Site-to-Site IPSec VPN met AES encryptie

Inleiding

Wanneer je een Cisco IOS router gaat koppelen kun je gebruik maken van een IPSec tunnel, er zijn ook nog een hoop andere tunnels beschikbaar. Maar de IPSec tunnel zul je het meeste tegenkomen. Wanneer je routeringsprotocollen wilt gaan gebruiken over een VPN kun je beter kijken naar een GRE tunnel.

Configuratie van de Router

Configuratie van Router op locatie A

Router 2801-A
R-2801-A#show run Building configuration... ! Current configuration : 1706 bytes ! Last configuration change at 00:46:32 UTC Fri Jun 08 2011 ! NVRAM config last updated at 00:45:48 UTC Fri Jun 08 2011 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-2801-A ! boot-start-marker boot-end-marker ! memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero ip cef ! ip audit po max-events 100 no ip domain lookup no ftp-server write-enable ! !--- Maak de IKE Policy aan. crypto isakmp policy 10 ! !--- Kies voor AES 256 als het !--- encryptie algoritme voor de IKE policy. encr aes 256 ! !--- Geef aan dat je gebruik maakt van !--- pre-share voor de authentication key. authentication pre-share ! !--- Specificeer de pre-shared key met het IP-Adres !--- van de andere kant . crypto isakmp key cisco123 address 10.48.66.146 ! !--- Maak een IPSec transform set aan. crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac ! !--- Maak een crypto map aan met de naam “aesmap” welke !--- IKE gebruikt om de security association te maken. crypto map aesmap 10 ipsec-isakmp ! !--- Geef het remote IPSec adres aan !--- (IP adres andere router) set peer 10.48.66.146 ! !--- Geef aan welke transform-sets !--- gebruikt mogen worden voor deze cryptomap set transform-set asset ! !--- Geef de naam de de ACL welke bepaald welke !--- subnets worden beschermd door deze IPSec match address acl_vpn ! ! ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl equipment-type CPE dsl operating-mode GSHDSL symmetric annex A dsl linerate AUTO ! interface Ethernet0 ip address 192.168.100.1 255.255.255.0 ip nat inside half-duplex ! interface FastEthernet0 ip address 10.48.66.147 255.255.254.0> ip nat outside speed auto ! !--- Pas de crypto map toe op de ‘WAN’ interface crypto map aesmap ! ip nat inside source list acl_nat interface FastEthernet0 overload ip classless ip route 0.0.0.0 0.0.0.0 10.48.66.1 ! !--- Voeg een route toe om het VPN verkeer te routeren ip route 192.168.200.0 255.255.255.0 FastEthernet0 ! no ip http server no ip http secure-server ! ip access-list extended acl_nat ! !--- Geef in je NAT list aan dat het verkeer !--- over de VPN niet ge-nat mag worden deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 permit ip 192.168.100.0 0.0.0.255 any ! !--- ACL welke aangeeft welke subnets worden beschermd !--- door de IPSec ip access-list extended acl_vpn permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 ! end R-2801-A#

Router 2801-A

R-2801-A#show run
Building configuration...
!
Current configuration : 1706 bytes
! Last configuration change at 00:46:32 UTC Fri Jun 08 2011
! NVRAM config last updated at 00:45:48 UTC Fri Jun 08 2011
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R-2801-A
!
boot-start-marker
boot-end-marker
!
memory-size iomem 15
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!--- Maak de IKE Policy aan.
crypto isakmp policy 10
!
!--- Kies voor AES 256 als het
!--- encryptie algoritme voor de IKE policy.
encr aes 256
!
!--- Geef aan dat je gebruik maakt van 
!--- pre-share voor de authentication key.
authentication pre-share
!
!--- Specificeer de pre-shared key met het IP-Adres
!--- van de andere kant .
crypto isakmp key cisco123 address 10.48.66.146
!
!--- Maak een IPSec transform set aan.
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
!
!--- Maak een crypto map aan met de naam “aesmap” welke 
!--- IKE gebruikt om de security association te maken.
crypto map aesmap 10 ipsec-isakmp 
!
!--- Geef het remote IPSec adres aan 
!--- (IP adres andere router)
set peer 10.48.66.146
!
!--- Geef aan welke transform-sets
!--- gebruikt mogen worden voor deze cryptomap
set transform-set asset
!
!--- Geef de naam de de ACL welke bepaald welke
!--- subnets worden beschermd door deze IPSec
match address acl_vpn
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex A
 dsl linerate AUTO
!
interface Ethernet0
 ip address 192.168.100.1 255.255.255.0
 ip nat inside
 half-duplex
!
interface FastEthernet0
 ip address 10.48.66.147 255.255.254.0>
 ip nat outside
 speed auto
!
!--- Pas de crypto map toe op de ‘WAN’ interface
 crypto map aesmap
!
ip nat inside source list acl_nat interface FastEthernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.48.66.1
!
!--- Voeg een route toe om het VPN verkeer te routeren
ip route 192.168.200.0 255.255.255.0 FastEthernet0
!
no ip http server
no ip http secure-server
!
ip access-list extended acl_nat
!
!--- Geef in je NAT list aan dat het verkeer
!--- over de VPN niet ge-nat mag worden
deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
permit ip 192.168.100.0 0.0.0.255 any
!
!--- ACL welke aangeeft welke subnets worden beschermd
!--- door de IPSec
ip access-list extended acl_vpn
 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
end 
R-2801-A#

