Thực hiện IPSec VPN xác thực với Pre-shared

[phamminhtuan]

Cho e hỏi. Khi ISP cấp IP động cho ASA1 hoặc ASA2 mà ko fai gán tĩnh như lab trên, chúng ta sẽ fai cấu hình như nào. Thank các Thầy !

Chào bạn,

Nếu ASA được cấp IP động thì bạn phải kết hợp thêm dịch vụ Dynamic DNS.

Chi tiết cấu hình như link dưới
http://www.cisco.com/en/US/docs/secu...html#wp1111069

ciscoasa(config)# crypto map MYMAP 10 set peer dynamicDNS-name

[hanoi2011]

Chào Thầy, cho em hỏi là. Em thực hiện cấu hình VPN site-to-Site, nhưng khi thực hiện cấu hình xong giữa hai ASA, thực hiện lệnh show crypto isakmp sa và show crypto ipsec sa
thì đêu nhận được reply là There are no isakmp sas
Xin thầy pix lỗi giúp em, e cung thực hiện cấu hình tương tự như hướng dẫn của Thầy
Version ASA 5520 (8.02)

[hoangtu_congngheIT]

Em thực hiện cấu hình VPN site-to-Site, nhưng khi thực hiện cấu hình xong giữa hai ASA, thực hiện lệnh show crypto isakmp sa và show crypto ipsec sa
thì đêu nhận được reply là There are no isakmp sas

Trước khi làm bài lab như trên bạn cần kiểm tra giữa LAN2 thông với interface outside của ASA1 và ngược lại LAN1 với interface outside của ASA2 chưa ? và khi bài làm lab ảo trên gns3 thì IOS không hỗ trợ encryption 3des, bạn thay vào đó là encryption des

bạn kiểm tra lại nhé

[hanoi2011]

Topoo : PC (192.168.10.10) ------ (192.168.10.1)ASA1(209.165.200.1) ----(209.165.200.254)ISP(209.165.201.254) ------(209.165.201.1)ASA2 192.168.20.1)------- PC (192.168.20.20)
Cấu hình VPN Site -To -Site thành công giưa ASA1 và ASA2, nhưng ping giữa hai PC k thiết lập được và ping giữa PC tới interface outside cung không thiết lập đc.
Mình sử dụng aes-256, chứ không fai 3des
Help me. Tk Bạn.

[hoangtu_congngheIT]

Cấu hình VPN Site -To -Site thành công giưa ASA1 và ASA2,

Bạn thử lệnh kiểm tra VPN như a Tuấn kiểm tra nếu thông số same same thì đã configure VPN okie >> bạn thử bật remote 1 máy trạm ở mạng LAN1 rồi từ 1 máy trạm ở mạng LAN2 có thể remote vào máy trạm đã bật remote ở LAN1 hay không, nếu cấu hình VPN thành công thì remote chắc chắn được.

ping giữa PC tới interface outside cung không thiết lập đc

bạn cần cấu hình 1 ACL về ping gán vào cổng outside theo chiều trên 2 ASA thì bạn mới ping được. lệnh cụ thể

ASA(config)#access-list PING permit icmp any any echo-reply
ASA(config)#access-group PING in interface outside

[hugo_it]

Em chào Thầy Tuấn và các Bạn,

Hiện tại em đang làm đề tài VPN site to site trên ASA. Em cũng đã làm theo bài viết của Thầy nhưng vẫn chưa được.

Mô hình của em như sau: 172.16.1.1/24 ----ASA----150.1.1.2-------------150.1.1.1 ---Router---151.1.1.1-----------------151.1.1.2-----ASA-------192.168.1.1/24

Em dùng phần mềm GNS3 để giả lập VPN.

Cấu hình trên ASA1:
ciscoasa# conf term
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip add 150.1.1.2 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip add 172.16.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# route outside 151.1.1.2 255.255.255.0 150.1.1.1

Cấu hình trên ASA2:
ciscoasa# conf term ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip add 151.1.1.2 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut

ciscoasa(config-if)# exit
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside

INFO: Security level for "insite" set to 100 by default.

ciscoasa(config-if)# no shut ciscoasa(config-if)# exit
ciscoasa(config)# route outside 150.1.1.2 255.255.255.0 151.1.1.1

Trên Router:

Router(config)#interface fa0/0
Router(config-if)#ip add 150.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#
*Sep 29 2148.399: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to down
*Sep 29 2148.403: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/0 Physical Port Administrative State Down
*Sep 29 2148.403: %ENTITY_ALARM-6-INFO: ASSERT CRITICAL Fa0/0 Physical Port Link Down
Router(config-if)#
Router(config-if)#exit
Router(config)#interface fa1/1
Router(config-if)#ip add 151.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#
*Sep 29 21:59:29.423: %LINK-3-UPDOWN: Interface FastEthernet1/1, changed state to up
*Sep 29 21:59:29.427: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa1/1 Physical Port Administrative State Down
*Sep 29 21:59:30.423: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
Router(config-if)#exit


Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 150.1.1.1 YES manual down down
FastEthernet1/0 unassigned YES unset administratively down down
FastEthernet1/1 151.1.1.1 YES manual up up

Dạ,Thầy cho em.

Em cấu hình như vậy đã đúng chưa, có sai chổ nào không?

Hai con ASA vẫn không thể Route được với nhau. từ ASA1 ping không thấy ASA2.

Đề tài sắp hết hạn rồi, mà Cisco thì em còn chưa biết nhiều. Mong Thầy và các Bạn giúp em với.

Cảm ơn Thầy và các Bạn!

[vodanh112]

các anh cho em hỏi với em muốn giả lập ASA chạy trên VMware thì phải làm thế nào ah??? Các anh có tài liệu hướng dẫn giả lập ASA trên VMware có thể post lên cho em xin đc ko ah! Thanks!