Tweet
Bùi Nguyễn Hoàng Long
I. Mô tả
Thực hiện kết nối IPSec VPN remote-access dùng xác thực RSA Sig
II. Cấu hình
Đảm bảo CA được cấu hình
Cấu hình trên VPN Client
B1: Đăng ký với CA
B2: Xác định thông tin định danh trong chứng chỉ của người dùng, giá trị OU tương ứng với tên nhóm
B3: Thực hiện Issue trên CA
B4: Nhận chứng chỉ
B5: Thực hiện bước xác thực (bỏ trống nếu “Require SCEP Challenge Phrase to Enroll” không được chọn trong qua trình cài đặt SCEP)
Nhận chứng chỉ thành công
B6: Tạo thông tin kết nối mới
Chọn xác thực bằng chứng chỉ
III. Cấu hình đầy đủ
SAIGON
Building configuration...
!
hostname SAIGON
!
aaa new-model
!
aaa authentication login VPN local
aaa authorization network VPN local
!
ip cef
no ip dhcp use vrf connected
!
ip domain name vnpro.org
ip host CASERVER 152.1.1.1
!
crypto pki trustpoint CA
enrollment mode ra
enrollment url http://CASERVER:80/certsrv/mscep/mscep.dll
subject-name cn=VNPRO,e=vnpro.vn,O=VNPRO
revocation-check none
!
crypto pki certificate chain CA
certificate 611258E6000000000004
30820406 308202EE A0030201 02020A61 1258E600 00000000 04300D06 092A8648
86F70D01 01050500 3010310E 300C0603 55040313 05564E50 524F301E 170D3039
..............
quit
certificate ca 548EB1B58D23558D48C79B10999FC6EF
3082035C 30820244 A0030201 02021054 8EB1B58D 23558D48 C79B1099 9FC6EF30
0D06092A 864886F7 0D010105 05003010 310E300C 06035504 03130556 4E50524F
...............
quit
username vnpro password 0 vnpro
!
crypto isakmp policy 10
encr 3des
hash md5
group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group VPNCLIENT
domain vnpro.org
pool MYPOOL
crypto isakmp profile ISAKMP_PROFILE
match identity group VPNCLIENT
client authentication list VPN
isakmp authorization list VPN
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
!
crypto ipsec profile IPSEC_PROFILE
set transform-set MYSET
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 150.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!
ip local pool MYPOOL 192.168.10.2 192.168.10.10
ip classless
ip route 0.0.0.0 0.0.0.0 150.1.1.2
!
IV. Kiểm tra
Thực hiện kết nối
Giao tiếp thành công
Trạng thái ISAKMP
SAIGON#sh crypto isakmp sa
dst src state conn-id slot status
150.1.1.1 151.1.1.1 QM_IDLE 1 0 ACTIVE
SAIGON#sh crypto session
Crypto session current status
Interface: Virtual-Access2
Session status: UP-ACTIVE
Peer: 151.1.1.1 port 3257
IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
Active SAs: 2, origin: crypto map
Trạng thái IPSec
SAIGON#sh crypto ipsec sa
interface: Virtual-Access2
Crypto map tag: Virtual-Access2-head-0, local addr 150.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/0/0)
current_peer 151.1.1.1 port 3257
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 44, #pkts decrypt: 44, #pkts verify: 44
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
Thông tin bảng định tuyến
SAIGON#sh ip route static
192.168.10.0/32 is subnetted, 1 subnets
S 192.168.10.2 [1/0] via 0.0.0.0, Virtual-Access2
S* 0.0.0.0/0 [1/0] via 150.1.1.2
SAIGON#sh crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
M - Continuous Channel Mode
Interface: Virtual-Access2
Session status: UP-ACTIVE
Peer: 151.1.1.1 port 3257 fvrf: (none) ivrf: (none)
Phase1_id: ea=nguyenvana@vnpro.vn,cn=Nguyen Van A,ou=VPNCLIENT,o=VNPRO
Desc: (none)
IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
Capabilities:CX connid:1 lifetime:23:54:01
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 44 drop 0 life (KB/Sec) 4467464/3257
Outbound: #pkts enc'ed 8 drop 0 life (KB/Sec) 4467471/3257
Thực hiện IPSec VPN Remote-access xác thực với RSA Sig
Thực hiện kết nối IPSec VPN remote-access dùng xác thực RSA Sig
II. Cấu hình
Đảm bảo CA được cấu hình
Cấu hình trên VPN Client
B1: Đăng ký với CA
B2: Xác định thông tin định danh trong chứng chỉ của người dùng, giá trị OU tương ứng với tên nhóm
B3: Thực hiện Issue trên CA
B4: Nhận chứng chỉ
B5: Thực hiện bước xác thực (bỏ trống nếu “Require SCEP Challenge Phrase to Enroll” không được chọn trong qua trình cài đặt SCEP)
Nhận chứng chỉ thành công
B6: Tạo thông tin kết nối mới
Chọn xác thực bằng chứng chỉ
III. Cấu hình đầy đủ
SAIGON
Building configuration...
