• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

    1. Topology

    E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0

    Sơ đồ địa chỉ:

    HeadQuater: E0: 10.1.1.1/24
    HeadQuater: S0: 134.50.10.1/24
    RemoteSite: S0 64.107.35.1/24
    RemoteSite: E0: 172.16.1.0/24

    2. Các bước cấu hình:

    Bước 1: Cấu hình hostname

    Router(config)# hostname hq-vpn-rtr

    Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.

    Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1

    Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định.

    Hq-vpn-rtr(config)# crypto isakmp policy 10
    Hq-vpn-rtr(config-isakmp)# encryption 3des
    Hq-vpn-rtr(config-isakmp)# authentication pre-share

    Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:

    Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

    Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).

    Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

    Bước 6: Cấu h ình crypto-map:

    Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg.

    Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
    Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
    Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
    Hp-vpn-rtr(config-crypto-map# match address 100

    Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions.

    Hq-vpn-rtr(config)# interface f0/1
    Hq-vpn-rtr(config-if)# description Inside network
    Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0

    Bước 8: cấu hình interface outside:

    Hq-vpn-rtr(config)# interface s0/0
    Hq-vpn-rtr(config-if)# description outside network
    Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
    Hq-vpn-rtr(config-if)# crypto map netcg

    Cấu hình RemoteSite:

    Router(config)#hostname site1-rtr-vpn
    site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
    site1-rtr-vpn(config)# crypto isakmp policy 10
    site1-rtr-vpn(config-isakmp)# encryption 3des
    site1-rtr-vpn(config-isakmp)# authentication pre-share
    site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
    site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

    site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
    site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
    site1-rtr-vpn (config-crypto-map)# set transform-set netcg
    site1-rtr-vpn (config-crypto-map)# match address 100

    site1-rtr-vpn (config)# interface F0/1
    site1-rtr-vpn (config-if)# description inside network
    site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0

    site1-rtr-vpn (config)# interface s0/0
    site1-rtr-vpn (config-if)# description outside network
    site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
    site1-rtr-vpn (config-if)# crypto map netcg

    Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

  • #2
    :) :D Ah!Mừng quá,e đang có chút thắc mắc về vấn đề này.
    1.Dấu hiệu nhận biết 1 IOS image có hỗ trợ IP plus( lệnh Crypto)
    2. Trước đây,Em đã cấu hình 1 Tunnel giống như anh Minh đã hướng dẫn.Tuy nhiên,e phải apply các ACL permit các protocol:ahp,esp,isakmp giữa 2 peer (VPN gateway) thì Tunnel mới up.Sau đó,e ping lẫn nhau giữa 2 net phía sau gateway 1 cách liên tục.Dùng các command:
    -sh crypto ipsec transform-set sa
    -sh crypto isakmp policy
    -sh crypto engine connection ac
    -debug crypto isakmp
    -debug crypto ipsec
    Mọi chuyện vẫn oK:các packet được encap,encrypt,decrypt và deencap đầy đủ.
    Nhưng khi dùng command:sh ip access-list,thì số packet match chỉ tăng ở 1 chiều thôi(trong khi e cho packet luu thong o ca 2 chieu).
    Chắc chắn là e có sai sót hoặc hiểu chưa đúng ở đây,nhưng lại k biết cụ thể nó là gì.
    Mong các sư huynh chỉ giáo dùm ngu đệ.
    3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?
    4.Em đã up được 1 VPN Tunnel giữa Cisco router và Fortigate firewall(ở chế độ Autokey-IPsec),nên cũng mong muốn được trao đổi nhiều hơn về mảng này.
    Ngoài ra,FG còn hỗ trợ PPTP và L2TP.
    Về 2 cái này,em "củ chuối",nếu anh nào đã từng nghiên cứu qua thì chỉ cho e với nhé.
    Rất cảm ơn diễn đàn
    "Người đi trước rước kẻ đi sau"
    :P :lol:
    Vietnamese Professionals (VnPro)
    Tel: +84 8 5124257 - 5125314
    Fax: +84 8 5124314
    149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
    Tp.Ho Chi Minh
    http://www.chuyenviet.com

    VnPro - The way to get knowledge

    Comment


    • #3
      Chào bạn, mình có một vài ý nhỏ như sau:

      Originally posted by cvo15303
      :) :D Ah!Mừng quá,e đang có chút thắc mắc về vấn đề này.
      1.Dấu hiệu nhận biết 1 IOS image có hỗ trợ IP plus( lệnh Crypto)
      Tên IOS của Cisco chứng tỏ các thông tin về loại thiết bị, các chức năng hỗ trợ, cách được lưu và cách hoạt động... Bạn có thể xem trang web này để biết thêm chi tiết.
      Cisco offers a wide range of products and networking solutions designed for enterprises and small businesses across a variety of industries.

