IKEv2: Zentralen ASA-Hub mit mehreren IOS Spokes verbinden: Unterschied zwischen den Versionen

(Referenzen)
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
=== '''Symptom''' ===
 
=== '''Symptom''' ===
Es wird ein bezahlbares VPN-Konzept gesucht, bei dem sich auch Standorte mit dynamischen IPs problemlos einbeziehen lassen.<br />
+
Es wird ein bezahlbares VPN-Konzept gesucht, bei dem sich auch Standorte mit dynamischen IPs problemlos einbeziehen lassen.  
  
 
=== '''Problem''' ===
 
=== '''Problem''' ===
Für dieses Szenario würden sich FlexVPN oder DMVPN ideal einsetzen lassen, allerdings sind die Kosten für<br />
+
Für dieses Szenario würden sich FlexVPN oder DMVPN ideal einsetzen lassen, allerdings sind die Kosten für einen IOS Router mit ordentlich Performance zu hoch. Für mehr als 225 Tunnel und über 85Mbit Durchsatz wäre noch die HSEC Lizenz fällig. Auch das Management der Firewall-Regeln ist mit IOS nicht zu bewältigen, wenn mal mehr wie 200 Regeln umzusetzen sind. VPNs mit dynamischen IPs setzen entweder auf Zertifikate oder PSKs. Der Nachteil von einem PSK ist, dass er für alle Sessions gleich sein muss: DefaultL2LGroup. Zertifikate wiederum sind sehr aufwändig zu verwalten und sehr komplex. Um das Ganze einfach zu lösen verwenden wir IKEv2 mit PSKs und dem Gruppennamen über die isakmp-ID. Somit kann für jede Gruppe ein eigener PSK gewählt werden.
einen IOS Router mit ordentlich Performance zu hoch. Für mehr als 225 Tunnel und über 85Mbit Durchsatz<br />
 
wäre noch die HSEC Lizenz fällig. Auch das Management der Firewall-Regeln ist mit IOS nicht zu bewältigen,<br />
 
wenn mal mehr wie 200 Regeln umzusetzen sind.<br />
 
VPNs mit dynamischen IPs setzen entweder auf Zertifikate oder PSKs. Der Nachteil von einem PSK ist,<br />
 
dass er für alle Sessions gleich sein muss: DefaultL2LGroup. Zertifikate wiederum sind sehr aufwändig zu verwalten<br />
 
und sehr komplex. Um das Ganze einfach zu lösen verwenden wir IKEv2 mit PSKs und dem Gruppennamen über die isakmp-ID.<br />
 
Somit kann für jede Gruppe ein eigener PSK gewählt werden.<br />
 
 
   
 
   
 
=== '''Vorschlag''' ===
 
=== '''Vorschlag''' ===
Eine ASA5515-X ist relativ günstig, kommt mit 255 Tunneln zurecht und schafft im einzelnen Stream<br />
+
Eine ASA5515-X ist relativ günstig, kommt mit 255 Tunneln zurecht und schafft im einzelnen Stream auch knapp 1Gbit VPN Durchsatz. Zusätzlich bietet sie sehr gute HA-Funktionalität und auch einen stateful IPSEC Failover. Auf der Clientseite verwenden wir IOS Router der 880er Serie, diese kommen mit allen benötigten Features daher.  
auch knapp 1Gbit VPN Durchsatz. Zusätzlich bietet sie sehr gute HA-Funktionalität und auch einen stateful IPSEC Failover.<br />
 
Auf der Clientseite verwenden wir IOS Router der 880er Serie, diese kommen mit allen benötigten Features daher.<br />
 
  
 
=== '''Ursache und Lösung''' ===
 
=== '''Ursache und Lösung''' ===
 
Auf der ASA konfigurieren wir folgendes (nur crypto):
 
Auf der ASA konfigurieren wir folgendes (nur crypto):
Subnetze definieren:
+
'''Subnetze definieren:'''<br>
<br />
+
''access-list outside_cryptomap extended permit ip object OUR-NET object CLIENT-NET''
 
 
access-list outside_cryptomap extended permit ip object OUR-NET object CLIENT-NET
 
  
Proposal festlegen:
+
'''Proposal festlegen:'''
 
<br />
 
<br />
  
Zeile 31: Zeile 20:
 
   protocol esp integrity sha-256 sha-1
 
   protocol esp integrity sha-256 sha-1
  
Tunnelgroup:
+
'''Tunnelgroup:'''
 