!
hostname SAIGON
!
aaa new-model
!
aaa authentication login VPN local
aaa authorization network VPN local
!
ip cef
no ip dhcp use vrf connected
!
ip domain name vnpro.org
ip host CASERVER 152.1.1.1
!
crypto pki trustpoint CA
enrollment mode ra
enrollment url http://CASERVER:80/certsrv/mscep/mscep.dll
subject-name cn=VNPRO,e=vnpro.vn,O=VNPRO
revocation-check none
!
crypto pki certificate chain CA
certificate 611258E6000000000004
30820406 308202EE A0030201 02020A61 1258E600 00000000 04300D06 092A8648
86F70D01 01050500 3010310E 300C0603 55040313 05564E50 524F301E 170D3039
..............
quit
certificate ca 548EB1B58D23558D48C79B10999FC6EF
3082035C 30820244 A0030201 02021054 8EB1B58D 23558D48 C79B1099 9FC6EF30
0D06092A 864886F7 0D010105 05003010 310E300C 06035504 03130556 4E50524F
...............
quit
username vnpro password 0 vnpro
!
crypto isakmp policy 10
encr 3des
hash md5
group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group VPNCLIENT
domain vnpro.org
pool MYPOOL
crypto isakmp profile ISAKMP_PROFILE
match identity group VPNCLIENT
client authentication list VPN
isakmp authorization list VPN
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
!
crypto ipsec profile IPSEC_PROFILE
set transform-set MYSET
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 150.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!
ip local pool MYPOOL 192.168.10.2 192.168.10.10
ip classless
ip route 0.0.0.0 0.0.0.0 150.1.1.2
!
IV. Kiểm tra
Thực hiện kết nối
Giao tiếp thành công
Trạng thái ISAKMP
SAIGON#sh crypto isakmp sa
dst src state conn-id slot status
150.1.1.1 151.1.1.1 QM_IDLE 1 0 ACTIVE
SAIGON#sh crypto session
Crypto session current status
Interface: Virtual-Access2
Session status: UP-ACTIVE
Peer: 151.1.1.1 port 3257
IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
Active SAs: 2, origin: crypto map
Trạng thái IPSec
SAIGON#sh crypto ipsec sa
interface: Virtual-Access2
Crypto map tag: Virtual-Access2-head-0, local addr 150.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/0/0)
current_peer 151.1.1.1 port 3257
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 44, #pkts decrypt: 44, #pkts verify: 44
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
Thông tin bảng định tuyến
SAIGON#sh ip route static
192.168.10.0/32 is subnetted, 1 subnets
S 192.168.10.2 [1/0] via 0.0.0.0, Virtual-Access2
S* 0.0.0.0/0 [1/0] via 150.1.1.2
SAIGON#sh crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
M - Continuous Channel Mode
Interface: Virtual-Access2
Session status: UP-ACTIVE
Peer: 151.1.1.1 port 3257 fvrf: (none) ivrf: (none)
Phase1_id: ea=nguyenvana@vnpro.vn,cn=Nguyen Van A,ou=VPNCLIENT,o=VNPRO
Desc: (none)
IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
Capabilities:CX connid:1 lifetime:23:54:01
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 44 drop 0 life (KB/Sec) 4467464/3257
Outbound: #pkts enc'ed 8 drop 0 life (KB/Sec) 4467471/3257