      Để hỗ trợ VPN, bạn phải có IOS có hỗ trợ mã hoá, DES (56 bits) hoặc 3DES (168 bits), IOS này thường có tên dạng -.56.- , -.k9- ; hoặc bạn tìm IOS enterprise plus -js- để hỗ trợ mọi loại ứng dụng.

      2. Trước đây,Em đã cấu hình 1 Tunnel giống như anh Minh đã hướng dẫn.Tuy nhiên,e phải apply các ACL permit các protocol:ahp,esp,isakmp giữa 2 peer (VPN gateway) thì Tunnel mới up.Sau đó,e ping lẫn nhau giữa 2 net phía sau gateway 1 cách liên tục.Dùng các command:
      -sh crypto ipsec transform-set sa
      -sh crypto isakmp policy
      -sh crypto engine connection ac
      -debug crypto isakmp
      -debug crypto ipsec
      Mọi chuyện vẫn oK:các packet được encap,encrypt,decrypt và deencap đầy đủ.
      Nhưng khi dùng command:sh ip access-list,thì số packet match chỉ tăng ở 1 chiều thôi(trong khi e cho packet luu thong o ca 2 chieu).
      Chắc chắn là e có sai sót hoặc hiểu chưa đúng ở đây,nhưng lại k biết cụ thể nó là gì.
      Mong các sư huynh chỉ giáo dùm ngu đệ.
      Các giao thức như bạn kể là các giao thức mà IPsec VPN sử dụng (có thể không hết, thường chỉ cần isakmp 500/udp) và hai thiết bị VPN hai đầu phải trao đổi với nhau bằng các giao thức đó được thì mới chạy VPN được. Bạn phải cho phép bởi có thể trước đó bạn đã cấm chúng, còn bình thường không ai cấm thì không có vấn đề gì cả.
      Khi cài đặt VPN, điều đáng chú ý là access-list ở hai phía phải đối xứng nhau. Access-list này cho phép các lưu thông theo một chiều, đi vào VPN để sang phía bên kia.
      Ví dụ ta có mạng sau:

      netA --- fw1 ----V-P-N---- fw2 --- netB

      Thì trên fw1 có access-list: permit ip netA maskA netB maskB

      Tương ứng trên fw2 sẽ có access-list đối lại: permit ip netB maskB netA maskA

      Phần lớn các lỗi không thiết lập được VPN tunnel là do access-list không đối nhau.

      3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?
      Vụ này chắc phải nhờ ai đó giải thích giúp ha. :)

      4.Em đã up được 1 VPN Tunnel giữa Cisco router và Fortigate firewall(ở chế độ Autokey-IPsec),nên cũng mong muốn được trao đổi nhiều hơn về mảng này.
      Ngoài ra,FG còn hỗ trợ PPTP và L2TP.
      Về 2 cái này,em "củ chuối",nếu anh nào đã từng nghiên cứu qua thì chỉ cho e với nhé.
      Rất cảm ơn diễn đàn
      "Người đi trước rước kẻ đi sau"
      :P :lol:
      PPTP và L2TP thường được dùng cho access VPN, cho các máy tính truy cập từ xa bằng VPN về mạng trung tâm.
      Bạn có thể giới thiệu về cách cấu hình, các điểm cần lưu ý về các thông số VPN giữa Cisco và Fortigate, hoặc giữa bất kỳ hai hãng nào để cho anh em học tập kinh nghiệm nha.

      Cám ơn rất nhiều.

      Comment


      • #4
        Chào cvo15303,

        3.Có 2 mode Tunnel và Transport,nhưng e chỉ nghe nói về VPN Tunnel ,còn Transport là gì thế?2 cái này khác nhau như thế nào vậy?

