Меню

Cisco asa 5505 настройка vpn asdm



Настройка Cisco ASA 5505, 5506, 5510, 5515, 5516 и др

На это странице вы найдете большую подборку уроков и советов по настройке межсетевых экранов Cisco ASA: ASA 5505, ASA 5506, ASA 5510, ASA 5515, ASA 5516 и других мало отличаются друг от друга.

СОДЕРЖАНИЕ:

  • Быстрая настройка Cisco ASA 5500-X с нуля для доступа в Интернет
  • Экспресс настройка AnyConnect VPN на Cisco ASA через ASDM
  • Первое подключение к Cisco ASA Firewall и начальная настройка
  • Настройка интерфейсов и протоколов управления Сisco ASA
  • Настройка Cisco ASA 5506-X через PPPOE
  • Cisco ASA – удаленное управление по SSH, настройка NAT
  • Сброс Cisco ASA на заводские настройки (по умолчанию)
  • Сброс пароля на Cisco ASA 5505, 5506, 5510, 5515, 5516 и др
  • Настройка DHCP на межсетевом экране Cisco ASA

Быстрая настройка Cisco ASA 5500-X с нуля для доступа в Интернет

Начальная настройка Cisco ASA с нуля командной строкой CLI и графическим интерфейсом ASDM. Типовая конфигурация ASA 5500-X для организации безопасного доступа в Интернет небольшой компании или домашней сети. Пошаговая инструкция:

Типовые вопросы по настройке Cisco ASA с нуля

  • Как настраивать ASA, когда нужно создать маршрутизацию между различными Vlan?

Если используется статика, то для каждого VLAN-а на клиентах указывается в качестве шлюза IP интерфейса/саб интерфейса ASA для этого VLAN-а. Единственная тонкость — если интерфейсы / саб интерфейсы ASA имеют одинаковый security-level, то для хождения трафика между ними надо добавить команду same-security-traffic permit inter-interface.

Если нужны динамические протоколы маршрутизации, то тут также все стандартно, включаем нужный протокол и указываем участвующие сети / подсети.

Вот пример настройки с саб интерфейсами на ASA и транком до коммутатора и статической маршрутизацией:

ip address 192.168.1.1 255.255.255.0

ip address 192.168.2.1 255.255.255.0

same-security-traffic permit inter-interface

Этого достаточно чтобы пакеты начали ходить между VLAN-ами 10 и 20

Экспресс настройка AnyConnect VPN на Cisco ASA через ASDM

Простая пошаговая настройка Cisco AnyConnect VPN на ASA с нуля через графический интерфейс ASDM.

Типовая конфигурация AnyConnect для организации безопасного удаленного доступа в корпоративную сеть через Интернет.

Типовые вопросы по настройке AnyConnect VPN:

  • Не подключается по созданному пользователю ra-user, только под локальным админом

Обратите внимание, что ra-user – это обычный пользователь, для входа в сеть, но не для доступа к самой ASA. У админа другой уровень доступа (priv 15).ы

  • Где его брать файл .pkg

Это часть пакета AnyConnect, которая доступна для скачивания с software.cisco.com при наличии аккаунта и оплаченного сервисного пакета

  • Возможно ли настроить так, чтобы определенному пользователю всегда выдавался один и тот же IP-адрес?

Метод 1. Можно и постоянный IP и индивидуальные ACL и многое другое через внешний RADIUS сервер (Cisco ACS, ISE).

Метод 2. Также это можно сделать и через атрибуты пользователя, например:

ASA(config)# username test attributes

ASA(config-username)# vpn-framed-ip-address 10.1.1.1 255.255.255.0

Если авторизация идет по локальной базе пользователей, то этот метод должен работать. Но всё надо тестировать и отлаживать, например, с помощью debug. Возможны нюансы.

Первое подключение к Cisco ASA Firewall и начальная настройка

В этом видеоуроке рассмотрено:

  • первоначальное подключении к Cisco ASA (настройка с нуля);
  • загрузка устройства ASA5515X-K8;
  • особенности работы в среде управления в командной строке;
  • правила и особенности настройки интерфейсов, включая наименования и уровень безопасности;
  • описание правил ASA Firewall по умолчанию.
Читайте также:  Настройка смс мегафон xiaomi

Видео сильно облегчит жизнь тем, кто знаком с Cisco IOS CLI, но впервые подключается к Cisco ASA.

Настройка интерфейсов и протоколов управления Сisco ASA

В уроке рассмотрено:

  • правильная настройка интерфейсов Cisco ASA;
  • настройка протоколов управления telnet, ssh, http/https/ASDM;
  • особенности настройки консольного доступа;
  • настройка пользователей и enable password;
  • настройку AAA для аутентификации из локальной базы LOCAL.

