Page 1 of 2 12 LastLast
Results 1 to 10 of 12

Thread: Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

  1. #1
    Join Date
    Oct 2005
    Location
    HCMC
    Posts
    3,962

    Default Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

    1. Topology

    E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0

    Sơ đồ địa chỉ:

    HeadQuater: E0: 10.1.1.1/24
    HeadQuater: S0: 134.50.10.1/24
    RemoteSite: S0 64.107.35.1/24
    RemoteSite: E0: 172.16.1.0/24

    2. Các bước cấu hình:

    Bước 1: Cấu hình hostname

    Router(config)# hostname hq-vpn-rtr

    Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.

    Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1

    Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định.

    Hq-vpn-rtr(config)# crypto isakmp policy 10
    Hq-vpn-rtr(config-isakmp)# encryption 3des
    Hq-vpn-rtr(config-isakmp)# authentication pre-share

    Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:

    Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

    Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).

    Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

    Bước 6: Cấu h ình crypto-map:

    Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg.

    Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
    Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
    Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
    Hp-vpn-rtr(config-crypto-map# match address 100

    Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions.

    Hq-vpn-rtr(config)# interface f0/1
    Hq-vpn-rtr(config-if)# description Inside network
    Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0

    Bước 8: cấu hình interface outside:

    Hq-vpn-rtr(config)# interface s0/0
    Hq-vpn-rtr(config-if)# description outside network
    Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
    Hq-vpn-rtr(config-if)# crypto map netcg

    Cấu hình RemoteSite:

    Router(config)#hostname site1-rtr-vpn
    site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
    site1-rtr-vpn(config)# crypto isakmp policy 10
    site1-rtr-vpn(config-isakmp)# encryption 3des
    site1-rtr-vpn(config-isakmp)# authentication pre-share
    site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

    site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
    site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
    site1-rtr-vpn (config-crypto-map)# set transform-set netcg
    site1-rtr-vpn (config-crypto-map)# match address 100

    site1-rtr-vpn (config)# interface F0/1
    site1-rtr-vpn (config-if)# description inside network
    site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0

    site1-rtr-vpn (config)# interface s0/0
    site1-rtr-vpn (config-if)# description outside network
    site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
    site1-rtr-vpn (config-if)# crypto map netcg

    Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)
    Đặng Quang Minh, CCIE#11897 CCSI#31417

    Email : dangquangminh@vnpro.org

    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  2. #2
    Join Date
    Jul 2003
    Location
    Hồ Chí Minh
    Posts
    469

    Default

    Ah!Mừng quá,e đang có chút thắc mắc về vấn đề này.
    1.Dấu hiệu nhận biết 1 IOS image có hỗ trợ IP plus( lệnh Crypto)
    2. Trước đây,Em đã cấu hình 1 Tunnel giống như anh Minh đã hướng dẫn.Tuy nhiên,e phải apply các ACL permit các protocol:ahp,esp,isakmp giữa 2 peer (VPN gateway) thì Tunnel mới up.Sau đó,e ping lẫn nhau giữa 2 net phía sau gateway 1 cách liên tục.Dùng các command:
    -sh crypto ipsec transform-set sa
    -sh crypto isakmp policy
    -sh crypto engine connection ac
    -debug crypto isakmp
    -debug crypto ipsec
    Mọi chuyện vẫn oK:các packet được encap,encrypt,decrypt và deencap đầy đủ.
    Nhưng khi dùng command:sh ip access-list,thì số packet match chỉ tăng ở 1 chiều thôi(trong khi e cho packet luu thong o ca 2 chieu).
    Chắc chắn là e có sai sót hoặc hiểu chưa đúng ở đây,nhưng lại k biết cụ thể nó là gì.
    Mong các sư huynh chỉ giáo dùm ngu đệ.
    3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?
    4.Em đã up được 1 VPN Tunnel giữa Cisco router và Fortigate firewall(ở chế độ Autokey-IPsec),nên cũng mong muốn được trao đổi nhiều hơn về mảng này.
    Ngoài ra,FG còn hỗ trợ PPTP và L2TP.
    Về 2 cái này,em "củ chuối",nếu anh nào đã từng nghiên cứu qua thì chỉ cho e với nhé.
    Rất cảm ơn diễn đàn
    "Người đi trước rước kẻ đi sau"
    :P :lol:
    Vietnamese Professionals (VnPro)
    Tel: +84 8 5124257 - 5125314
    Fax: +84 8 5124314
    149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
    Tp.Ho Chi Minh
    http://www.chuyenviet.com