        IPSec là một set các protocols dể tạo ra secured tunnels chạy trên the insecured IP networks. Dây là VPN tunnels mà bạn nói.
        IPSec hoạt dộng với hai modes: Tunnel mode và Transport mode. Tunnel mode không dính dáng với VPN tunnel dâu bạn ạ!
        Ở IPSec tunnel mode, source router creates IPSec packet bằng cách encapsulates toàn bộ user packet kể luôn IP header bằng IPSec header. Dồng thời phía trước IPSec header, router adds thêm một IP header mới mà source address chính là của router dó.
        Ở IPSec transport mode, IPSec protocol chỉ dặt thêm IPSec header vào giữa IP header va payload của user packet mà thôi. Transport mode doesnot cost much process time, but not much save as in tunnel mode!

        Thân,

        Comment


        • #5
          :P Xin cảm ơn các sư huynh!
          Còn về vấn đề VPN giữa Fortigate(FG) firewall và Cisco router,e xin đề nghị như sau: Do thực sự FG cũng chưa phổ biến lắm,nên thật sự cũng khó cho e trong việc trình bày.FG là web-based,cho nên quá trình set up Tunnel (nằm ở nhiều menu khác nhau )sẽ có nhiều screen khác nhau.E sợ là k đủ chỗ để post lên hết.
          Vì lẽ đó,e sẽ theo dõi sát,nếu ai đó đã có FG trong tay và cần trao đổi e sẽ tham gia ngay.
          Hoachuoi và các sư huynh thông cảm nhé
          Mong tiếp tục nhận được sự chỉ dẫn từ đàn anh đi trước
          Mến
          :P
          Vietnamese Professionals (VnPro)
          Tel: +84 8 5124257 - 5125314
          Fax: +84 8 5124314
          149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
          Tp.Ho Chi Minh
          http://www.chuyenviet.com

          VnPro - The way to get knowledge

          Comment


          • #6
            Firewall to Router VPN dùng 3DES và IKE Pre-shared Key

            Để mình post config file của Fortigate lên chúng ta cùng tham khảo, Fortigate cũng có thể config bằng command line nhưng tập lệnh của nó hoàn toàn khác với CISCO nên mình đưa lên bẳng web base của nó rất dễ tham khảo (NHÌN là BIẾT hehehe...)
            Last edited by Crazy; 29-11-2011, 07:37 PM.
            Crazy ®

            Comment


            • #7
              :lol: Í lộn,xin lỗi.Bài nên đặt ở đây mới phải.
              Phần này ,e xin bổ sung thêm vài ý từ bài viết rất hay của Crazy.
              Ta cũng chuẩn bị ở 2 đầu của VPN tunnel giống như VPN giữa Router-Router.
              Router:Các bạn config giống như anh Minh đã hướng dẫn,tuy nhiên trong command set peer....,địa chỉ sẽ là IP của External interface của FG,và FG chỉ hỗ trợ mode tunnel mà thôi
              FG:Có bước
              Bước 1:Cấu hình cho Remote gateway,đây chính là Router,nên chỉ cần sao lại các giao thức,key,chính sách và giải thuật mmã hóa mà router đã sử dụng.IP của remote gateway sẽ là IP của router
              Bước 2:Cấu hình Tunnel
              Chọn Autokey
              Trong phần này,bạn sẽ cung cấp các network là thành phần của Tunnel(định nghĩa các net này sẽ thực hiện trong menu Address),key ,lifetime,...
              (Nếu xem file Crazy gửi kèm sẽ rõ hơn)
              Bước 3:Cấu hình policy
              Trong Policy từ Internal-->External,ta thiết lập 1 policy đi từ Internal network-->Remote network(sau router) với action là ENCRYPT.
              Thông thường ta chỉ sử dụng PERMIT và DENY.
              Lưu ý:Policy là gần giống với ACL,nên cần chú ý thứ tự.
              Đối với Policy nói trên,ta sẽ đặt nó vào vị trí đầu tiên trong số các policy ở hướng này.
              Cuối cùng,thực hiện lệnh ping liên tục.Vào Status(Trong VPN menu),bạn sẽ thấy nó thay đổi từ Down-->Connecting-->Up.Sau 1 khoảng lifetime,key phài đổi,lúc này Staus sẽ là Unknown,sau đó tiếp tục Up.

