
Удаленный клиент
|
Cisco Enhanced Easy VPN Server (dVTI)
|
Easy VPN remote (Cisco VPN Client)
|
IOS - Version 12.4 ADVANCED SECURITY
Аутентификация – pre-shared key
Аутентификация – pre-shared key
Split Tunneling – разрешен
Пользователю назначается адрес из диапазона (10.10.10.1-10.10.10.254) и разрешается доступ только к почтовому серверу сети (10.10.20.0/24). Права доступа являются per-group-based.
Аутентификация и авторизация пользователей будет производиться с помощью локальной базы, т.к. по аутентификация LDAP не поддерживается, а развертывание дополнительного Radius сервера для малого офиса представляется неэффективным.
Создадим ACL для Split Tunnel
Заходим в режим конфигурации
Cisco_Router# conf t
и получаем такую строку приглашения режима конфигурации
Cisco_Router(config)#
Далее строка приглашения не показана
На Cisco Router создаем пользователя VPNUSER
username VPNUSER password VPNpass
На Cisco Router определяем локальную аутентификацию и авторизацию
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
Для запрещения пользователю доступа к локальному shell используем ATTRIBUTE LIST
aaa attribute list VPNaccess
attribute type service-type noopt service shell mandatory
Назначаем созданному пользователю этот ATTRIBUTE LIST
username VPNUSER aaa attribute list VPNaccess
Создадим пул адресов
ip local pool dpool 10.10.10.1 10.10.10.254
Определяем CRYPTO POLICY
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10
Задаем TRANSFORM-SET
crypto ipsec transform-set MYSET esp-3des esp-sha-hmac
Определяем VTI PROFILE
crypto ipsec profile VTI
set transform-set MYSET
set isakmp-profile VPNRemoteProfile
set isakmp-profile VPNRemoteProfile
Создадим шаблон клиентского профайла
crypto isakmp profile VPNRemoteProfile
match identity group RemoteVPN
client authentication list default
isakmp authorization list default
client configuration address respond
virtual-template 1
Создадим ACL для Split Tunnel
ip access-list extended Split_Tunnel_ACL
permit ip 10.10.20.0 0.0.0.255 any
Создаем группу VPN
crypto isakmp client configuration group RemoteVPN
key VPNRemote
dns 10.10.10.5
domain mydomain.ru
pool dpool
acl Split_Tunnel_ACL
access-restrict FastEthernet0/1
pfs
Создадим ACL для VPN Access
ip access-list extended VPN_Access
permit ip 10.10.10.0 0.0.0.7 10.10.20.0 0.0.0.255 log
Создадим шаблон VTY для пользователей
interface Virtual-Template 1 type tunnel
ip unnumbered FastEthernet0/1
ip access-group VPN_Access in
ip access-group VPN_Access in
Команды для проверки
show aaa attributes protocol radius
show crypto session detail
show interface virtual-template
show ip interface brief
debug aaa per-user
debug aaa per-user
Все, можно пользоваться.
Ссылки
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.