转到正文

天亮了说晚安's Blog

欢迎您的光临! http://www.tllswa.com

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=991966&extra=page%3D2 *******************************************1、清空所有密钥对及PKI TRUSTPOINT(config)#crypto key zeroize rsa(config)#no crypto pki trustpoint XXX*******************************************2、外部链接在花生壳官网申请顶级域名,包含txt记录,同时对顶级域名打开DDNS服务设备配置:!ip ddns update method orayHTTP  add http://xxx:xxx@ddns.oray.com/ph/update?hostname=www.kagamigawa.tech&&myip=interval maximum 0 0 1 0interval minimum 0 0 1 0!interface GigabitEthernet1description WANno ip addresspppoe enable group globalcdp enablepppoe-client dial-pool-number 1!interface Dialer1description WANip ddns update hostname www.kagamigawa.techip ddns update oray host ddns.oray.comip address negotiatedip nat outsideencapsulation pppip tcp adjust-mss 1452dialer pool 1ppp pap sent-username xxx password 7 xxxppp ipcp dns requestppp ipcp route default!测试下连通性:C:\Users\Lenovo>......Read More

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=990787&extra=page%3D10 需求:1.Inside访问国外路由优先走HK路由器(假定61.128.0.0/8为国内路由,其他都为国外路由)2.Inside访问国内路由优先走ADSL路由器3.DXoutside接口对外提供L2L和anyconnect VPN,允许访问Inside 备注:测试用的ASAv9.91,如果用ASAv9.71相同的路由配置,SSL VPN和L2L VPN会无法连通。二.基本配置1.ASAv防火墙hostname ASAvinterface GigabitEthernet0/0    nameif HKoutside    security-level 0    ip address 202.100.1.10 255.255.255.0    no shutdowninterface GigabitEthernet0/1    nameif DXoutside    security-level 0    ip address 202.100.2.10 255.255.255.0    no shutdowninterface GigabitEthernet0/2    nameif ADSLoutside    security-level 0    ip address 202.100.3.10 255.255.255.0    no shutdowninterface GigabitEthernet0/3    nameif Inside    security-level 100  ......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-vpn-policy-proc/ ASA收到VPN请求,由tunnel-group来识别VPN类型(L2L or 远程拨号 or SSLVPN),然后使用tunnel-group中的认证方法(LOCAL or Radius)进行认证,认证通过后经过以下5个关联属性叠加,得到用户的最终的策略 1.用户属性2.用户属性中关联的group-policy3.tunnel-group中关联的group-policy4.系统默认的group-policy:DfltGrpPolicy5.tunnel-group的属性 这5个策略优先级从高到低,存在重复项时,优先使用最先匹配到的策略。 tunnel-group tunnel-group用于终结VPN连接。一个VPN请求到达VPN,ASA找到一个与之关联的tunnel-group,tunnel-group为每一个成员定义了VPN连接的脚本。 – L2L VPN 当一个L2L VPN抵达ASA,ASA通过这次请求源IP(对端加密点)来查询本地的tunnel-group,如果有一个有一个tunnel-group的名字等于该IP,那么就使用tunnel-group内的pre-shared-key对这次VPN进行认证。 12tunnel-group 61.128.1.1 type ipsec-l2lpre-shared-key IPSECKEY – EZVPN EZVPN的第一阶段认证group的名字必须能和tunnel-group名字一致 12345678tunnel-group ......Read More

原文作者: Mansur 原文链接: http://nbma.info/ezvpn-base/ 协商过程 第1阶段 AM模式,不预选协商DH Group强度,所以必须强制指定group2三个包,因为省略了第一阶段前四个包。第1个包client先发自己支持的策略,组名和预共享密钥第2个包server使用PSK认证client第3个包完成协商 1.5阶段 XAUTH:认证用户(用户名密码/AAA)MODE-CFG:推送策略 第2阶段 快速模式,三个包 配置 第1阶段 1234567crypto isakmp policy 20encr 3desauthentication pre-sharegroup 2crypto isakmp client configuration group GROUPkey NBMAKEY 1.5阶段 123456789101112#配置xauthaaa new-modelaaa authentication login EZ-XAUTH localaaa authorization network EZ-MODE-CFG localusername cisco password 0 cisco#配置策略ip local pool POOL 11.11.11.10 11.11.11.110crypto isakmp client configuration group EZ-GROUPpool POOL 启用aaa之后建议在设备上开启线下保障策略,确保任何时候都可以使用console口 123456aaa newaaa authentication login noacs line noneline con 0login authen noacsline aux 0login authen noacs 第......Read More