<br />
 
<br />
  
Zeile 39: Zeile 28:
 
   ikev2 local-authentication pre-shared-key *****
 
   ikev2 local-authentication pre-shared-key *****
  
Crypto map:
+
'''Crypto map:'''
 
<br />
 
<br />
  
Zeile 48: Zeile 37:
 
  crypto map outside_map 1 ipsec-isakmp dynamic dynamicvpn1
 
  crypto map outside_map 1 ipsec-isakmp dynamic dynamicvpn1
  
Crypto map aktivieren:
+
'''Crypto map aktivieren:'''
 
<br />
 
<br />
  
Zeile 56: Zeile 45:
 
Auf der Clientseite (wieder nur crypto)
 
Auf der Clientseite (wieder nur crypto)
 
<br />
 
<br />
Proposals:
+
'''Proposals:'''
 
<br />
 
<br />
  
Zeile 66: Zeile 55:
 
   proposal proposal1
 
   proposal proposal1
  
Key:
+
'''Key:'''
 
<br />
 
<br />
  
Zeile 75: Zeile 64:
 
   pre-shared-key remote ******
 
   pre-shared-key remote ******
  
Profile:
+
'''Profile:'''
 
<br />
 
<br />
  
Zeile 85: Zeile 74:
 
   keyring local kyr1
 
   keyring local kyr1
  
Transform set (Phase2 Proposal):
+
'''Transform set (Phase2 Proposal):'''
 
<br />
 
<br />
  
Zeile 91: Zeile 80:
 
   mode tunnel
 
   mode tunnel
  
Crypto map:
+
'''Crypto map:'''
 
<br />
 
<br />
  
Zeile 100: Zeile 89:
 
  match address vpnlist
 
  match address vpnlist
  
ACL:
+
'''ACL:'''
 
<br />
 
<br />
  
Zeile 106: Zeile 95:
 
   permit ip OUT-NET 0.0.0.255 REMOTE-NET 0.0.0.255
 
   permit ip OUT-NET 0.0.0.255 REMOTE-NET 0.0.0.255
  
Auf das Interface binden:
+
'''Auf das Interface binden:'''
 
<br />
 
<br />
  
Zeile 112: Zeile 101:
 
   crypto map cmap
 
   crypto map cmap
  
Jetzt kann man die Verbindung testen …
+
'''Jetzt kann man die Verbindung testen …'''
 
<br />
 
<br />
  
 
  ping remote-ip source Vlan1
 
  ping remote-ip source Vlan1
 
  
 
=== '''Referenzen''' ===
 
=== '''Referenzen''' ===
 
[http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112075-dynamic-ipsec-asa-router-ccp.html www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112075-dynamic-ipsec-asa-router-ccp.html]<br />
 
[http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112075-dynamic-ipsec-asa-router-ccp.html www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112075-dynamic-ipsec-asa-router-ccp.html]<br />
 +
 
[http://priority-zero.blogspot.de/2013/10/cisco-asa-to-juniper-ssg-ikev2-ipsec.html priority-zero.blogspot.de/2013/10/cisco-asa-to-juniper-ssg-ikev2-ipsec.html]<br />
 
[http://priority-zero.blogspot.de/2013/10/cisco-asa-to-juniper-ssg-ikev2-ipsec.html priority-zero.blogspot.de/2013/10/cisco-asa-to-juniper-ssg-ikev2-ipsec.html]<br />
 +
 
[http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/115934-technote-ikev2-00.html www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/115934-technote-ikev2-00.html]<br />
 
[http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/115934-technote-ikev2-00.html www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/115934-technote-ikev2-00.html]<br />
 +
 
[http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ikevpn/configuration/15-1mt/Configuring_Internet_Key_Exchange_Version_2.html www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ikevpn/configuration/15-1mt/Configuring_Internet_Key_Exchange_Version_2.html]<br />
 
[http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ikevpn/configuration/15-1mt/Configuring_Internet_Key_Exchange_Version_2.html www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ikevpn/configuration/15-1mt/Configuring_Internet_Key_Exchange_Version_2.html]<br />
[https://myitmicroblog.svbtle.com/ikev2-vpn-s2s-ios-and-asa myitmicroblog.svbtle.com/ikev2-vpn-s2s-ios-and-asa]<br />
+
 
 +
[https://myitmicroblog.svbtle.com/ikev2-vpn-s2s-ios-and-asa myitmicroblog.svbtle.com/ikev2-vpn-s2s-ios-and-asa]
  
 
=== '''Kontakt''' ===
 
=== '''Kontakt''' ===
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: TechCorner@max-it.de.<br />
+
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:<br />
 +
[http://mailto:TechCorner@max-it.de TechCorner@max-it.de].  
  