              Với chút kiến thức mọn,e xin gửi đến diễn đàn thông tin.
              Mong nhận được sự góp ý.
              Mến chào.
              "Người đi trước rước người đi sau"

              :P
              Vietnamese Professionals (VnPro)
              Tel: +84 8 5124257 - 5125314
              Fax: +84 8 5124314
              149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
              Tp.Ho Chi Minh
              http://www.chuyenviet.com

              VnPro - The way to get knowledge

              Comment


              • #8
                Re: Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

                Cấu hình Policy như bước 3 mà cvo15303 đề cập.

                Crazy.
                Crazy ®

                Comment


                • #9
                  :oops: Good day diễn đàn.
                  Em cảm thấy VPN gây ra delay lớn thì phải.
                  Chẳng hạn e dùng VPN(PPTP) móc vào server từ máy e,đang dùng aDSL,mà nó ì ạch còn hơn cả Dial-up.
                  Mong rằng với kinh nghiệm thực tế,các sư huynh có thể phân tích và so sánh đôi chút về các giao thức mà VPN đang dùng như PPTP,L2TP và IPsec để đệ hiểu rõ hơn k?
                  Rất cảm ơn vì đã dành thời gian.
                  Mến!
                  :lol:
                  Vietnamese Professionals (VnPro)
                  Tel: +84 8 5124257 - 5125314
                  Fax: +84 8 5124314
                  149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
                  Tp.Ho Chi Minh
                  http://www.chuyenviet.com

                  VnPro - The way to get knowledge

                  Comment


                  • #10
                    Re: Bài 2: Router to Router VPN dùng 3DES và IKE Pre-shared Key

                    Hi All

                    Theo bài viết của Anh Minh thì VPN sẽ dùng Router- Router và các router này hổ trợ VPN. Vậy nếu như 2 router này không hổ trợ VPN thì có giải pháp nào tốt hơn là thay Router?





                    Fugarcar

                    Comment


                    • #11
                      :) Chào Fugacar!
                      Chúc anh và các sư huynh một tuần mới vui vẻ.
                      Theo thiển ý của cvo thì có rất nhiều cách để Up 1 VPN Tunnel.Vấn đề là ta sẽ chọn giao thức nào(PPTP,:L2TP;Ipsec) và thiết bị đi kèm có hỗ trợ chúng k?
                      Tip VPN Router-Router của super Mod Đặng Quang Minh là rất bổ ích ở 2 điểm:
                      1.Tần suất xây dựng VPN Tunnel dựa vào Cisco Router là rất cao trong quá trình thiết lập và bảo mật network hiện nay.
                      2.Ý tưởng và kiến thức về VPN do Cisco cung cấp sẽ là nền tảng kiểu mẫu cho các dòng thiết bị có khác hỗ trợ kỹ thuật này.
                      IOS sẽ quyết định việc router có hỗ trợ hay k,cho nên nếu khó khăn xuất phát từ đây thì bạn chỉ việc nâng cấp IOS mà thôi.
                      Ngoài ra, bạn có thể chọn các thiết bị khác để làm VPN như Firewall-Router hoặc Firewall-Firewall,cái cần là kỹ năng cơ bản về VPN Tunnel chứ k phải là tbị đâu
                      Mến

                      :lol:
                      Vietnamese Professionals (VnPro)
                      Tel: +84 8 5124257 - 5125314
                      Fax: +84 8 5124314
                      149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
                      Tp.Ho Chi Minh
                      http://www.chuyenviet.com

                      VnPro - The way to get knowledge

                      Comment


                      • #12
                        Các anh cho em hỏi 1 chút là nếu như xây dựng 1 VPN ở mức đơn giản nhất (tức là ko có các yêu cầu như bảo mất chẳng hạn ) thì tối thiểu cần những thiết bị nào.
                        Việc tự xây dựng 1 VPN đối với 1 người chưa biết gì về router liệu có khả năng ko ?
                        Rất cảm ơn các anh.

                        Comment

                        Working...
                        X