Xin chào các bạn, trong bài viết sau đây mình sẽ thực hiện cài đặt VPN Client to Site trên Firewall Cisco ASA, cho phép các Client truy cập từ xa đến mạng nội bộ của cơ quan thông qua đường truyền internet.
Đầu tiên, các bạn đăng nhập vào giao diện quản trị của ASA như hình bên dưới.
Các bạn chọn Wizards >> VPN Wizards >> Ipsec (IKEv1) Remote Access VPN Wizard… để mở cửa sổ cài đặt VPN.
Trong màn hình VPN Wizard, các bạn chọn VPN Tunnel Interface là outsite, check vào ô tùy chọn như hình bên dưới, click Next.
Tiếp theo, các bạn chọn loại VPN Client sẽ sử dụng, ở đây tôi sẽ chọn Cisco VPN Client, Release 3.x or higher…, sau đó click Next.
Ở bước tiếp theo, các bạn nhập Pe-Share key và Tunnel Group Name, sau đó click Next.
Ở màn hìn tiếp theo, các bạn để nguyên theo mặc định, click Next.
Kế tiếp, các bạn tạo User Account cho VPN Client, click Add.
Sau khi tạo xong tài khoản cho VPN user, các bạn click Next.
Ở bước kế tiếp, các bạn click New và nhập các tham số để tạo dãy IP sẽ cấp phát cho VPN Client, click OK.
Sau khi tạo xong IP Pool, các bạn tiếp tục click Next.
Ở màn hình tiếp theo, các bạn nhập Primary DNS và Secondary DNS Server, Default Domain Name, ấn Next.
Ở bước chọn thuật toán mã hóa và chứng thực, các bạn giữ nguyên theo mặc định, click Next.
Kế tiếp, các bạn chọn Interface nội bộ và lớp mạng cục bộ của cơ quan, ở đây tôi chọn Interface là inside và lớp mạng là 192.168.1.0/24, check chọn 2 check box bên dưới, click Next.
Kế đến, các bạn xem lại phần tóm tắt các thông tin đã cấu hình ở các bước trên, nếu tất cả đã chính xác, các bạn click Finish để sang bước tiếp theo.
Màn hình Preview CLI Commands cho biết các lệnh được tự động tạo ra, các bạn click Send để áp dụng các lệnh này.
Các bước cài đặt trên ASA đã xong, các bạn tiến hành cài đặt Cisco VPN Client. Trong giao diện VPN Client, các bạn click New để tạo kết nối đến ASA.
Trong cửa sổ Create New VPN Connection Entry, các bạn nhập tên kết nối, Host là IP Public của ASA, Group Name và Preshare Key đã tạo ở trên, click Save.
Tiếp theo, các bạn nhấp phải chuột vào tên kết nối, chọn Connect.
Tiếp theo, các bạn nhập VPN Username và Pasword đã tạo ở phần trước, click OK.
Các bạn tiến hành kiểm tra kết nối bằng lệnh Ping đến 01 host trong mạng nội bộ của cơ quan, như hình bên dưới lệnh ping đến host 192.168.1.1 đã thành công.
Các bạn có thể dùng lệnh ipconfig để xem thông tin IP đường kết nối VPN của Client như hình bên dưới.
Đến đây, việc cài đặt VPN Client to Site trên Firewall Cisco ASA đã được thực hiện xong, chúc các bạn thành công.
Thứ Tư, 11 tháng 12, 2019
Hướng dẫn cấu hình NAT trên Firewall Cisco ASA
Phần 3 đưa ra một số ví dụ cấu hình NAT.
1.Topology
Sơ đồ kết nối trên GNS3
2.Mô tả
Tại mỗi chi nhánh Chicago và New York có inside network, outside network và DMZ. Hai chi nhánh này kết nối với nhau bằng VPN site-to-site. Tại Chicago có triển khai VPN Remote access dành cho mobile users với subnet 192.168.50.0/24. Không may, DMZ network tại New York trùng lặp với inside network của Chicago.
3.Kịch bản 1
Cấu hình static NAT cho DMZ Web Server và dynamic PAT cho các host ở inside netwok sử dụng IP address của cổng outside (209.165.200.225).
