Showing posts with label VPN. Show all posts
Showing posts with label VPN. Show all posts

October 3, 2015

VPN site to site giữa ASA và Draytek

I. Sơ đồ và yêu cầu
1. Sơ đồ



2. Yêu cầu
- Thực hiện VPN site to site giữa ASA và Draytek (mình dùng con Vigor 2920 vì mình mới được cho mượn con này xài )
- Client truy cập lẫn nhau được

II. Triển khai
1. Cấu hình Draytek
- Thiết lập IP WAN cho Vigor 2920 trên interface WAN 2 có IP: 200.0.0.2/24



- Thiết lập IP LAN cho Vigor



- Cấu hình VPN trên Draytek
- Vào mục VPN and Remote Access >> LAN to LAN >> Click chọn index 1.



- Chọn cấu hình dial in hoặc dial out tùy mục địch config của bạn. Và kết nối VPN bằng interface WAN2.

  • Profile Name: đặt tên profile để tiện việc quản lý.
  • Enable: để kích hoạt Profile.
  • Dial-out: để báo cho router biết chức năng của nó là Dial-out, và chút nữa chúng ta chỉ cần quan tâm phần cấu hình Dial-out trong profile này.




- Chuyển xuống mục Dial-out settings (bỏ qua phần Dial-in setting). Chọn IPSec Tunnel để thiết lập kênh VPN theo giao thức IPsec.
Chú ý chọn chỗ mũi tên số 1 (pre-share key giữa ASA và draytek phải giống nhau) và số 2 (kiểu mã hóa, thuật toán băm và chứng thực phải giống với ASA) nếu không nó sẽ ko chạy được



- Pharse 1 mình sẽ chọn 

  • main mode
  • Mã hóa theo thuật toán 3DES
  • Thuật toán băm là MD5
  • Thuật toán trao đổi khóa diffie hellman là group 2

- Các bạn chú chọn cho đúng để chút config bên ASA phải giống nếu không nó không chạy được lại khổ 



- Tiếp tục xuống phần TCP/IP settings (Bỏ qua các mục cấu hình khác)

  • Ở phần này ta sẽ báo cho Router biết mạng local ở đầu xa có địa chỉ là bao nhiêu.
  • Điền 192.168.1.0 vào khung Remote Network IP ( Địa chỉ mạng ở đầu xa - IP inside của ASA).
  • Điền 255.255.255.0 vào khung Remote Network Mask.
  • Điền 10.1.1.0 vào khung Local Network IP.
  • Click OK để lưu các mục vừa cấu hình.




2. Cấu hình ASA
- Cấu hình IP cho ASA


ciscoasa(config)# interface g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
- Cấu hình VPN cho ASA

ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 86400
ciscoasa(config)# crypto ikev1 enable outside

ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set SVUIT esp-3des esp-md5-hmac
ciscoasa(config)# object network INSIDE-ASA
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# object network INSIDE-Draytek
ciscoasa(config-network-object)# subnet 10.2.2.0 255.255.255.0

ciscoasa(config)# access-list VPN-TRAFFIC permit ip object INSIDE-ASA object INSIDE-Draytek

ciscoasa(config)# crypto map ASA-VPN 10 match address VPN-TRAFFIC
ciscoasa(config)# crypto map ASA-VPN 10 set peer 200.0.0.2
ciscoasa(config)# crypto map ASA-VPN 10 set ikev1 transform-set SVUIT
ciscoasa(config)# crypto map ASA-VPN interface outside

ciscoasa(config)# tunnel-group 200.0.0.2 type ipsec-l2l
ciscoasa(config)# tunnel-group 200.0.0.2 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key svuit.com
3. Kiểm tra
- Client trong Draytek thực hiện truy cập web server trong vùng inside của ASA thành công






4. Kiếm tra và Lỗi
- Nếu VPN thành công bạn hãy kiểm tra trạng thái Crypto ikev1


Code:
ciscoasa# sh crypto ikev1 sa


IKEv1 SAs:


   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1


1   IKE Peer: 200.0.0.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
- Trạng thái IPsec 

Code:
ciscoasa# sh ipsec sa
interface: outside
    Crypto map tag: ASA-VPN, seq num: 10, local addr: 200.0.0.1


      access-list VPN-TRAFFIC extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
      current_peer: 200.0.0.2


      #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
      #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 6, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 228


      local crypto endpt.: 200.0.0.1/0, remote crypto endpt.: 200.0.0.2/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 8251B9F0
      current inbound spi : 8595387F


    inbound esp sas:
      spi: 0x8595387F (2241149055)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: ASA-VPN
         sa timing: remaining key lifetime (sec): 28614
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x8251B9F0 (2186394096)
         transform: esp-3des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: ASA-VPN
         sa timing: remaining key lifetime (sec): 28614
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

- Nếu bạn VPN không thành công thì hãy thử debug xem nó thế nào nhé


ciscoasa# debug crypto ikev1 255
- Ví dụ như lỗi ở hình dưới đây là do ở pharse 1 việc chọn thuật toán mã hõa, băm hoặc group diffi không đúng nên vpn thất bại


Nguon: http://svuit.vn/lab-71/lab-18-2-vpn-site-site-giua-asa-va-draytek-687.html

http://www.slideshare.net/laonap166/vpn-site-to-site-gia-asa-v-draytek

June 26, 2015

VPN IPsec Site-to-site Fortigate 200D với Draytek 3300

VPN IPsec Fortigate 200D to Draytek 3300
Ngày nay công nghệ VPN ngày càng phát triễn, vì thế các doanh nghiệp có thể kết nới các chi nhánh lại với nhau, một cách an toàn và chi phí rẻ, mà không cần phải thuê đường Lease Line đắt đỏ.
Hôm nay mình hướng dẫn VPN site-to-site giữa 2 router Fortigate và DrayTek.
Mô hình như sau:
WAN1: 203.210.239.4
LAN: 192.168.50.0/24
WAN 2: 113.161.175.175
LAN: 192.168.1.0/24
– Cấu hình Router Draytek 3300
Cấu hình menu Default như hình dưới.
Tại mục Preshared Key các bạn tạo một key bất kỳ khi mà khi cấu hình cho Fortigate bạn cũng phải đặt giống vậy, ở đây mình đặt ví dụ là: 123456

Sang mục Advanced cấu hình IKE Phase 1 như hình.

Cấu hình cho Draytek 3300 như vậy là tạm ổn, bắt tay vào cấu hình cho Fortigate 200d
– Vào mục Firewall Objects tạo 2 address như hình dưới.
Sau đó vào Policy tạo một Policy mới như thông tin hình dưới.
Tại mục Preshared Key các bạn tạo một key bất kỳ phải đặt giống với khi đặt cho Draytek , ở đây mình đặt ví dụ là: 123456

– Sau khi tạo xong Policy nó sẻ có thông tin như hình dưới.

– Các bạn vào VPN –> Ipsec –> Auto Key(IKE) cấu hình Phase 1 như hình.

– Tiếp theo vào Phase 2 chọn Advanced bạn điền thông tin như hình dưới.

– Các bạn cấu hình tới đây là tạm ổn 2 router Fortigate 200d và Draytek 3300 đã kết nối được với nhau.
– Cấu hình tới đây từ mạng Lan: 192.168.1.0/24 của Draytek có thể ping thông qua được Fortigate và truy cập mạng lan 192.168.50.0/24 bình thường nhưng chiều ngược lại thì không thể, nên tiếp tục cấu hình tiếp để cho 2 lớp mạng có thể giao tiếp với nhau.
– Vào lại Router Fortigate 200d
Vào mục Router –> Policy Routes tạo một Policy như hình dưới.

Cấu hình tới đây là xong các bạn có thể dùng Ping hoặc tracert kiễm tra xem hai lớp mạng giao tiếp với nhau thành công chưa.


Chúc các bạn thực hiện thành công.