    VnPro - The way to get knowledge

  3. #3
    hoachuoi Guest

    Default

    Chào bạn, mình có một vài ý nhỏ như sau:

    Quote Originally Posted by cvo15303
    Ah!Mừng quá,e đang có chút thắc mắc về vấn đề này.
    1.Dấu hiệu nhận biết 1 IOS image có hỗ trợ IP plus( lệnh Crypto)
    Tên IOS của Cisco chứng tỏ các thông tin về loại thiết bị, các chức năng hỗ trợ, cách được lưu và cách hoạt động... Bạn có thể xem trang web này để biết thêm chi tiết.
    http://www.cisco.com/en/US/products/...d800a4e14.html
    Để hỗ trợ VPN, bạn phải có IOS có hỗ trợ mã hoá, DES (56 bits) hoặc 3DES (168 bits), IOS này thường có tên dạng -.56.- , -.k9- ; hoặc bạn tìm IOS enterprise plus -js- để hỗ trợ mọi loại ứng dụng.

    2. Trước đây,Em đã cấu hình 1 Tunnel giống như anh Minh đã hướng dẫn.Tuy nhiên,e phải apply các ACL permit các protocol:ahp,esp,isakmp giữa 2 peer (VPN gateway) thì Tunnel mới up.Sau đó,e ping lẫn nhau giữa 2 net phía sau gateway 1 cách liên tục.Dùng các command:
    -sh crypto ipsec transform-set sa
    -sh crypto isakmp policy
    -sh crypto engine connection ac
    -debug crypto isakmp
    -debug crypto ipsec
    Mọi chuyện vẫn oK:các packet được encap,encrypt,decrypt và deencap đầy đủ.
    Nhưng khi dùng command:sh ip access-list,thì số packet match chỉ tăng ở 1 chiều thôi(trong khi e cho packet luu thong o ca 2 chieu).
    Chắc chắn là e có sai sót hoặc hiểu chưa đúng ở đây,nhưng lại k biết cụ thể nó là gì.
    Mong các sư huynh chỉ giáo dùm ngu đệ.
    Các giao thức như bạn kể là các giao thức mà IPsec VPN sử dụng (có thể không hết, thường chỉ cần isakmp 500/udp) và hai thiết bị VPN hai đầu phải trao đổi với nhau bằng các giao thức đó được thì mới chạy VPN được. Bạn phải cho phép bởi có thể trước đó bạn đã cấm chúng, còn bình thường không ai cấm thì không có vấn đề gì cả.
    Khi cài đặt VPN, điều đáng chú ý là access-list ở hai phía phải đối xứng nhau. Access-list này cho phép các lưu thông theo một chiều, đi vào VPN để sang phía bên kia.
    Ví dụ ta có mạng sau:

    netA --- fw1 ----V-P-N---- fw2 --- netB

    Thì trên fw1 có access-list: permit ip netA maskA netB maskB

    Tương ứng trên fw2 sẽ có access-list đối lại: permit ip netB maskB netA maskA

    Phần lớn các lỗi không thiết lập được VPN tunnel là do access-list không đối nhau.

    3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?
    Vụ này chắc phải nhờ ai đó giải thích giúp ha.

