天亮了说晚安's Blog

本文转自：https://www.cisco.com/c/en/us/support/docs/security-vpn/webvpn-ssl-vpn/119417-config-asa-00.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureNetwork DiagramBackground InformationConfigurationVerifyTroubleshootProcedures Used to TroubleshootCommands Used to TroubleshootCommon ProblemsUser Cannot Log InUnable to Connect More Than Three WebVPN Users to the  ASAWebVPN Clients Cannot Hit Bookmarks and is Grayed OutCitrix Connection Through WebVPNHow to Avoid the Need for a Second Authentication for the UsersRelated Information Introduction This document provides a straightforward configuration for the Cisco Adaptive Security Appliance (ASA) 5500 Series in order to allow Clientless Secure Sockets Layer (SSL) VPN access to internal network resources. Clientless SSL Virtual Private Network (WebVPN) allows for limited, but valuable, secure access to the corporate network from any location. Users can achieve secure brow......Read More

本文转自：http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=991966&extra=page%3D2 *******************************************1、清空所有密钥对及PKI TRUSTPOINT(config)#crypto key zeroize rsa(config)#no crypto pki trustpoint XXX*******************************************2、外部链接在花生壳官网申请顶级域名，包含txt记录，同时对顶级域名打开DDNS服务设备配置:!ip ddns update method orayHTTP  add http://xxx:xxx@ddns.oray.com/ph/update?hostname=www.kagamigawa.tech&&myip=interval maximum 0 0 1 0interval minimum 0 0 1 0!interface GigabitEthernet1description WANno ip addresspppoe enable group globalcdp enablepppoe-client dial-pool-number 1!interface Dialer1description WANip ddns update hostname www.kagamigawa.techip ddns update oray host ddns.oray.comip address negotiatedip nat outsideencapsulation pppip tcp adjust-mss 1452dialer pool 1ppp pap sent-username xxx password 7 xxxppp ipcp dns requestppp ipcp route default!测试下连通性：C:\Users\Lenovo>......Read More

本文转自：http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=990787&extra=page%3D10 需求：1.Inside访问国外路由优先走HK路由器（假定61.128.0.0/8为国内路由，其他都为国外路由）2.Inside访问国内路由优先走ADSL路由器3.DXoutside接口对外提供L2L和anyconnect VPN，允许访问Inside 备注：测试用的ASAv9.91,如果用ASAv9.71相同的路由配置，SSL VPN和L2L VPN会无法连通。二.基本配置1.ASAv防火墙hostname ASAvinterface GigabitEthernet0/0    nameif HKoutside    security-level 0    ip address 202.100.1.10 255.255.255.0    no shutdowninterface GigabitEthernet0/1    nameif DXoutside    security-level 0    ip address 202.100.2.10 255.255.255.0    no shutdowninterface GigabitEthernet0/2    nameif ADSLoutside    security-level 0    ip address 202.100.3.10 255.255.255.0    no shutdowninterface GigabitEthernet0/3    nameif Inside    security-level 100  ......Read More

原文作者: Mansur 原文链接: http://nbma.info/asa-vpn-policy-proc/ ASA收到VPN请求，由tunnel-group来识别VPN类型(L2L or 远程拨号 or SSLVPN)，然后使用tunnel-group中的认证方法（LOCAL or Radius）进行认证，认证通过后经过以下5个关联属性叠加，得到用户的最终的策略 1.用户属性2.用户属性中关联的group-policy3.tunnel-group中关联的group-policy4.系统默认的group-policy:DfltGrpPolicy5.tunnel-group的属性 这5个策略优先级从高到低，存在重复项时，优先使用最先匹配到的策略。 tunnel-group tunnel-group用于终结VPN连接。一个VPN请求到达VPN，ASA找到一个与之关联的tunnel-group，tunnel-group为每一个成员定义了VPN连接的脚本。 – L2L VPN 当一个L2L VPN抵达ASA，ASA通过这次请求源IP（对端加密点）来查询本地的tunnel-group,如果有一个有一个tunnel-group的名字等于该IP，那么就使用tunnel-group内的pre-shared-key对这次VPN进行认证。 12tunnel-group 61.128.1.1 type ipsec-l2lpre-shared-key IPSECKEY – EZVPN EZVPN的第一阶段认证group的名字必须能和tunnel-group名字一致 12345678tunnel-group ......Read More

原文作者: Mansur 原文链接: http://nbma.info/ezvpn-base/ 协商过程 第1阶段 AM模式，不预选协商DH Group强度，所以必须强制指定group2三个包，因为省略了第一阶段前四个包。第1个包client先发自己支持的策略，组名和预共享密钥第2个包server使用PSK认证client第3个包完成协商 1.5阶段 XAUTH：认证用户（用户名密码/AAA）MODE-CFG：推送策略 第2阶段 快速模式，三个包 配置 第1阶段 1234567crypto isakmp policy 20encr 3desauthentication pre-sharegroup 2crypto isakmp client configuration group GROUPkey NBMAKEY 1.5阶段 123456789101112#配置xauthaaa new-modelaaa authentication login EZ-XAUTH localaaa authorization network EZ-MODE-CFG localusername cisco password 0 cisco#配置策略ip local pool POOL 11.11.11.10 11.11.11.110crypto isakmp client configuration group EZ-GROUPpool POOL 启用aaa之后建议在设备上开启线下保障策略，确保任何时候都可以使用console口 123456aaa newaaa authentication login noacs line noneline con 0login authen noacsline aux 0login authen noacs 第......Read More