 
=== '''Tags''' ===
 
=== '''Tags''' ===

Version vom 13. Mai 2020, 08:36 Uhr

Symptom

Es wird ein bezahlbares VPN-Konzept gesucht, bei dem sich auch Standorte mit dynamischen IPs problemlos einbeziehen lassen.

Problem

Für dieses Szenario würden sich FlexVPN oder DMVPN ideal einsetzen lassen, allerdings sind die Kosten für einen IOS Router mit ordentlich Performance zu hoch. Für mehr als 225 Tunnel und über 85Mbit Durchsatz wäre noch die HSEC Lizenz fällig. Auch das Management der Firewall-Regeln ist mit IOS nicht zu bewältigen, wenn mal mehr wie 200 Regeln umzusetzen sind. VPNs mit dynamischen IPs setzen entweder auf Zertifikate oder PSKs. Der Nachteil von einem PSK ist, dass er für alle Sessions gleich sein muss: DefaultL2LGroup. Zertifikate wiederum sind sehr aufwändig zu verwalten und sehr komplex. Um das Ganze einfach zu lösen verwenden wir IKEv2 mit PSKs und dem Gruppennamen über die isakmp-ID. Somit kann für jede Gruppe ein eigener PSK gewählt werden.

Vorschlag

Eine ASA5515-X ist relativ günstig, kommt mit 255 Tunneln zurecht und schafft im einzelnen Stream auch knapp 1Gbit VPN Durchsatz. Zusätzlich bietet sie sehr gute HA-Funktionalität und auch einen stateful IPSEC Failover. Auf der Clientseite verwenden wir IOS Router der 880er Serie, diese kommen mit allen benötigten Features daher.

Ursache und Lösung

Auf der ASA konfigurieren wir folgendes (nur crypto): Subnetze definieren:
access-list outside_cryptomap extended permit ip object OUR-NET object CLIENT-NET

Proposal festlegen:

crypto ipsec ikev2 ipsec-proposal AES256-SHA1-256
 protocol esp encryption aes-256
 protocol esp integrity sha-256 sha-1

Tunnelgroup:

tunnel-group dynamicvpn1 type ipsec-l2l
tunnel-group dynamicvpn1 ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

Crypto map:

crypto dynamic-map dynamicvpn1 1 match address outside_cryptomap
crypto dynamic-map dynamicvpn1 1 set pfs group5
crypto dynamic-map dynamicvpn1 1 set ikev2 ipsec-proposal AES256-SHA1-256 AES256 AES192 AES
crypto dynamic-map dynamicvpn1 1 set reverse-route
crypto map outside_map 1 ipsec-isakmp dynamic dynamicvpn1

Crypto map aktivieren:

crypto map outside_map interface outside
crypto ikev2 enable outside

Auf der Clientseite (wieder nur crypto)
Proposals:

crypto ikev2 proposal proposal1
 encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
 integrity sha256 sha1
 group 14 5
crypto ikev2 policy policy1
 proposal proposal1

Key:

crypto ikev2 keyring kyr1
 peer peer1
 address ASA-IP
 pre-shared-key local ******
 pre-shared-key remote ******

Profile:

crypto ikev2 profile profile1
 match identity remote address ASA-IP 255.255.255.255
 identity local key-id dynamicvpn1
 authentication local pre-share
 authentication remote pre-share
 keyring local kyr1

Transform set (Phase2 Proposal):

crypto ipsec transform-set trans esp-aes esp-sha-hmac
 mode tunnel

Crypto map:

crypto map cmap 1 ipsec-isakmp
set peer ASA-IP
set transform-set trans
set ikev2-profile profile1
match address vpnlist

ACL:

ip access-list extended vpnlist
 permit ip OUT-NET 0.0.0.255 REMOTE-NET 0.0.0.255

Auf das Interface binden:

interface Gi0
 crypto map cmap

Jetzt kann man die Verbindung testen …

ping remote-ip source Vlan1

Referenzen

www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112075-dynamic-ipsec-asa-router-ccp.html

priority-zero.blogspot.de/2013/10/cisco-asa-to-juniper-ssg-ikev2-ipsec.html

www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/115934-technote-ikev2-00.html

www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ikevpn/configuration/15-1mt/Configuring_Internet_Key_Exchange_Version_2.html

myitmicroblog.svbtle.com/ikev2-vpn-s2s-ios-and-asa

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
TechCorner@max-it.de.

Tags

IKEv2, Hub, Spoke, VPN, IPSEC, ASA, Cisco, IOS, dynamische IP