    4.Em đã up được 1 VPN Tunnel giữa Cisco router và Fortigate firewall(ở chế độ Autokey-IPsec),nên cũng mong muốn được trao đổi nhiều hơn về mảng này.
    Ngoài ra,FG còn hỗ trợ PPTP và L2TP.
    Về 2 cái này,em "củ chuối",nếu anh nào đã từng nghiên cứu qua thì chỉ cho e với nhé.
    Rất cảm ơn diễn đàn
    "Người đi trước rước kẻ đi sau"
    :P :lol:
    PPTP và L2TP thường được dùng cho access VPN, cho các máy tính truy cập từ xa bằng VPN về mạng trung tâm.
    Bạn có thể giới thiệu về cách cấu hình, các điểm cần lưu ý về các thông số VPN giữa Cisco và Fortigate, hoặc giữa bất kỳ hai hãng nào để cho anh em học tập kinh nghiệm nha.

    Cám ơn rất nhiều.

  4. #4
    Join Date
    Jun 2003
    Location
    USA
    Posts
    116

    Default

    Chào cvo15303,

    3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?

    IPSec là một set các protocols dể tạo ra secured tunnels chạy trên the insecured IP networks. Dây là VPN tunnels mà bạn nói.
    IPSec hoạt dộng với hai modes: Tunnel mode và Transport mode. Tunnel mode không dính dáng với VPN tunnel dâu bạn ạ!
    Ở IPSec tunnel mode, source router creates IPSec packet bằng cách encapsulates toàn bộ user packet kể luôn IP header bằng IPSec header. Dồng thời phía trước IPSec header, router adds thêm một IP header mới mà source address chính là của router dó.
    Ở IPSec transport mode, IPSec protocol chỉ dặt thêm IPSec header vào giữa IP header va payload của user packet mà thôi. Transport mode doesnot cost much process time, but not much save as in tunnel mode!

    Thân,

  5. #5
    Join Date
    Jul 2003
    Location
    Hồ Chí Minh
    Posts
    469

    Default

    :P Xin cảm ơn các sư huynh!
    Còn về vấn đề VPN giữa Fortigate(FG) firewall và Cisco router,e xin đề nghị như sau: Do thực sự FG cũng chưa phổ biến lắm,nên thật sự cũng khó cho e trong việc trình bày.FG là web-based,cho nên quá trình set up Tunnel (nằm ở nhiều menu khác nhau )sẽ có nhiều screen khác nhau.E sợ là k đủ chỗ để post lên hết.
    Vì lẽ đó,e sẽ theo dõi sát,nếu ai đó đã có FG trong tay và cần trao đổi e sẽ tham gia ngay.
    Hoachuoi và các sư huynh thông cảm nhé
    Mong tiếp tục nhận được sự chỉ dẫn từ đàn anh đi trước
    Mến
    :P
    Vietnamese Professionals (VnPro)
    Tel: +84 8 5124257 - 5125314
    Fax: +84 8 5124314
    149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
    Tp.Ho Chi Minh
    http://www.chuyenviet.com

    VnPro - The way to get knowledge

  6. #6

    Default Firewall to Router VPN dùng 3DES và IKE Pre-shared Key

    Để mình post config file của Fortigate lên chúng ta cùng tham khảo, Fortigate cũng có thể config bằng command line nhưng tập lệnh của nó hoàn toàn khác với CISCO nên mình đưa lên bẳng web base của nó rất dễ tham khảo (NHÌN là BIẾT hehehe...)
    Last edited by Crazy; 29-11-2011 at 08:37 PM.
    Crazy ®