3.1. Cấu hình dynamic PAT cho inside network
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Net
subnet 192.168.10.0 255.255.255.0
!
Chicago# show running-config nat
object network Inside-Net
nat (inside,outside) dynamic interface
!
3.2. Cấu hình static NAT cho Web Server
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Web
host 192.168.20.10
!
Chicago# show running-config nat
object network Inside-Web
nat (DMZ,outside) static 209.165.200.230
!
4.Kịch bản 2
Cấu hình static PAT cho Web Server sử dụng địa chỉ của cổng outside kết hợp với port 80.
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Web
host 192.168.20.10
!
Chicago# show running-config nat
object network Inside-Web
nat (DMZ,outside) static interface service tcp www www
!
5.Kịch bản 3
Cấu hình static NAT (sử dụng twice NAT) cho phép các host ở inside network (Chicago) truy nhập đến DMZ network (New York). Chú ý: 2 network này bị trùng địa chỉ, đều là 192.168.10.0/24. Chúng ta cần dùng địa chỉ thay thế, như sau: địa chỉ thay thế của DMZ network (New York) là 192.168.100.0/24; địa chỉ thay thế của inside network (Chicago) là 10.10.100.0/24. Bạn sử dụng 4 object, như sau:
Chicago-Real: chứa phần tử network là 192.168.10.0/24
Chicago-Mapped: 10.10.100.0/24
NewYork-Real: 192.168.10.0/24
NewYork-Mapped: 192.168.100.0/24
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
Click OK để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Chicago-Mapped
subnet 10.10.100.0 255.255.255.0
object network Chicago-Real
subnet 192.168.10.0 255.255.255.0
object network NewYork-Mapped
subnet 192.168.100.0 255.255.255.0
object network NewYork-Real
subnet 192.168.10.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Chicago-Real Chicago-Mapped destination static NewYork-Mapped NewYork-Real
!
6.Kịch bản 4
Cấu hình Identity NAT cho kết nối VPN site-to-site. Với cấu hình này, traffic từ inside network (Chicago) gửi đến inside network (New York) sẽ không bị dịch địa chỉ. Bạn sử dụng 2 object sau:
Inside-Real: chứa phần tử network 192.168.10.0/24
Remote-Real: 10.10.10.0/24
Click Advanced
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
Click OK để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Real
subnet 192.168.10.0 255.255.255.0
object network Remote-Real
subnet 10.10.10.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Inside-Real Inside-Real destination static Remote-Real Remote-Real
7.Kịch bản 5
Cấu hình dynamic PAT đối với Remote-Access VPN Clients. Để tăng cường bảo mật, trong cấu hình Remote-Access VPN không thực hiện tính năng split-tunnel. Tất cả kết nối từ VPN clients ra Internet đều được mã hóa và gửi qua firewall Chicago. Khi kết nối VPN, VPN clients được cấp địa chỉ thuộc network 192.168.50.0/24. Firewall Chicago không thực hiện NAT đối với traffic gửi từ VPN clients đến inside network. Tuy nhiên, traffic từ inside network gửi ra Internet vẫn được dịch địa chỉ. Bạn cần có 2 object sau:
Inside-Real: chứa phần tử 192.168.10.0/24
VPN-Real: 192.168.50.0/24
Click Advanced
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Real
subnet 192.168.10.0 255.255.255.0
object network VPN-Real
subnet 192.168.50.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Inside-Real Inside-Real destination static VPN-Real VPN-Real
!
- Note: bài viết đúng với hệ điều hành IOS ver 8.3 hoặc cao hơn
( hết phần 3)
1.Topology
Sơ đồ kết nối trên GNS3
2.Mô tả
Tại mỗi chi nhánh Chicago và New York có inside network, outside network và DMZ. Hai chi nhánh này kết nối với nhau bằng VPN site-to-site. Tại Chicago có triển khai VPN Remote access dành cho mobile users với subnet 192.168.50.0/24. Không may, DMZ network tại New York trùng lặp với inside network của Chicago.
