转到正文

天亮了说晚安's Blog

欢迎您的光临! http://www.tllswa.com

存档

分类: 防火墙

本文转自:https://www.cisco.com/c/en/us/support/docs/security-vpn/webvpn-ssl-vpn/119417-config-asa-00.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureNetwork DiagramBackground InformationConfigurationVerifyTroubleshootProcedures Used to TroubleshootCommands Used to TroubleshootCommon ProblemsUser Cannot Log InUnable to Connect More Than Three WebVPN Users to the  ASAWebVPN Clients Cannot Hit Bookmarks and is Grayed OutCitrix Connection Through WebVPNHow to Avoid the Need for a Second Authentication for the UsersRelated Information Introduction This document provides a straightforward configuration for the Cisco Adaptive Security Appliance (ASA) 5500 Series in order to allow Clientless Secure Sockets Layer (SSL) VPN access to internal network resources. Clientless SSL Virtual Private Network (WebVPN) allows for limited, but valuable, secure access to the corporate network from any location. Users can achieve secure brow......Read More

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=991966&extra=page%3D2 *******************************************1、清空所有密钥对及PKI TRUSTPOINT(config)#crypto key zeroize rsa(config)#no crypto pki trustpoint XXX*******************************************2、外部链接在花生壳官网申请顶级域名,包含txt记录,同时对顶级域名打开DDNS服务设备配置:!ip ddns update method orayHTTP  add http://xxx:xxx@ddns.oray.com/ph/update?hostname=www.kagamigawa.tech&&myip=interval maximum 0 0 1 0interval minimum 0 0 1 0!interface GigabitEthernet1description WANno ip addresspppoe enable group globalcdp enablepppoe-client dial-pool-number 1!interface Dialer1description WANip ddns update hostname www.kagamigawa.techip ddns update oray host ddns.oray.comip address negotiatedip nat outsideencapsulation pppip tcp adjust-mss 1452dialer pool 1ppp pap sent-username xxx password 7 xxxppp ipcp dns requestppp ipcp route default!测试下连通性:C:\Users\Lenovo>......Read More

本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=990787&extra=page%3D10 需求:1.Inside访问国外路由优先走HK路由器(假定61.128.0.0/8为国内路由,其他都为国外路由)2.Inside访问国内路由优先走ADSL路由器3.DXoutside接口对外提供L2L和anyconnect VPN,允许访问Inside 备注:测试用的ASAv9.91,如果用ASAv9.71相同的路由配置,SSL VPN和L2L VPN会无法连通。二.基本配置1.ASAv防火墙hostname ASAvinterface GigabitEthernet0/0    nameif HKoutside    security-level 0    ip address 202.100.1.10 255.255.255.0    no shutdowninterface GigabitEthernet0/1    nameif DXoutside    security-level 0    ip address 202.100.2.10 255.255.255.0    no shutdowninterface GigabitEthernet0/2    nameif ADSLoutside    security-level 0    ip address 202.100.3.10 255.255.255.0    no shutdowninterface GigabitEthernet0/3    nameif Inside    security-level 100  ......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-vpn-policy-proc/ ASA收到VPN请求,由tunnel-group来识别VPN类型(L2L or 远程拨号 or SSLVPN),然后使用tunnel-group中的认证方法(LOCAL or Radius)进行认证,认证通过后经过以下5个关联属性叠加,得到用户的最终的策略 1.用户属性2.用户属性中关联的group-policy3.tunnel-group中关联的group-policy4.系统默认的group-policy:DfltGrpPolicy5.tunnel-group的属性 这5个策略优先级从高到低,存在重复项时,优先使用最先匹配到的策略。 tunnel-group tunnel-group用于终结VPN连接。一个VPN请求到达VPN,ASA找到一个与之关联的tunnel-group,tunnel-group为每一个成员定义了VPN连接的脚本。 – L2L VPN 当一个L2L VPN抵达ASA,ASA通过这次请求源IP(对端加密点)来查询本地的tunnel-group,如果有一个有一个tunnel-group的名字等于该IP,那么就使用tunnel-group内的pre-shared-key对这次VPN进行认证。 12tunnel-group 61.128.1.1 type ipsec-l2lpre-shared-key IPSECKEY – EZVPN EZVPN的第一阶段认证group的名字必须能和tunnel-group名字一致 12345678tunnel-group ......Read More

原文作者: Mansur 原文链接: http://nbma.info/ezvpn-base/ 协商过程 第1阶段 AM模式,不预选协商DH Group强度,所以必须强制指定group2三个包,因为省略了第一阶段前四个包。第1个包client先发自己支持的策略,组名和预共享密钥第2个包server使用PSK认证client第3个包完成协商 1.5阶段 XAUTH:认证用户(用户名密码/AAA)MODE-CFG:推送策略 第2阶段 快速模式,三个包 配置 第1阶段 1234567crypto isakmp policy 20encr 3desauthentication pre-sharegroup 2crypto isakmp client configuration group GROUPkey NBMAKEY 1.5阶段 123456789101112#配置xauthaaa new-modelaaa authentication login EZ-XAUTH localaaa authorization network EZ-MODE-CFG localusername cisco password 0 cisco#配置策略ip local pool POOL 11.11.11.10 11.11.11.110crypto isakmp client configuration group EZ-GROUPpool POOL 启用aaa之后建议在设备上开启线下保障策略,确保任何时候都可以使用console口 123456aaa newaaa authentication login noacs line noneline con 0login authen noacsline aux 0login authen noacs 第......Read More