А также как объединить несколько портов в транк LACP, место Native Vlan и особенности использования VLan 1 на саб-интерфейсах ASA Subinterfaces, включая PortChannel.

Настройка Cisco ASA 5506-X через PPPOE

В этом видео показано, как настроить межсетевой экран ASA 5506-X, подключив одну внутреннюю подсеть локальной сети к внешнему интернет-маршрутизатору с помощью PPPOE.

Cisco ASA – удаленное управление по SSH, настройка NAT

Сброс Cisco ASA 5505, 5506, 5510, 5515, 5516 на заводские настройки (по умолчанию)

Для сброса настроек на заводские есть простая команда: config factory-default

Сброс пароля на Cisco ASA 5505, 5506, 5510, 5515, 5516 и др

Во время загрузки нажимаем клавишу Escape и попадаем RAMMON. Отвечаем утвердительно на вопросы «Do you wish to change this configuration?» и «disable system configuration?».

rommon #1> confreg

Далее даем серию команд (пароль для enable — пустой):

hostname# copy startup-config running-config

hostname# configure terminal

hostname(config)# config factory-default

YOURPASS — Придумайте себе пароль сами:

hostname(config)# enable password YOURPASS

hostname(config)# config-register 0x10011

hostname(config)# copy running-config startup-config

Настройка DHCP на межсетевом экране Cisco ASA

Цены на сайте указаны с НДС.

При безналичном расчете цена не меняется.

Доставка по России, в Казахстан, в Беларусь. По Москве БЕСПЛАТНО!

Оперативный подбор оборудования и аналогов.

Источник

Настройка VPN на Cisco ASA

Read the article CONFIGURING VPN ON CISCO ASA in English

Эта статья является логическим продолжением инструкции по настройке VPN между двумя маршрутизаторами Cisco, однако выделена в отдельный материал, так как в центре внимание здесь – настройка межсетевого экрана Cisco ASA.

По условию необходимо связать с помощью VPN соединения сети двух офисов – главного и дополнительного. Однако сейчас в головном офисе, вместо маршрутизатора Cisco 2800 будет использоваться межсетевой экран Cisco ASA 5510.

В распоряжении имеются:
Межсетевой экран Cisco ASA 5510 в главном офисе

  • Пользователи расположены в сети 192.168.10.0 /24
  • Внешний статический адрес 1.1.1.2 /30
  • Шлюз провайдера 1.1.1.1 /30

Маршрутизатор Cisco 881 в дополнительном офисе.

  • Пользователи расположены в сети 192.168.20.0 /24
  • Внешний статический адрес 2.2.2.2 /30
  • Шлюз провайдера 2.2.2.1 /30

Команды для маршрутизатора Cisco 881 рассмотрены в описании второго «универсального» способа настройки VPN тоннелей в статье «Настройка VPN между маршрутизаторами Cisco», поэтому здесь будет рассмотрена только конфигурацию Cisco ASA. На межсетевом экране уже будут выполнены предварительные настройки из статьи «Cisco ASA. Основы»: организовано удаленное управление и обеспечен доступ в Интернет из локальной сети офиса.

Шаг 0

Если версия операционной системы IOS старше, чем 8.3 (посмотреть текущую версию можно командой sh ver), то для упрощения конфигурации убираем настройку nat-control
FW-DELTACONFIG-1(config)#
no nat-control

Читайте также:  Что такое apn type в настройках

Шаг 1. Проверка настройки интерфейсов

Проверяем, что на межсетевом экране корректно сконфигурированы внешний (outside) и внутренний (inside) интерфейсы. Из-за того, что в этой статье расссматривается модель Cisco ASA 5510 (вместо 5505) настройки чуть отличаются от тех, что приведены в упомянутой статье: ip адреса и иные параметры вместо виртуальных интерфейсов Vlan задаются сразу на физических интерфейсах Ethernet 0 и Ethernet 1.
Внешний интерфейс outside
FW-DELTACONFIG (config)#
interface Ethernet 0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut

Внутренний интерфейс inside для локальной сети.
FW-DELTACONFIG (config)#
interface Ethernet 1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
no shut

Шаг 2. Настройка параметров шифрования

Вводим параметры для шифрования трафика межу головным и дополнительным офисами и включаем шифрование на внешнем интерфейсе outside. Они идентичны тем, которые используются на маршрутизаторе Cisco 881 в удаленном офисе.
Для версий IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto isakmp enable outside