3.Kịch bản 1
Cấu hình static NAT cho DMZ Web Server và dynamic PAT cho các host ở inside netwok sử dụng IP address của cổng outside (209.165.200.225).
3.1. Cấu hình dynamic PAT cho inside network
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Net
subnet 192.168.10.0 255.255.255.0
!
Chicago# show running-config nat
object network Inside-Net
nat (inside,outside) dynamic interface
!
3.2. Cấu hình static NAT cho Web Server
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Web
host 192.168.20.10
!
Chicago# show running-config nat
object network Inside-Web
nat (DMZ,outside) static 209.165.200.230
!
4.Kịch bản 2
Cấu hình static PAT cho Web Server sử dụng địa chỉ của cổng outside kết hợp với port 80.
- Cấu hình bằng ASDM: chọn Add “Network Object” NAT Rule
Click Advanced
Click OK 2 lần để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Web
host 192.168.20.10
!
Chicago# show running-config nat
object network Inside-Web
nat (DMZ,outside) static interface service tcp www www
!
5.Kịch bản 3
Cấu hình static NAT (sử dụng twice NAT) cho phép các host ở inside network (Chicago) truy nhập đến DMZ network (New York). Chú ý: 2 network này bị trùng địa chỉ, đều là 192.168.10.0/24. Chúng ta cần dùng địa chỉ thay thế, như sau: địa chỉ thay thế của DMZ network (New York) là 192.168.100.0/24; địa chỉ thay thế của inside network (Chicago) là 10.10.100.0/24. Bạn sử dụng 4 object, như sau:
Chicago-Real: chứa phần tử network là 192.168.10.0/24
Chicago-Mapped: 10.10.100.0/24
NewYork-Real: 192.168.10.0/24
NewYork-Mapped: 192.168.100.0/24
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
Click OK để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Chicago-Mapped
subnet 10.10.100.0 255.255.255.0
object network Chicago-Real
subnet 192.168.10.0 255.255.255.0
object network NewYork-Mapped
subnet 192.168.100.0 255.255.255.0
object network NewYork-Real
subnet 192.168.10.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Chicago-Real Chicago-Mapped destination static NewYork-Mapped NewYork-Real
!
6.Kịch bản 4
Cấu hình Identity NAT cho kết nối VPN site-to-site. Với cấu hình này, traffic từ inside network (Chicago) gửi đến inside network (New York) sẽ không bị dịch địa chỉ. Bạn sử dụng 2 object sau:
Inside-Real: chứa phần tử network 192.168.10.0/24
Remote-Real: 10.10.10.0/24
Click Advanced
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
Click OK để kết thúc.
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Real
subnet 192.168.10.0 255.255.255.0
object network Remote-Real
subnet 10.10.10.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Inside-Real Inside-Real destination static Remote-Real Remote-Real
7.Kịch bản 5
Cấu hình dynamic PAT đối với Remote-Access VPN Clients. Để tăng cường bảo mật, trong cấu hình Remote-Access VPN không thực hiện tính năng split-tunnel. Tất cả kết nối từ VPN clients ra Internet đều được mã hóa và gửi qua firewall Chicago. Khi kết nối VPN, VPN clients được cấp địa chỉ thuộc network 192.168.50.0/24. Firewall Chicago không thực hiện NAT đối với traffic gửi từ VPN clients đến inside network. Tuy nhiên, traffic từ inside network gửi ra Internet vẫn được dịch địa chỉ. Bạn cần có 2 object sau:
Inside-Real: chứa phần tử 192.168.10.0/24
VPN-Real: 192.168.50.0/24
Click Advanced
- Cấu hình bằng ASDM: chọn Add NAT Rule Before “Network Object” NAT Rule
- Cấu hình bằng CLI:
Chicago# show running-config object
object network Inside-Real
subnet 192.168.10.0 255.255.255.0
object network VPN-Real
subnet 192.168.50.0 255.255.255.0
!
Chicago# show running-config nat
nat (inside,outside) source static Inside-Real Inside-Real destination static VPN-Real VPN-Real
!
- Note: bài viết đúng với hệ điều hành IOS ver 8.3 hoặc cao hơn
( hết phần 3)
Đăng ký:
Bài đăng (Atom)