Zuletzt aktualisiert am 17. Mai 2021 von Lars
Das ist eine reine Labormitschrift aus früheren Tagen. Ich hatte mal angefangen, mich in die Konfiguration von Cisco-Routern einzuarbeiten.
Basierend auf diesen Artikel hier einige Notizen zur Konfiguration eines VPN. Simuliert wird das alles unter "Packet Tracer".
Die Ausgangskonfiguration sieht so aus:
Konfig des Routers "Left"
hostname Left ! ! ! ! ! ! ! ! ip cef no ipv6 cef ! ! ! ! crypto isakmp policy 5 encr 3des authentication pre-share group 2 lifetime 72000 ! crypto isakmp key cisco address 10.0.0.2 ! ! ! crypto ipsec transform-set STRONG esp-3des esp-sha-hmac ! crypto map CISCO 10 ipsec-isakmp set peer 10.0.0.2 set pfs group2 set transform-set STRONG match address 101 ! ! ! ! ! ! spanning-tree mode pvst ! ! ! ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 duplex auto speed auto crypto map CISCO ! interface FastEthernet0/1 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.0 ip route 192.168.2.0 255.255.255.0 10.0.0.2 ! ip flow-export version 9 ! ! access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 ! ! ! ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! ! end
Konfig des Routers "Right"
hostname Right ! ! ! ! ! ! ! ! ip cef no ipv6 cef ! ! ! ! crypto isakmp policy 5 encr 3des authentication pre-share group 2 lifetime 72000 ! crypto isakmp key cisco address 10.0.0.1 ! ! ! crypto ipsec transform-set STRONG esp-3des esp-sha-hmac ! crypto map Cisco 10 ipsec-isakmp set peer 10.0.0.1 set pfs group2 set transform-set STRONG match address 101 ! ! ! ! ! ! spanning-tree mode pvst ! ! ! ! ! ! interface FastEthernet0/0 ip address 10.0.0.2 255.0.0.0 duplex auto speed auto crypto map Cisco ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.0 ip route 192.168.0.0 255.255.255.0 10.0.0.1 ! ip flow-export version 9 ! ! access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 ! ! ! ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! ! end
Erklärung
Zunächst einmal eine handschriftliche Notiz, die die Zusammenhänge etwas verdeutlichen soll...
Mit dem Abschnitt...
crypto isakmp policy 5 encr 3des authentication pre-share group 2 lifetime 72000
...wird die isakmp Policy definiert. Internet Security Association and Key Management Protocol (ISAKMP) ist ein Protokoll zum Aufbau von sicheren Verbindungen und Austausch von kryptographischen Schlüsseln im Internet.
Die Verschlüsselung wird mit "encr 3des" auf Triple DES gesetzt. 3DES ist ein weit verbreiteter symmetrischer Verschlüsselungsalgorithmus.
Der vorher vereinbarte Schlüssel ("autentication pre-share") wird verwendet.
Schlüsselaustausch erfolgt nach Diffie-Hellman Gruppe 2 ("group 2").
Das Tunnel wird 72000 Sekunden offen gehalten ("lifetime 72000"). Beim Testen im Packet Tracer (und womöglich auch live) wird das Tunnel nicht sofort aufgebaut. Die ersten drei Pings schlagen daher erst einmal fehl.
crypto isakmp key cisco address 10.0.0.2
Für die Verschlüsselung mit der Remote-Stelle 10.0.0.2 wird das Passwort "cisco" verwendet.
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
Diese Anweisung definiert das transform-set, also die Kombination aus Sicherheits-Protokoll und Algorithmus. Ihm wird der Name "Strong" zugewiesen.
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
Diese Anweisung, die viel weiter unten steht, definiert die access-list. Sie gibt an, welcher Verkehr verschlüsselt wird. Die access-list erhält die Nummer 101. Die Anweisung oben erlaubt konkret den kompletten IP-Vekehr von 192.168.0.0/24 zu 192.168.2.0/24.
crypto map CISCO 10 ipsec-isakmp set peer 10.0.0.2 set pfs group2 set transform-set STRONG match address 101
Diese Anweisungen definieren die sogenannte crypto map. Sie definiert...
- Welche access-list verwendet wird (also welcher Verkehr durch den Tunnel verschlüsselt wird)
- Das zu verwendende transform-set (also wie "gecrypted" wird)
- Welches die Gegenstelle ist ("set peer")
- Wie der Schlüsselaustausch stattfindet
- Welchen Namen die crypto map erhält (hier: "CISCO")
Ryan Linfield erklärt die Theorie dazu ganz gut in diesem englischen Video.
interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 duplex auto speed auto crypto map CISCO
Dieser und der nächste Abschnitt sind reine Interface-Definitionen. Dem oben gelisteten Interface "FastEthernet0/0" wird zusätzlich die crypto map CISCO zugeordnet.
Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!