De router aan de andere kant heeft dezelfde configuratie nodig alleen moeten de IP-Adressen aangepast worden (precies andersom)

Controleer de VPN verbinding

Er zijn diverse 'show' commando's beschikbaar om te controleren of de VPN verbinding goed tot stand is gekomen. Enkele hiervan zijn:

show crypto isakmp sa—Geeft de status van de Internet Security Association end ISAKMP sa.

Router 2801-A
R-2801-A#show crypto isakmp sa dst src state conn-id slot 10.48.66.147 10.48.66.146 QM_IDLE 1 0

show crypto ipsec sa—Geeft statistieken weer van de actieve tunnels.

Router 2801-A
R-2801-A#show crypto ipsec sa interface: FastEthernet0 Crypto map tag: aesmap, local addr. 10.48.66.147 protected vrf: local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0) current_peer: 10.48.66.146:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 30, #pkts encrypt: 30, #pkts digest 30 #pkts decaps: 30, #pkts decrypt: 30, #pkts verify 30 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.48.66.147, remote crypto endpt.: 10.48.66.146 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 2EB0BA1A inbound esp sas: spi: 0xFECA28BC(4274661564) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: aesmap sa timing: remaining key lifetime (k/sec): (4554237/2895) IV size: 16 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x2EB0BA1A(783333914) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: aesmap sa timing: remaining key lifetime (k/sec): (4554237/2894) IV size: 16 bytes replay detection support: Y outbound ah sas: outbound pcp sas: R-2801-A#

Router 2801-A

R-2801-A#show crypto ipsec sa

interface: FastEthernet0
    Crypto map tag: aesmap, local addr. 10.48.66.147

   protected vrf: 
   local  ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
   current_peer: 10.48.66.146:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 30, #pkts encrypt: 30, #pkts digest 30
    #pkts decaps: 30, #pkts decrypt: 30, #pkts verify 30
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.48.66.147, remote crypto endpt.: 10.48.66.146
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 2EB0BA1A

     inbound esp sas:
      spi: 0xFECA28BC(4274661564)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2000, flow_id: 1, crypto map: aesmap
        sa timing: remaining key lifetime (k/sec): (4554237/2895)
        IV size: 16 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x2EB0BA1A(783333914)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2001, flow_id: 2, crypto map: aesmap
        sa timing: remaining key lifetime (k/sec): (4554237/2894)
        IV size: 16 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:
R-2801-A#

show crypto engine connections active—Geeft het aantal encrypts/decrypts weer van de SA.

Router 2801-A
R-2801-A#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 1 FastEthernet0 10.48.66.147 set HMAC_SHA+AES_256_C 0 0 2000 FastEthernet0 10.48.66.147 set HMAC_SHA+AES_256_C 0 30 2001 FastEthernet0 10.48.66.147 set HMAC_SHA+AES_256_C 30 0

Router 2801-A

R-2801-A#show crypto engine connections active 

  ID Interface       IP-Address      State  Algorithm           Encrypt  Decrypt
   1 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C        0        0
2000 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C        0       30
2001 FastEthernet0   10.48.66.147    set    HMAC_SHA+AES_256_C       30        0

Debugging van de VPN verbinding

Wanneer er problemen zijn met het tot stand brengen van de verbinding is het verstandig om enkele debug commando's te activeren.

debug crypto ipsec—Laat alle ipsec events zien.

debug crypto isakmp—Laat alle IKE events zien.

debug crypto engine—Laat informatie zien over de Crypto engine

Verbreken van de verbinding

Soms kan het zo zijn dat je de verding wilt verbreken, dit doe je in de CLI met het commando: clear crypto ...

  call      Clear crypto call admission info
  ctcp      cTCP connections
  datapath  Clear crypto data path counters
  dh        Clear stored DH values
  engine    Clear crypto engine
  gdoi      Clear crypto gdoi
  ipsec     IPSec
  isakmp    Flush the ISAKMP database
  mtree     Clear Mtree Manager Command Stats
  pki       pki subsystem
  sa        Clear all crypto SAs
  session   clear crypto sessions (tunnels)

Hier kies je meestal voor session, ipsec, isakmp