原文作者: Mansur 原文链接: http://nbma.info/getvpn/ Group Encrypted Transport VPN,思科私有技术用于内网(全局可路由)加密的VPN,不是互联网VPN(peer无法直接路由)目前的场景是用于加密MPLS VPN,因为MPLS本身只是加标签,并没有加密 封装格式 copy原始IP头部,然后内部用ESP加密IP数据报文,不影响QoS 123+———-—+———-+————–+| 原始IP头部 | esp头部 | 加密原始IP报文 |+———–+——–+————–+ 原理 组成员Group Member向密钥服务器Key Server注册,KS上配置策略,产生一个ipsec sa,向同一组的GM推送sa和感兴趣流。组内成员可以实现any-to-any通讯,支持单播和组播 KS:验证组成员,管理安全策略,产生组密钥,分发策略和密钥,并不能加解密数据GM:加密设备,组播参与者,在安全和不安全区域执行路由。GETVPN最好有组播环境,这样KS只向一个组播地址分发即可。GDOI: Group Domain of Interpretation 公有协议,用于KS和GM之间通讯,和其他厂商兼容,UDP848 KSCP: Cooperative Protocol 协......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-pptp-l2tp/ 写的有点乱 动态map和静态map 使用场景:hub固定IP,另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPNpeer端直接普通的静态map配置hub端使用动态map 123crypto dynamic-map DY-MAP 10set transform-set TRANScrypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP ikev2的SVTI 待补充 NAT穿越问题 ike 1-2包同时判断对方是否支持NAT-T3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B,然后对端收到后用收到的源目IP进行hash,如果不一致则后续5-6等包全都启用udp4500封装。 远程拨号VPN 1,vpdn:pptp, l2tp over ipsec2,EzVPN3,SSL VPN pptp 协商过程:TCP 1723PPP封装内层,外层是GRE,本身并不加密IPSEC只能用来加密IP流量,而PPTP还支持非IP,如IPX等在ASA上需要inspect pptp解决穿越问题 l2tp over ipsec L2TP:UDP1701PPP封装内层,外层是UDP,本身并不加密配合ipsec之后在PPP之外加上esp,对esp内部加密 平常不需要使用以下技术,直接使用GRE over IPSec或者SVTI直接跑动态即可 RRI反向路由注入 多个......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-ikev2-config/ IOS配置 1234567891011121314151617181920212223242526272829303132333435363738crypto ikev2 proposal IKE_PROPencryption 3des aes-cbc-256integrity sha256 sha512group 2 5 14prf sha256 sha(对随机数加密之后得到新的‘随机值’)crypto ikev2 policy IKE_PROLproposal IKE_PROPcrypto ikev2 keyring IKE_KEYpeer PEER_Baddress 23.1.1.3pre-shared-key IPSECKEYcrypto ikev2 profile IKE_PROFmatch identity remote address 23.1.1.3 255.255.255.255identity local address 12.1.1.1authentication local pre-shareauthentication remote pre-sharekeyring local IKE_KEYcrypto ipsec transform-set TRANS1 esp-des esp-md5-hmacmode tunnelcrypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmacmode tunnelip access-list extended VPNpermit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255crypto map IKE_MAP 10 ipsec-isakmpset peer 23.1.1.3set transform-set TRANS1 TRANS2set ikev2-profile IKE_PROFmatch address VPNinterface e0/0crypto map IKE_MAP ASA配置 1......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-tcp-traffic-back/ 环境R2,R3网关在ASA,R3背后有10.0.0.0网络,ASA路由10.0.0.0/24下一跳是R3问题,R2访问10.0.0.0/24网段时,流量到达ASA,icmp和udp可以通过,tcp会被丢弃 1,R2的10.1.1.44发起TCP流量访问10.0.0.0网段web server2,ASA收到改流量,发现出站接口是相同的security-level,需要敲下这条命令:ASA(config)#same-security permit intra-interface3,然后这个SYN包会通过R3路由到达R4,4,Web server返回SYN-ACK,这个包在到达R3之后,将会被直接通过mac地址转发到R25,R2收到该数据包会直接丢弃,这是因为ASA的“tcp序列号随机化”的默认特性,当ASA从任意接口收到一个的SYN包时,会将seq随机成另一个数字,记录在状态表中,然后再发出,这是他的一个安全策略。而在上例中,假定R2初始的SYN包的seq是12345,经过ASA被随机成为56789,R4回报只会确认收到56789,这个包在到达R2之后会被丢弃,因为R2希望确认123456,为了避免这种内部的异步路由导致的丢包,需要在ASA赦免特定tcp流量的状态化检测,配置如下: 12345678910111213141516object-group network LOCALnetwork-object 10.......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-vpn-ping-asa-inside/ 正常情况下,ASA只允许相应方向的地址ping对应的接口,公网地址能ping通ouside口,内部直连inside网段可以ping通inside口. 某公司在A/B两个IDC机房之间通过两台ASA配置了ipsec vpn,并且在A机房部署了zabbix监控,通过私有地址监控网络状态 在配置B机房的ASA监控时,从zabbix服务器无法ping到B机房的ASA inside口,查询思科文档发现如下文字: Ping 其他接口 management-access 命令使用户只有在使用全通道 IPSec VPN 或 SSL VPN 客户端(AnyConnect 2.x 客户端 SVC 1.x)或通过站点到站点 IPSec 通道连接到 PIX/ASA 时,才可以从外部连接到 management-access 接口。 除非已在全局配置模式下配置了 management-access,否则无法从外部访问 PIX 的内部接口。 asa(config)#**management-access inside** asa(config)#**show running-config management-access** management-access inside 在B机房ASA配置模式下,配置对应命令保存。 在9.2以前的版本,只需要配置management-access inside即可,但是在9.4之后,思科对ASA上配置ipsec的nat赦免规则做了调......Read More