Végül elkészült a Cisco VPN Klienssel használható Remote Access VPN . Összefoglalva a lényeg:

A VPN működésének előfeltétele:

• MS Certificate szerver MSCEP támogatással
• MS Radius szerver, olvasás joggal egy MS Active Directory rendszerhez
• Megfelelően konfigurált Cisco IOS router

A kliens kapcsolódásához szükséges:

• rootCA + érvényes certificate az MS Certificate szervertől
• dial-in jog az Active Directory felhasználónak

A kommunikációhoz szükséges:

• UDP 500 : ISAKMP
• UDP4500 NAT-T támogatás
• Protokoll 50, ESP

A rendszer működése:

Amikor a felhasználó csatlakozik a VPN routerhez, először IKE fázisban azonosítja magát a certificattel (rsa-sig). Amennyiben ez sikeres, IKE Mode Config segítségével a kliens megkapja az IP címét, dns, egyéb paramétereket. A VPN Kapcsolat felépüléséhez a felhasználót is azonosítani kell, IPSEC XAUTH-al. Radius protokoll segítségével tehát a felhasználót azonosítjuk az Active Directory-s felhasználó nevével és jelszavával.

A konfiguráció:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname stargate-vpn
!
boot-start-marker
boot-end-marker
!
logging buffered 2000000 debugging
enable secret 5 <removed>
!
aaa new-model
!
!Definiáljuk az az AAA paramétereket: auth RADIUS szerverrel, ha az nem lenne elérhető akkor localból
aaa authentication login userauthen group radius local
aaa authorization network vpngroup local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!Megadjuk a domain nevet, és a nameservereket
ip domain name stargate.hu
ip name-server 192.168.128.2
ip name-server 192.168.128.13
!
!A routert ssh ver 2-vel lehet csak elérni
ip ssh version 2
!
!Definiáljuk az MS Certification szerver paramétereit, mely támogatja az MSCEP-t is
crypto pki trustpoint stargateserver.stargate.hu
 enrollment mode ra
 enrollment url http://stargateserver.stargate.hu:80/certsrv/mscep/mscep.dll
 serial-number
 ip-address 191.128.129.88
 revocation-check crl
!
!A certificatek, ezeket a crypto ca enrollment stargateserver.stargate.hu paranccsal töltötte le a router, illetve igényelte úgy emlékszek
crypto pki certificate chain stargateserver.stargate.hu
 <chain>

username admin privilege 15 password 7 <removed>
!
!
!
! Az isakmp policy, prioritása 20, rsa-sig-t használunk auth-ra, aes 256 titkosítás, sha-1 hash
crypto isakmp policy 20
 encr aes 256
 hash sha
 auth rsa-sig
 group 2
!
! Támogatjuk a NAT-t
crypto isakmp nat keepalive 20
!
!Mode config alatt ezeket a paramétereket adjuk vissza a klienseknek. Vigyázat, ez akkor aktív csak, ha a certificate DN (Department) mezője stargate
crypto isakmp client configuration group stargate
 dns 192.168.128.20
 wins 192.168.128.2 192.168.128.13
 domain stargate.hu
 pool vpn-pool
 netmask 255.255.255.0
!
!Definiálunk egy transform-set-t ipsec-hez
crypto ipsec transform-set vpn-transform esp-aes esp-sha-hmac

!Definiáljuk a dinamikus crypto-map-t, és hozzá kötjük a transform-set-t,erre azért van szükség mert nem tudjuk a csatlakozó kliensek IP címét, mert az dinamikus
crypto dynamic-map vpn-dynamic 10
 set transform-set vpn-transform
 reverse-route
!
!Statikus crypto-map-t hozunk létre, és a megfelelő AAA illetve dinamikus crypto-map-t hozzákötjük.
crypto map vpnclient client authentication list userauthen
crypto map vpnclient isakmp authorization list vpngroup
crypto map vpnclient client configuration address respond
crypto map vpnclient 10 ipsec-isakmp dynamic vpn-dynamic
!
!
!
!
!
interface GigabitEthernet0/0
 ip address 192.168.128.20 255.255.255.0
 duplex auto
 speed auto
!
!A WAN Interface-en aktiváljuk a statikus crypto-map-t
interface GigabitEthernet0/1
 ip address 191.128.129.88 255.255.255.240
 duplex auto
 speed auto
 crypto map vpnclient
!
!Definiáljuk a pool-t, ahonnét a VPN Kliensek IP-t kapnak
ip local pool vpn-pool 192.168.32.1 192.168.32.254
!Default route a WAN GW felé
ip route 0.0.0.0 0.0.0.0 191.128.129.81
!
!
no ip http server
no ip http secure-server
!A router dns proxyként üzemel
ip dns server
!
!AAA radius szerver definiálása
radius-server host 192.168.128.17 auth-port 1645 acct-port 1646 timeout 3 retransmit 5 key 7 <removed>
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password 7 <removed>
 transport input ssh
!
scheduler allocate 20000 1000
!
end

Popularity: 68% [?]

Related posts:

1. VPN Hozzáférés #1 – Cisco VPN Kliens – Local Auth Sziasztok, megpróbálom összeszedni a gondolataimat a VPN Hozzáféréssel kapcsolatban, ezért...
2. IPsec VPN Cisco PIX-el         Először egy egyszerűbb kisvállalati topológiával kezdeném,...
3. VPN Egy jó kis VPN projecten dolgozok mostanában, ami valószínüleg PKI-t...
4. Tipp: reload in A VPN router konfigurálása közben sikerült kizárni magamat, mert beállítottam...
5. Ipsec fontos portok Amennyiben egy PIX vagy egyéb security eszköz van a...