Назад | Перейти на главную страницу

Как я могу подключиться к Cisco ASA5540 из Windows Server 2012 через IPSEC?

Учитывая клиент Windows Server 2012 (который у меня находится под полным контролем администратора) и внешний маршрутизатор Cisco ASA5540 (которого у меня нет), я хотел бы подключиться к маршрутизатору для доступа к их внутренней сети через ipsec VPN.

Детали подключения:

Фаза 1 IKE: Схема шифрования: IKE
Ключевые методы обмена: 3DES
Алгоритм хеширования: MD5
Метод аутентификации: Предварительный общий секретный агрессивный режим Поддержка: Нет
Группа Диффи Хелмена для фазы 1: Группа 2 (предпочтительно) Срок службы IKE SA (фаза 1): 1440 секунд

Фаза 2 IKE: Схема шифрования: IKE
Преобразование (протокол IPSec): Алгоритм шифрования ESP Целостность данных 3DES: MD5 Использование Perfect Forward Secrecy (PFS): Нет
Группа Диффи Хелмена для ВБП: Группа 2 (предпочтительно)
Срок службы IPSEC SA (фаза 2) 28800 секунд Обмен ключами для подсетей: Да

Домен шифрования: 192.168.113.0/24 Правила политики безопасности: Источник: 10.135.1.80/32 -> Место назначения: 192.168.251.32/32

(Не могу внести изменения в конфигурацию роутера)

Каковы конкретные шаги для подключения к этому маршрутизатору с использованием любого клиента или какого-либо метода?

Путь наименьшего сопротивления - запросить у людей, управляющих целевым брандмауэром, копию клиента Cisco IPSEC VPN. или для доступа с использованием SSL AnyConnect VPN. Посмотрите, могут ли они предоставить Файл конфигурации PCF тебе.

(Клиент IPSEC VPN был недоступен и не использовался для их конфигурации)

Наше решение, позволяющее другим людям понять это, не ударяясь головой о стену в течение 3 дней:

  • Установить openswan ( https://www.openswan.org/ ) в промежуточный ящик linux. Попробовав 5 различных программ VPN в Windows, openswan, похоже, единственный, кто может это сделать.

  • Добавьте новый виртуальный интерфейс для NAT IP (подробности см. в документации)

    ifconfig eth0: 1 10.135.1.80

  • Отредактируйте \ etc \ ipsec.conf:

conn vpc-to-asa
  type=tunnel
  forceencaps=yes
  authby=secret
  compress=no
  disablearrivalcheck=no
  left=myip.myip.myip.myip
  leftid=myip.myip.myip.myip
  leftsubnets={10.135.1.80/32}
  leftsourceip=10.135.1.80
  right=a.b.c.d
  rightsubnets={192.168.251.32/32}
  rightsourceip=192.168.251.32
  keyexchange=ike
  ike=3des-md5
  salifetime=28800s
  pfs=no
  auto=start
  dpdaction=restart
  phase2=esp
  esp=3des-md5

  • отредактируйте \ etc \ ipsec.secrets, чтобы добавить обмененный ключ

  • запуск службы ipsec должен вызвать новый интерфейс

  • Инструменты отладки:

отслеживать весь трафик через порт 4500:

sudo tcpdump -i eth0 udp port 4500

текущий статус привязки ipsec:

ipsec auto --status

все маршруты, доступные в настоящее время через ipsec:

ipsec look
  • как только все будет хорошо с помощью ipsec, вы можете либо добавить L2TP для подключения на базе Windows VPN, либо просто SSH-туннель для соответствующих портов