原文作者: Mansur 原文链接: http://nbma.info/getvpn/ Group Encrypted Transport VPN,思科私有技术用于内网(全局可路由)加密的VPN,不是互联网VPN(peer无法直接路由)目前的场景是用于加密MPLS VPN,因为MPLS本身只是加标签,并没有加密 封装格式 copy原始IP头部,然后内部用ESP加密IP数据报文,不影响QoS 123+———-—+———-+————–+| 原始IP头部 | esp头部 | 加密原始IP报文 |+———–+——–+————–+ 原理 组成员Group Member向密钥服务器Key Server注册,KS上配置策略,产生一个ipsec sa,向同一组的GM推送sa和感兴趣流。组内成员可以实现any-to-any通讯,支持单播和组播 KS:验证组成员,管理安全策略,产生组密钥,分发策略和密钥,并不能加解密数据GM:加密设备,组播参与者,在安全和不安全区域执行路由。GETVPN最好有组播环境,这样KS只向一个组播地址分发即可。GDOI: Group Domain of Interpretation 公有协议,用于KS和GM之间通讯,和其他厂商兼容,UDP848 KSCP: Cooperative Protocol 协......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-pptp-l2tp/ 写的有点乱 动态map和静态map 使用场景:hub固定IP,另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPNpeer端直接普通的静态map配置hub端使用动态map 123crypto dynamic-map DY-MAP 10set transform-set TRANScrypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP ikev2的SVTI 待补充 NAT穿越问题 ike 1-2包同时判断对方是否支持NAT-T3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B,然后对端收到后用收到的源目IP进行hash,如果不一致则后续5-6等包全都启用udp4500封装。 远程拨号VPN 1,vpdn:pptp, l2tp over ipsec2,EzVPN3,SSL VPN pptp 协商过程:TCP 1723PPP封装内层,外层是GRE,本身并不加密IPSEC只能用来加密IP流量,而PPTP还支持非IP,如IPX等在ASA上需要inspect pptp解决穿越问题 l2tp over ipsec L2TP:UDP1701PPP封装内层,外层是UDP,本身并不加密配合ipsec之后在PPP之外加上esp,对esp内部加密 平常不需要使用以下技术,直接使用GRE over IPSec或者SVTI直接跑动态即可 RRI反向路由注入 多个......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-ikev2-config/ IOS配置 1234567891011121314151617181920212223242526272829303132333435363738crypto ikev2 proposal IKE_PROPencryption 3des aes-cbc-256integrity sha256 sha512group 2 5 14prf sha256 sha(对随机数加密之后得到新的‘随机值’)crypto ikev2 policy IKE_PROLproposal IKE_PROPcrypto ikev2 keyring IKE_KEYpeer PEER_Baddress 23.1.1.3pre-shared-key IPSECKEYcrypto ikev2 profile IKE_PROFmatch identity remote address 23.1.1.3 255.255.255.255identity local address 12.1.1.1authentication local pre-shareauthentication remote pre-sharekeyring local IKE_KEYcrypto ipsec transform-set TRANS1 esp-des esp-md5-hmacmode tunnelcrypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmacmode tunnelip access-list extended VPNpermit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255crypto map IKE_MAP 10 ipsec-isakmpset peer 23.1.1.3set transform-set TRANS1 TRANS2set ikev2-profile IKE_PROFmatch address VPNinterface e0/0crypto map IKE_MAP ASA配置 1......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-theory/ ipsec vpn,刚学完的时候以为自己掌握的还挺好的,各种排错无压力。去年到电信面试,连基本过程都说不清楚了,就记得是非对称加密协商对称加密的算法和密钥。说了一句跟HTTPS原理差不多……欸。趁着周末闲了赶紧再补补。 重新梳理了以前掌握的不清楚的几个概念,新学习了ikev2的原理和原理,放一起对比下常说的ipsec第一阶段协商的6个包或者总共9个包指的是ikev1的主模式。ikev1(即isakmp)第一阶段: isakmp sa主动模式:使用预共享密钥的远程拨号VPN(即思科私有的EZVPN),第一阶段只有3个包主模式:第一阶段6个包第二阶段: ipsec sa快速模式:3个包 ikev1的ipsec协商总共9个包,在没有nat穿越的情况下,这9个包的源目端口都是UDP 500,使用isakmp封装。9个包之后加密ESP封装。 ikev2第一阶段:ike_sa_init(2个包)第二阶段:ike_auth(2个包) 同样,这4个包的源目端口都是UDP 500,使用isakmp封装。4个包之后加密ESP封装。 SA和SPI:安全关联,分为ike sa和ipsec sa,包含封装方式,验证算法,加密算法,预共享密钥等IKE sa:双向的,一致,默认有效期一天IPSec sa:单向的,......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-tcp-traffic-back/ 环境R2,R3网关在ASA,R3背后有10.0.0.0网络,ASA路由10.0.0.0/24下一跳是R3问题,R2访问10.0.0.0/24网段时,流量到达ASA,icmp和udp可以通过,tcp会被丢弃 1,R2的10.1.1.44发起TCP流量访问10.0.0.0网段web server2,ASA收到改流量,发现出站接口是相同的security-level,需要敲下这条命令:ASA(config)#same-security permit intra-interface3,然后这个SYN包会通过R3路由到达R4,4,Web server返回SYN-ACK,这个包在到达R3之后,将会被直接通过mac地址转发到R25,R2收到该数据包会直接丢弃,这是因为ASA的“tcp序列号随机化”的默认特性,当ASA从任意接口收到一个的SYN包时,会将seq随机成另一个数字,记录在状态表中,然后再发出,这是他的一个安全策略。而在上例中,假定R2初始的SYN包的seq是12345,经过ASA被随机成为56789,R4回报只会确认收到56789,这个包在到达R2之后会被丢弃,因为R2希望确认123456,为了避免这种内部的异步路由导致的丢包,需要在ASA赦免特定tcp流量的状态化检测,配置如下: 12345678910111213141516object-group network LOCALnetwork-object 10.......Read More