  7. #7
    Join Date
    Jul 2003
    Location
    Hồ Chí Minh
    Posts
    469

    Default

    :lol: Í lộn,xin lỗi.Bài nên đặt ở đây mới phải.
    Phần này ,e xin bổ sung thêm vài ý từ bài viết rất hay của Crazy.
    Ta cũng chuẩn bị ở 2 đầu của VPN tunnel giống như VPN giữa Router-Router.
    Router:Các bạn config giống như anh Minh đã hướng dẫn,tuy nhiên trong command set peer....,địa chỉ sẽ là IP của External interface của FG,và FG chỉ hỗ trợ mode tunnel mà thôi
    FG:Có bước
    Bước 1:Cấu hình cho Remote gateway,đây chính là Router,nên chỉ cần sao lại các giao thức,key,chính sách và giải thuật mmã hóa mà router đã sử dụng.IP của remote gateway sẽ là IP của router
    Bước 2:Cấu hình Tunnel
    Chọn Autokey
    Trong phần này,bạn sẽ cung cấp các network là thành phần của Tunnel(định nghĩa các net này sẽ thực hiện trong menu Address),key ,lifetime,...
    (Nếu xem file Crazy gửi kèm sẽ rõ hơn)
    Bước 3:Cấu hình policy
    Trong Policy từ Internal-->External,ta thiết lập 1 policy đi từ Internal network-->Remote network(sau router) với action là ENCRYPT.
    Thông thường ta chỉ sử dụng PERMIT và DENY.
    Lưu ý:Policy là gần giống với ACL,nên cần chú ý thứ tự.
    Đối với Policy nói trên,ta sẽ đặt nó vào vị trí đầu tiên trong số các policy ở hướng này.
    Cuối cùng,thực hiện lệnh ping liên tục.Vào Status(Trong VPN menu),bạn sẽ thấy nó thay đổi từ Down-->Connecting-->Up.Sau 1 khoảng lifetime,key phài đổi,lúc này Staus sẽ là Unknown,sau đó tiếp tục Up.

    Với chút kiến thức mọn,e xin gửi đến diễn đàn thông tin.
    Mong nhận được sự góp ý.
    Mến chào.
    "Người đi trước rước người đi sau"

    :P
    Vietnamese Professionals (VnPro)
    Tel: +84 8 5124257 - 5125314
    Fax: +84 8 5124314
    149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
    Tp.Ho Chi Minh
    http://www.chuyenviet.com

    VnPro - The way to get knowledge

  8. #8

    Default Re: Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

    Cấu hình Policy như bước 3 mà cvo15303 đề cập.

    Crazy.
    Crazy ®

  9. #9
    Join Date
    Jul 2003
    Location
    Hồ Chí Minh
    Posts
    469

    Default

    :oops: Good day diễn đàn.
    Em cảm thấy VPN gây ra delay lớn thì phải.
    Chẳng hạn e dùng VPN(PPTP) móc vào server từ máy e,đang dùng aDSL,mà nó ì ạch còn hơn cả Dial-up.
    Mong rằng với kinh nghiệm thực tế,các sư huynh có thể phân tích và so sánh đôi chút về các giao thức mà VPN đang dùng như PPTP,L2TP và IPsec để đệ hiểu rõ hơn k?
    Rất cảm ơn vì đã dành thời gian.
    Mến!
    :lol:
    Vietnamese Professionals (VnPro)
    Tel: +84 8 5124257 - 5125314
    Fax: +84 8 5124314
    149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
    Tp.Ho Chi Minh
    http://www.chuyenviet.com

    VnPro - The way to get knowledge

  10. #10
    Fugarcar Guest

    Default Re: Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

    Hi All

    Theo bài viết của Anh Minh thì VPN sẽ dùng Router- Router và các router này hổ trợ VPN. Vậy nếu như 2 router này không hổ trợ VPN thì có giải pháp nào tốt hơn là thay Router?





    Fugarcar

Page 1 of 2 12 LastLast

Similar Threads

  1. Replies: 9
    Last Post: 20-06-2012, 03:04 PM
  2. Tips for CCIE Candidate
    By binhhd in forum CCIE Routing & Switching
    Replies: 10
    Last Post: 22-04-2009, 03:01 PM
  3. Replies: 2
    Last Post: 24-08-2008, 04:09 PM
  4. Hỏi về lab OSPF nssa
    By Im_Sam in forum ROUTE / BSCI
    Replies: 6
    Last Post: 09-08-2008, 10:21 AM
  5. lệnh dialer map
    By tuaninbox in forum ISCW
    Replies: 17
    Last Post: 03-06-2003, 01:52 AM

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Website game điện thoại: Game Bigone , iwin