CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội


Hướng dẫn cấu hình VPN Site-to-Site trên Firewall Cisco ASA (VPN on a stick)

Hướng dẫn cấu hình VPN Site-to-Site trên Firewall Cisco ASA (VPN on a stick)

Ta có 2 site: Site1 (IP LAN: 191.168.1.0/24) và Site2 (IP LAN: 192.168.2.0/24) kết nối với Internet thông qua tường lửa Firewall Cisco ASA và cần cấu hình VPN Site-to-Site.

Kịch bản mạng cụ thể như sau:

Các yêu cầu của thiết lập mạng là:

  • 2 Site được kết nối với IPSEC VPN Site-to-Site qua Internet. Cả 2 Site đều sử dụng tường lửa Cisco ASA (phiên bản 9.x hoặc 8.4).
  • Site1 là địa điểm trụ sở chính và Site2 là địa điểm chi nhánh ở xa.
  • Các mạng LAN trên mỗi Site giao tiếp với nhau qua đường hầm IPSEC VPN.
  • Các máy trong Site1 (mạng 192.168.1.0/24) có thể truy cập Internet thông qua kết nối Internet cục bộ thông qua ASA1.
  • Các máy trong Site2 (mạng 192.168.2.0/24) chỉ có thể truy cập Internet qua Site1 thông qua đường hầm VPN. Mặc dù có kết nối Internet cục bộ trên Site2, các máy không được phép truy cập Internet trực tiếp. Chúng phải đến Site1 (ASA1 ) qua đường hầm VPN và sau đó dùng tường lửa ASA1 để truy cập Internet.
  • Tình huống có lưu lượng truy cập VPN đi vào và thoát ra cùng một giao diện ASA được gọi là "VPN on a stick"

Các tình huống như trên rất hữu ích trong các trường hợp bạn muốn kiểm soát tập trung tất cả các truy cập Internet (đối với các máy trong Site chính và cả các máy trong các Site chi nhánh từ xa). Bạn có thể thực hiện lọc nội dung, bộ nhớ đệm, bảo vệ chống vi-rút, v.v. trên Site chính trung tâm và tất cả các Site khác sử dụng các tài nguyên tập trung này.

Một số điểm chính cần lưu ý để thực hiện là:

  • Vì các máy Site2 (địa chỉ IP Private) không được phép truy cập Internet cục bộ, bạn không được cấu hình NAT trên ASA2 để dịch các địa chỉ IP Private sang IP Public. Điều này sẽ ngăn các máy truy cập Internet.
  • Trên ASA1, bạn sẽ có lưu lượng truy cập từ Site2 vào và thoát ra cùng một giao diện (giao diện outside của tường lửa). Để thực hiện điều này, bạn phải bật lưu lượng “intra-interface” trên ASA1, để lưu lượng truy cập có thể vào và thoát ra cùng một giao diện đồng thời. Có thể thực hiện việc này bằng cách sử dụng lệnh “same-security-traffic allow intra-interface”.
  • Trên ASA1, bạn phải thực hiện PAT trên lưu lượng truy cập đến từ Site2 để nó có thể truy cập internet thông qua giao diện bên ngoài ASA1.
  • ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA2 và cho phép 192.168.2.0 đối với “any IP”. Điều này là bắt buộc để các máy Site2 có thể truy cập Internet thông qua đường hầm VPN.
  • ACL được sử dụng cho Lưu lượng truy cập của VPN trên ASA1 phải cho phép “any IP” hướng tới 192.168.2.0. Điều này là bắt buộc để lưu lượng truy cập trở lại từ các máy trên Internet có thể qua đường hầm VPN tới Site2.

Bây giờ chúng ta hãy xem cấu hình trên cả ASA0 và ASA1.

Cấu hình Firewall ASA0


      interface GigabitEthernet0
      nameif outside
      security-level 0
      ip address 20.20.20.1 255.255.255.0
      !
      interface GigabitEthernet1
      nameif inside
      security-level 100
      ip address 192.168.1.1 255.255.255.0

!Cho phép lưu lượng truy cập nội bộ (để vào và thoát cùng một giao diện)

same-security-traffic permit intra-interface

!Cấu hình các đối tượng mạng theo yêu cầu bắt buộc

object network obj-local
subnet 192.168.1.0 255.255.255.0
object network obj-remote
subnet 192.168.2.0 255.255.255.0
object network internal-lan
subnet 192.168.1.0 255.255.255.0


! ACL cho VPN Lưu lượng truy cập, cho phép bất kỳ IP nào hướng tới Site2

access-list VPN-ACL extended permit ip any 192.168.2.0 255.255.255.0

! Miễn NAT cho lưu lượng VPN giữa Site1 - Site2

nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote

! Cấu hình PAT cho mạng LAN cục bộ để truy cập Internet bằng giao diện bên ngoài ASA1

object network internal-lan
nat (inside,outside) dynamic interface


! Cấu hình PAT cho LAN Site2 từ xa để truy cập Internet qua giao diện bên ngoài ASA1

object network obj-remote
nat (outside,outside) dynamic interface


! Cấu hình VPN IPSEC Site-to-Site

crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
crypto map VPNMAP 10 match address VPN-ACL
crypto map VPNMAP 10 set peer 30.30.30.1
crypto map VPNMAP 10 set ikev1 transform-set TRSET
crypto map VPNMAP interface outside
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
tunnel-group 30.30.30.1 type ipsec-l2l
tunnel-group 30.30.30.1 ipsec-attributes
ikev1 pre-shared-key cisco123


Cấu hình Firewall ASA1

interface GigabitEthernet0
nameif outside
security-level 0
ip address 30.30.30.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0


! Cấu hình các đối tượng mạng bắt buộc

object network obj-local
subnet 192.168.2.0 255.255.255.0
object network obj-remote
subnet 192.168.1.0 255.255.255.0


! ACL cho Lưu lượng truy cập VPN, cho phép Site2 hướng tới bất kỳ IP nào.

access-list VPN-ACL extended permit ip 192.168.2.0 255.255.255.0 any

! Miễn NAT cho lưu lượng VPN giữa Site2 - Site1

nat (inside,outside) source static obj-local obj-local destination static obj-remote obj-remote

! Cấu hình VPN IPSEC Site-to-Site

crypto ipsec ikev1 transform-set TRSET esp-aes esp-md5-hmac
crypto map VPNMAP 10 match address VPN-ACL
crypto map VPNMAP 10 set peer 20.20.20.1
crypto map VPNMAP 10 set ikev1 transform-set TRSET
crypto map VPNMAP interface outside
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
tunnel-group 20.20.20.1 type ipsec-l2l
tunnel-group 20.20.20.1 ipsec-attributes
ikev1 pre-shared-key cisco123


Đến đây cấu hình VPN Site-to-Site (VPN on a stick) trên 2 Site sử dụng Firewall Cisco ASA đã hoàn tất.

Chúc các bạn thực hiện thành công!

Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

 Email: info@datech.vn

• Website: https://datech.vn