Для версий IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 enable outside

Шаг 3. Определение трафика, подлежащего шифрованию

Создаем список доступа ACL_CRYPTO_DO, в котором указываем трафик, подлежащий шифрованию. Остальные пакеты не будут отправляться в VPN тоннель.
FW-DELTACONFIG-1(config)#
access-list ACL_CRYPTO_DO extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0

Шаг 4. Создание политики шифрования

Создаем политику шифрования (crypto map), в которой даем ссылки на все правила и параметры шифрования, которые были созданы в шаге 2 и 3.
Для версии IOS до 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set transform-set ESP-3DES-SHA
Привязываем ее к внешнему интерфейсу outside.
FW-DELTACONFIG-1(config)#
crypto map SECMAP interface outside
Задаем ключ шифрования
FW-DELTACONFIG-1(config)#
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
pre-shared-key XXXXX
Вместо XXXXX указываем сам ключ для VPN с удаленной площадкой. Он будет одинаковым и на Cisco ASA в головном офисе и на Cisco 881 на удаленной площадке. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и специальные символы.

Все то же самое для версии IOS после 9.0
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer 2.2.2.2
crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA

crypto map SECMAP interface outside

tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key XXXXX

Шаг 5. Маршрутизация

Явно задаем маршрут до сети удаленного офиса через внешний интерфейс (outside) и шлюз провайдера Интернет (1.1.1.1)
FW-DELTACONFIG-1(config)#
route outside 192.168.20.0 255.255.255.0 1.1.1.1

Шаг 6. Предотвращение ненужной трансляции адресов (NO-NAT)

Если помимо VPN подключения Cisco ASA используется для доступа пользователей в сеть Интернет (настроен динамический NAT для трансляции внутренних адресов во внешний), то добавьте эти строки, чтобы не транслировать трафик, предназначенный для всех внутренних сетей с частными ip адресами.

Читайте также:  Akg sr 450 настройка

Команды для новых версий IOS, начиная с 8.3
object-group network NET_PRIVATE_IP
network-object 10.0.0.0 255.0.0.0
network-object 172.16.0.0 255.240.0.0
network-object 192.168.0.0 255.255.0.0

nat ( any,any ) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT

Команды для старых версий IOS ниже 8.3

access-list NO-NAT extended permit ip any 10.0.0.0 255.0.0.0
access-list NO-NAT extended permit ip any 192.168.0.0 255.255.0.0
access-list NO-NAT extended permit ip any 172.16.0.0 255.240.0.0

nat ( inside ) 0 access-list NO-NAT

Если этого не сделать, то тоннель установится, но пакеты по нему передаваться не будут.

Шаг 7. Проверка работы VPN тоннеля

После выполнения настроек на маршрутизаторе Cisco 881 в дополнительном офисе проверяем работу VPN подключения, запустив ping с одного из хостов локальной сети головного офиса до одного из хостов дополнительного.
Проверить состояние тоннеля можно следующими командами:

  • Просмотр активных тоннелей командой show crypto isakmp sa

FW-DELTACONFIG-1# sh cry isa sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Любое значение кроме(!) MM_ACTIVE означает, что тоннель не работает. Если он не устанавливается в течение минуты, следует проверить все введенные параметры и их полное соответствие на обоих устройствах, участвующих в шифровании.
Полное отсутствие информации при выводе этой команды скорее всего означает, что где-то пропущена какая-то строчка, например привязка crypto map ко внешнему интерфейсу.

Важно!
Обратите внимание, что построение VPN тоннеля начинается только после появления трафика, подлежащего шифрованию, между внутренними сетями.

  • Команда show crypto ipsec sa показывает количество переданных и полученных пакетов внутри VPN тоннеля. Незаменима во время отладки подключения. Информация доступна только(!) в случае, когда тоннель установлен. Если тоннеля нет, то вывод будет пустым.

FW-DELTACONFIG-1# sh cry ips sa
interface: outside
/. вырезано . /
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.255/0/0)
current_peer: 2.2.2.2
#pkts encaps: 4748, #pkts encrypt: 4748, #pkts digest: 4748
#pkts decaps: 4432, #pkts decrypt: 4432, #pkts verify: 4432
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 4748, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
/. вырезано . /
Строчка с pkts encaps отображает количество пакетов, которые были зашифрованы и отправлены в сторону соседнего офиса
Строчка с pkts decaps отображает количество пакетов, которые пришли с другой стороны тоннеля и были расшифрованы.

  • Команда clear crypto isakmp sa позволяет сбросить текущие vpn тоннели для их повторной инициализации. А команда clear crypto ipsec sa peer 2.2.2.2 сбросит счетчики входящих и исходящих пакетов.

Не стесняйтесь написать мне, если у Вас возникли вопросы или возникают трудности с настройкой подобных подключений. Буду рад помочь.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Источник

Adblock
detector