原文作者: Mansur 原文链接: http://nbma.info/getvpn/ Group Encrypted Transport VPN，思科私有技术用于内网（全局可路由）加密的VPN，不是互联网VPN（peer无法直接路由）目前的场景是用于加密MPLS VPN，因为MPLS本身只是加标签，并没有加密 封装格式 copy原始IP头部，然后内部用ESP加密IP数据报文，不影响QoS 123+———-—+———-+————–+| 原始IP头部 | esp头部 | 加密原始IP报文 |+———–+——–+————–+ 原理 组成员Group Member向密钥服务器Key Server注册，KS上配置策略，产生一个ipsec sa，向同一组的GM推送sa和感兴趣流。组内成员可以实现any-to-any通讯，支持单播和组播 KS：验证组成员，管理安全策略，产生组密钥，分发策略和密钥，并不能加解密数据GM：加密设备，组播参与者，在安全和不安全区域执行路由。GETVPN最好有组播环境，这样KS只向一个组播地址分发即可。GDOI: Group Domain of Interpretation 公有协议，用于KS和GM之间通讯，和其他厂商兼容，UDP848 KSCP: Cooperative Protocol 协......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-pptp-l2tp/ 写的有点乱 动态map和静态map 使用场景：hub固定IP，另一端没有固定IP。适用于思科和其他厂商对接。两端都是思科可以使用EZVPNpeer端直接普通的静态map配置hub端使用动态map 123crypto dynamic-map DY-MAP 10set transform-set TRANScrypto map STATIC-MAP 10000 ipsec-isakmp dynamic DY-MAP ikev2的SVTI 待补充 NAT穿越问题 ike 1-2包同时判断对方是否支持NAT-T3-4包发送NAT-D 第三个包hash自己的源目IP将值发送给B，然后对端收到后用收到的源目IP进行hash，如果不一致则后续5-6等包全都启用udp4500封装。 远程拨号VPN 1，vpdn：pptp, l2tp over ipsec2，EzVPN3，SSL VPN pptp 协商过程：TCP 1723PPP封装内层，外层是GRE，本身并不加密IPSEC只能用来加密IP流量，而PPTP还支持非IP,如IPX等在ASA上需要inspect pptp解决穿越问题 l2tp over ipsec L2TP:UDP1701PPP封装内层，外层是UDP，本身并不加密配合ipsec之后在PPP之外加上esp，对esp内部加密 平常不需要使用以下技术，直接使用GRE over IPSec或者SVTI直接跑动态即可 RRI反向路由注入 多个......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-ikev2-config/ IOS配置 1234567891011121314151617181920212223242526272829303132333435363738crypto ikev2 proposal IKE_PROPencryption 3des aes-cbc-256integrity sha256 sha512group 2 5 14prf sha256 sha(对随机数加密之后得到新的‘随机值’)crypto ikev2 policy IKE_PROLproposal IKE_PROPcrypto ikev2 keyring IKE_KEYpeer PEER_Baddress 23.1.1.3pre-shared-key IPSECKEYcrypto ikev2 profile IKE_PROFmatch identity remote address 23.1.1.3 255.255.255.255identity local address 12.1.1.1authentication local pre-shareauthentication remote pre-sharekeyring local IKE_KEYcrypto ipsec transform-set TRANS1 esp-des esp-md5-hmacmode tunnelcrypto ipsec transform-set TRANS2 esp-3des esp-sha256-hmacmode tunnelip access-list extended VPNpermit ip 14.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255crypto map IKE_MAP 10 ipsec-isakmpset peer 23.1.1.3set transform-set TRANS1 TRANS2set ikev2-profile IKE_PROFmatch address VPNinterface e0/0crypto map IKE_MAP ASA配置 1......Read More

原文作者: Mansur 原文链接: http://nbma.info/ipsec-theory/ ipsec vpn，刚学完的时候以为自己掌握的还挺好的，各种排错无压力。去年到电信面试，连基本过程都说不清楚了，就记得是非对称加密协商对称加密的算法和密钥。说了一句跟HTTPS原理差不多……欸。趁着周末闲了赶紧再补补。 重新梳理了以前掌握的不清楚的几个概念，新学习了ikev2的原理和原理，放一起对比下常说的ipsec第一阶段协商的6个包或者总共9个包指的是ikev1的主模式。ikev1（即isakmp）第一阶段： isakmp sa主动模式：使用预共享密钥的远程拨号VPN（即思科私有的EZVPN），第一阶段只有3个包主模式：第一阶段6个包第二阶段： ipsec sa快速模式：3个包 ikev1的ipsec协商总共9个包，在没有nat穿越的情况下，这9个包的源目端口都是UDP 500，使用isakmp封装。9个包之后加密ESP封装。 ikev2第一阶段：ike_sa_init（2个包）第二阶段：ike_auth（2个包） 同样，这4个包的源目端口都是UDP 500，使用isakmp封装。4个包之后加密ESP封装。 SA和SPI：安全关联，分为ike sa和ipsec sa，包含封装方式，验证算法，加密算法，预共享密钥等IKE sa:双向的，一致，默认有效期一天IPSec sa:单向的，......Read More