VPN mit Cisco-Devices

Zuletzt aktualisiert am 25. Dezember 2023 von Lars

Das ist eine reine Labormitschrift aus früheren Tagen. Ich hatte mal angefangen, mich in die Konfiguration von Cisco-Routern einzuarbeiten.

Basierend auf diesen Artikel hier einige Notizen zur Konfiguration eines VPN. Simuliert wird das alles unter "Packet Tracer".

Die Ausgangskonfiguration sieht so aus:

VPN mit Cisco

Konfig des Routers "Left"

hostname Left
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000
!
crypto isakmp key cisco address 10.0.0.2
!
!
!
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
!
crypto map CISCO 10 ipsec-isakmp 
 set peer 10.0.0.2
 set pfs group2
 set transform-set STRONG 
 match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.0.0.1 255.0.0.0
 duplex auto
 speed auto
 crypto map CISCO
!
interface FastEthernet0/1
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.0 
ip route 192.168.2.0 255.255.255.0 10.0.0.2 
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

Konfig des Routers "Right"

hostname Right
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000
!
crypto isakmp key cisco address 10.0.0.1
!
!
!
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
!
crypto map Cisco 10 ipsec-isakmp 
 set peer 10.0.0.1
 set pfs group2
 set transform-set STRONG 
 match address 101
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.0.0.2 255.0.0.0
 duplex auto
 speed auto
 crypto map Cisco
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.0 
ip route 192.168.0.0 255.255.255.0 10.0.0.1 
!
ip flow-export version 9
!
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

Erklärung

Zunächst einmal eine handschriftliche Notiz, die die Zusammenhänge etwas verdeutlichen soll...

VPN mit Cisco

Mit dem Abschnitt...

crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2
 lifetime 72000

...wird die isakmp Policy definiert. Internet Security Association and Key Management Protocol (ISAKMP) ist ein Protokoll zum Aufbau von sicheren Verbindungen und Austausch von kryptographischen Schlüsseln im Internet.

Die Verschlüsselung wird mit "encr 3des" auf Triple DES gesetzt. 3DES ist ein weit verbreiteter symmetrischer Verschlüsselungsalgorithmus.

Der vorher vereinbarte Schlüssel ("autentication pre-share") wird verwendet.

Schlüsselaustausch erfolgt nach Diffie-Hellman Gruppe 2 ("group 2").

Das Tunnel wird 72000 Sekunden offen gehalten ("lifetime 72000"). Beim Testen im Packet Tracer (und womöglich auch live) wird das Tunnel nicht sofort aufgebaut. Die ersten drei Pings schlagen daher erst einmal fehl.

crypto isakmp key cisco address 10.0.0.2

Für die Verschlüsselung mit der Remote-Stelle 10.0.0.2 wird das Passwort "cisco" verwendet.

crypto ipsec transform-set STRONG esp-3des esp-sha-hmac

Diese Anweisung definiert das transform-set, also die Kombination aus Sicherheits-Protokoll und Algorithmus. Ihm wird der Name "Strong" zugewiesen.

access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255

Diese Anweisung, die viel weiter unten steht, definiert die access-list. Sie gibt an, welcher Verkehr verschlüsselt wird. Die access-list erhält die Nummer 101. Die Anweisung oben erlaubt konkret den kompletten IP-Vekehr von 192.168.0.0/24 zu 192.168.2.0/24.

crypto map CISCO 10 ipsec-isakmp 
 set peer 10.0.0.2
 set pfs group2
 set transform-set STRONG 
 match address 101

Diese Anweisungen definieren die sogenannte crypto map. Sie definiert...

  • Welche access-list verwendet wird (also welcher Verkehr durch den Tunnel verschlüsselt wird)
  • Das zu verwendende transform-set (also wie "gecrypted" wird)
  • Welches die Gegenstelle ist ("set peer")
  • Wie der Schlüsselaustausch stattfindet
  • Welchen Namen die crypto map erhält (hier: "CISCO")

Ryan Linfield erklärt die Theorie dazu ganz gut in diesem englischen Video.

interface FastEthernet0/0
 ip address 10.0.0.1 255.0.0.0
 duplex auto
 speed auto
 crypto map CISCO

Dieser und der nächste Abschnitt sind reine Interface-Definitionen. Dem oben gelisteten Interface "FastEthernet0/0" wird zusätzlich die crypto map CISCO zugeordnet.

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert