• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thực hiện IPSec VPN Remote-access xác thực với RSA Sig

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thực hiện IPSec VPN Remote-access xác thực với RSA Sig

    Bùi Nguyễn Hoàng Long

    Thực hiện IPSec VPN Remote-access xác thực với RSA Sig
    I. Mô tả
    Thực hiện kết nối IPSec VPN remote-access dùng xác thực RSA Sig

    II. Cấu hình

    Đảm bảo CA được cấu hình

    Cấu hình trên VPN Client
    B1: Đăng ký với CA




    B2: Xác định thông tin định danh trong chứng chỉ của người dùng, giá trị OU tương ứng với tên nhóm






    B3: Thực hiện Issue trên CA



    B4: Nhận chứng chỉ



    B5: Thực hiện bước xác thực (bỏ trống nếu “Require SCEP Challenge Phrase to Enroll” không được chọn trong qua trình cài đặt SCEP)



    Nhận chứng chỉ thành công




    B6: Tạo thông tin kết nối mới



    Chọn xác thực bằng chứng chỉ





    III. Cấu hình đầy đủ

    SAIGON
    Building configuration...

    !
    hostname SAIGON
    !
    aaa new-model
    !
    aaa authentication login VPN local
    aaa authorization network VPN local
    !
    ip cef
    no ip dhcp use vrf connected
    !
    ip domain name vnpro.org
    ip host CASERVER 152.1.1.1
    !
    crypto pki trustpoint CA
    enrollment mode ra
    enrollment url http://CASERVER:80/certsrv/mscep/mscep.dll
    subject-name cn=VNPRO,e=vnpro.vn,O=VNPRO
    revocation-check none
    !
    crypto pki certificate chain CA
    certificate 611258E6000000000004
    30820406 308202EE A0030201 02020A61 1258E600 00000000 04300D06 092A8648
    86F70D01 01050500 3010310E 300C0603 55040313 05564E50 524F301E 170D3039
    ..............
    quit
    certificate ca 548EB1B58D23558D48C79B10999FC6EF
    3082035C 30820244 A0030201 02021054 8EB1B58D 23558D48 C79B1099 9FC6EF30
    0D06092A 864886F7 0D010105 05003010 310E300C 06035504 03130556 4E50524F
    ...............
    quit

    username vnpro password 0 vnpro
    !
    crypto isakmp policy 10
    encr 3des
    hash md5
    group 2
    no crypto isakmp ccm
    !
    crypto isakmp client configuration group VPNCLIENT
    domain vnpro.org
    pool MYPOOL
    crypto isakmp profile ISAKMP_PROFILE
    match identity group VPNCLIENT
    client authentication list VPN
    isakmp authorization list VPN
    client configuration address respond
    virtual-template 1
    !
    crypto ipsec transform-set MYSET esp-des esp-md5-hmac
    !
    crypto ipsec profile IPSEC_PROFILE
    set transform-set MYSET
    !
    interface Loopback0
    ip address 192.168.1.1 255.255.255.0
    !
    interface FastEthernet0/0
    ip address 150.1.1.1 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    no ip address
    shutdown
    duplex auto
    speed auto
    !
    interface Virtual-Template1 type tunnel
    ip unnumbered Loopback0
    tunnel mode ipsec ipv4
    tunnel protection ipsec profile IPSEC_PROFILE
    !
    ip local pool MYPOOL 192.168.10.2 192.168.10.10
    ip classless
    ip route 0.0.0.0 0.0.0.0 150.1.1.2
    !

    IV. Kiểm tra

    Thực hiện kết nối





    Giao tiếp thành công



    Trạng thái ISAKMP

    SAIGON#sh crypto isakmp sa
    dst src state conn-id slot status
    150.1.1.1 151.1.1.1 QM_IDLE 1 0 ACTIVE

    SAIGON#sh crypto session
    Crypto session current status

    Interface: Virtual-Access2
    Session status: UP-ACTIVE
    Peer: 151.1.1.1 port 3257
    IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
    IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
    Active SAs: 2, origin: crypto map

    Trạng thái IPSec

    SAIGON#sh crypto ipsec sa

    interface: Virtual-Access2
    Crypto map tag: Virtual-Access2-head-0, local addr 150.1.1.1

    protected vrf: (none)
    local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/0/0)
    current_peer 151.1.1.1 port 3257
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
    #pkts decaps: 44, #pkts decrypt: 44, #pkts verify: 44
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

    Thông tin bảng định tuyến

    SAIGON#sh ip route static
    192.168.10.0/32 is subnetted, 1 subnets
    S 192.168.10.2 [1/0] via 0.0.0.0, Virtual-Access2
    S* 0.0.0.0/0 [1/0] via 150.1.1.2


    SAIGON#sh crypto session detail
    Crypto session current status

    Code: C - IKE Configuration mode, D - Dead Peer Detection
    K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
    M - Continuous Channel Mode

    Interface: Virtual-Access2
    Session status: UP-ACTIVE
    Peer: 151.1.1.1 port 3257 fvrf: (none) ivrf: (none)
    Phase1_id: ea=nguyenvana@vnpro.vn,cn=Nguyen Van A,ou=VPNCLIENT,o=VNPRO
    Desc: (none)
    IKE SA: local 150.1.1.1/500 remote 151.1.1.1/3257 Active
    Capabilities:CX connid:1 lifetime:23:54:01
    IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.10.2
    Active SAs: 2, origin: crypto map
    Inbound: #pkts dec'ed 44 drop 0 life (KB/Sec) 4467464/3257
    Outbound: #pkts enc'ed 8 drop 0 life (KB/Sec) 4467471/3257
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Working...
X