October 3, 2015

VPN site to site giữa ASA và Draytek

I. Sơ đồ và yêu cầu
1. Sơ đồ



2. Yêu cầu
- Thực hiện VPN site to site giữa ASA và Draytek (mình dùng con Vigor 2920 vì mình mới được cho mượn con này xài )
- Client truy cập lẫn nhau được

II. Triển khai
1. Cấu hình Draytek
- Thiết lập IP WAN cho Vigor 2920 trên interface WAN 2 có IP: 200.0.0.2/24



- Thiết lập IP LAN cho Vigor



- Cấu hình VPN trên Draytek
- Vào mục VPN and Remote Access >> LAN to LAN >> Click chọn index 1.



- Chọn cấu hình dial in hoặc dial out tùy mục địch config của bạn. Và kết nối VPN bằng interface WAN2.

  • Profile Name: đặt tên profile để tiện việc quản lý.
  • Enable: để kích hoạt Profile.
  • Dial-out: để báo cho router biết chức năng của nó là Dial-out, và chút nữa chúng ta chỉ cần quan tâm phần cấu hình Dial-out trong profile này.




- Chuyển xuống mục Dial-out settings (bỏ qua phần Dial-in setting). Chọn IPSec Tunnel để thiết lập kênh VPN theo giao thức IPsec.
Chú ý chọn chỗ mũi tên số 1 (pre-share key giữa ASA và draytek phải giống nhau) và số 2 (kiểu mã hóa, thuật toán băm và chứng thực phải giống với ASA) nếu không nó sẽ ko chạy được



- Pharse 1 mình sẽ chọn 

  • main mode
  • Mã hóa theo thuật toán 3DES
  • Thuật toán băm là MD5
  • Thuật toán trao đổi khóa diffie hellman là group 2

- Các bạn chú chọn cho đúng để chút config bên ASA phải giống nếu không nó không chạy được lại khổ 



- Tiếp tục xuống phần TCP/IP settings (Bỏ qua các mục cấu hình khác)

  • Ở phần này ta sẽ báo cho Router biết mạng local ở đầu xa có địa chỉ là bao nhiêu.
  • Điền 192.168.1.0 vào khung Remote Network IP ( Địa chỉ mạng ở đầu xa - IP inside của ASA).
  • Điền 255.255.255.0 vào khung Remote Network Mask.
  • Điền 10.1.1.0 vào khung Local Network IP.
  • Click OK để lưu các mục vừa cấu hình.




2. Cấu hình ASA
- Cấu hình IP cho ASA


ciscoasa(config)# interface g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
- Cấu hình VPN cho ASA

ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 86400
ciscoasa(config)# crypto ikev1 enable outside

ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac
ciscoasa(config)# object network INSIDE-ASA
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# object network INSIDE-Draytek
ciscoasa(config-network-object)# subnet 10.2.2.0 255.255.255.0

ciscoasa(config)# access-list VPN-TRAFFIC permit ip object INSIDE-ASA object INSIDE-Draytek

ciscoasa(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ciscoasa(config)# crypto map ASA-VPN 10 set peer 200.0.0.2
ciscoasa(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT
ciscoasa(config)# crypto map ASA-VPN interface outside

ciscoasa(config)# tunnel-group 200.0.0.2 type ipsec-l2l
ciscoasa(config)# tunnel-group 200.0.0.2 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
3. Kiểm tra
- Client trong Draytek thực hiện truy cập web server trong vùng inside của ASA thành công






4. Kiếm tra và Lỗi
- Nếu VPN thành công bạn hãy kiểm tra trạng thái Crypto ikev1


Code:
ciscoasa# sh crypto ikev1 sa


IKEv1 SAs:


   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1


1   IKE Peer: 200.0.0.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
- Trạng thái IPsec 

Code:
ciscoasa# sh ipsec sa
interface: outside
    Crypto map tag: ASA-VPN, seq num: 10, local addr: 200.0.0.1


      access-list VPN-TRAFFIC extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
      current_peer: 200.0.0.2


      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 228


      local crypto endpt.: 200.0.0.1/0, remote crypto endpt.: 200.0.0.2/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 8251B9F0
      current inbound spi : 8595387F


    inbound esp sas:
      spi: 0x8595387F (2241149055)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: ASA-VPN
         sa timing: remaining key lifetime (sec): 28614
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x8251B9F0 (2186394096)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: ASA-VPN
         sa timing: remaining key lifetime (sec): 28614
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

- Nếu bạn VPN không thành công thì hãy thử debug xem nó thế nào nhé


ciscoasa# debug crypto ikev1 255
- Ví dụ như lỗi ở hình dưới đây là do ở pharse 1 việc chọn thuật toán mã hõa, băm hoặc group diffi không đúng nên vpn thất bại


Nguon: http://svuit.vn/lab-71/lab-18-2-vpn-site-site-giua-asa-va-draytek-687.html

http://www.slideshare.net/laonap166/vpn-site-to-site-gia-asa-v-draytek

0 comments:

Post a Comment