Cấu Hình VPN Client To Site (Remote Access VPN) - Bài Viết Sưu Tầm

Cấu hình VPN Client to Site (Remote Access VPN)

Mô hình:

Ở đây ta sử dụng laptop VPN Client sử dụng wireless bên ngoài Internet có thể kết nối VPN về hệ thống mạng nội bộ ở trụ sở (HQ). Để giả lập môi trường Internet ta sử dụng Router ISP giả lập router ISP.

Cấu hình cơ bản:

Wireless Access Point:

 

Cấu hình cho Laptop0:

 

Router ISP:

hostname ISP ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0

! interface FastEthernet0/1 ip address 203.162.1.1 255.255.255.252 !

ip dhcp excluded-address 192.168.10.1 192.168.10.10

!

ip dhcp pool vpnclient

 network 192.168.10.0 255.255.255.0

 default-router 192.168.10.1

 dns-server 8.8.8.8

!

Router HQ:

hostname HQ ! interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ! interface FastEthernet0/1 ip address 203.162.1.2 255.255.255.252

 crypto map mymap ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/1  Cấu hình VPN client-to-site trên router HQ:

1. Bật chứng thực AAA trên Router HQ sử dụng phương thức chứng thực local

HQ(config)# username cisco password cisco  HQ(config)# aaa new-model  HQ(config)# aaa authentication login default local none

2. Tạo IP pool cho VPN client sử dụng để kết nối VPN:

HQ(config)# ip local pool VPNCLIENTS 172.16.1.10 172.16.1.20

3. Cấu hình Group Authorization (nhóm thẩm định với VPN Server):

HQ(config)# aaa authorization network VPNAUTH local

4. Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)

HQ(config)# crypto isakmp policy 10  HQ(config-isakmp)# authentication pre-share  HQ(config-isakmp)# encryption aes 256  HQ(config-isakmp)# group 2

5. Tạo ISAKMP group là ttggroup và password 123:

HQ(config)# crypto isakmp client configuration group ttggroup HQ(config-isakmp-group)# key 123  HQ(config-isakmp-group)# pool VPNCLIENTS  HQ(config-isakmp-group)# netmask 255.255.255.0

 

6. Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:

HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac

7. Tạo 1 Dynamic Crypto Map:

HQ(config)# crypto dynamic-map mymap 10  HQ(config-crypto-map)# set transform-set mytrans  HQ(config-crypto-map)# reverse-route HQ(config)# crypto map mymap client configuration address respond  HQ(config)# crypto map mymap isakmp authorization list VPNAUTH  HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap  

8. Cấu hình user chứng thực

HQ(config)# aaa authentication login VPNAUTH local  HQ(config)# username quang password 123 HQ(config)# crypto map mymap client authentication list VPNAUTH

9. Cài đặt VPN Client

 

GroupName: ttggroup

Group Key: 123

Host IP (Server IP):203.162.1.2

Username: cisco

Password: cisco

Thế này là kết nối thành công:

 

Tiến hành ping từ VPN Client đến Server 0:

 

Lưu ý: Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client.

 

Kiểm tra hoạt động VPN:

Code:

HQ# show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 192.168.10.11 203.162.1.2 QM_IDLE 1070 0 ACTIVE IPv6 Crypto ISAKMP SA HQ#

Code:

HQ# show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: mymap, local addr 203.162.1.2 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.12/255.255.255.255/0/0) current_peer 192.168.10.11 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 203.162.1.2, remote crypto endpt.:192.168.10.11 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0x1F2703F6(522650614) inbound esp sas: spi: 0x35592B74(895036276) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2006, flow_id: FPGA:1, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4525504/1521) IV size: 16 bytes replay detection support: N Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x1F2703F6(522650614) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2007, flow_id: FPGA:1, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4525504/1521) IV size: 16 bytes replay detection support: N Status: ACTIVE outbound ah sas: outbound pcp sas: HQ#

 

 

Cấu hình running:

HQ#show running-config 

Building configuration...

Current configuration : 1458 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname HQ

!

!

!

!

!

!

!

aaa new-model

!

aaa authentication login VPNAUTH local 

aaa authentication login default local none 

!

!

aaa authorization network VPNAUTH local

!

!

!

!

!

ip cef

no ipv6 cef

!

!

!

username cisco password 0 cisco

username quang password 0 123

!

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

!

!

!

crypto isakmp client configuration group ttggroup

key 123

pool VPNCLIENTS

netmask 255.255.255.0

!

!

crypto ipsec transform-set mytrans esp-3des esp-sha-hmac

!

crypto dynamic-map mymap 10

set transform-set mytrans 

reverse-route

!

crypto map mymap client authentication list VPNAUTH

crypto map mymap isakmp authorization list VPNAUTH

crypto map mymap client configuration address respond

crypto map mymap 10 ipsec-isakmp dynamic mymap

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface FastEthernet0/0

 ip address 172.16.1.1 255.255.255.0

 duplex auto

 speed auto

!

interface FastEthernet0/1

 ip address 203.162.1.2 255.255.255.252

 duplex auto

 speed auto

 crypto map mymap

!

interface Vlan1

 no ip address

 shutdown

!

ip local pool VPNCLIENTS 172.16.1.10 172.16.1.20

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 

!

ip flow-export version 9

!

!

access-list 100 permit ip 172.16.1.0 0.0.0.255 any

!

line con 0

!

line aux 0

!

line vty 0 4

!

!

!

end

HQ#

 

ISP#sh running-config 

Building configuration...

Current configuration : 737 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname ISP

!

!

!

!

ip dhcp excluded-address 192.168.10.1 192.168.10.10

!

ip dhcp pool vpnclient

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 8.8.8.8

!

!

!

ip cef

no ipv6 cef

!

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface FastEthernet0/0

ip address 192.168.10.1 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 203.162.1.1 255.255.255.252

duplex auto

speed auto

!

interface Vlan1

no ip address

shutdown

!

ip classless

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

!

line aux 0

!

line vty 0 4

login

!

!

!

end

ISP#