Site to Site IPIP IPSec VPN между двумя ASA5505 c OS 8.2
Итак, есть две сети, предположим 192.168.1.0/24 и 192.168.2.0/24
ASA1:
Внешний (якобы) IP 10.10.10.1
Сеть 192.168.1.0/24
ASA2
Внешний (якобы) IP 10.20.20.1
Сеть 192.168.2.0/24
Начнем:
создадим список доступа для запрета NAT и собственно запретим NAT
access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Создадим список доступа для VPN
access-list VPNACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Теперь опишем крипто карту и параметры фазы 1 и фазы 2
Первая фаза
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
Вторая фаза
crypto ipsec transform-set TSET esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map SMAP 10 match address VPNACL
crypto map SMAP 10 set peer 10.20.20.1
crypto map SMAP 10 set transform-set TSET
crypto map SMAP 20 set pfs group2
Теперь создадим туннельную группу
tunnel-group 10.20.20.1 type ipsec-l2l
tunnel-group 10.20.20.1 ipsec-attributes
pre-shared-key TestKey
Включим карту и isakmp на outside интерфейсе
crypto map SMAP interface outside
crypto isakmp enable outside
На второй ASA все тоже самое, только списки доступа зеркальные, тоесть:
список доступа для запрета NAT и собственно запретим NAT
access-list NONATACL extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
Создадим список доступа для VPN
access-list VPNACL extended permit ip 192.168.192.0 255.255.255.0 192.168.1.0 255.255.255.0
Ну и:
crypto map SMAP 10 set peer 10.10.10.1
Вроде ничего не забыл
ASA1:
Внешний (якобы) IP 10.10.10.1
Сеть 192.168.1.0/24
ASA2
Внешний (якобы) IP 10.20.20.1
Сеть 192.168.2.0/24
Начнем:
создадим список доступа для запрета NAT и собственно запретим NAT
access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Создадим список доступа для VPN
access-list VPNACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Теперь опишем крипто карту и параметры фазы 1 и фазы 2
Первая фаза
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
Вторая фаза
crypto ipsec transform-set TSET esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map SMAP 10 match address VPNACL
crypto map SMAP 10 set peer 10.20.20.1
crypto map SMAP 10 set transform-set TSET
crypto map SMAP 20 set pfs group2
Теперь создадим туннельную группу
tunnel-group 10.20.20.1 type ipsec-l2l
tunnel-group 10.20.20.1 ipsec-attributes
pre-shared-key TestKey
Включим карту и isakmp на outside интерфейсе
crypto map SMAP interface outside
crypto isakmp enable outside
На второй ASA все тоже самое, только списки доступа зеркальные, тоесть:
список доступа для запрета NAT и собственно запретим NAT
access-list NONATACL extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
Создадим список доступа для VPN
access-list VPNACL extended permit ip 192.168.192.0 255.255.255.0 192.168.1.0 255.255.255.0
Ну и:
crypto map SMAP 10 set peer 10.10.10.1
Вроде ничего не забыл
Комментарии
Отправить комментарий