martedì 6 settembre 2011

L'angolo della soluzione: VPN Cisco Watchguard

Visto che a lavoro mi capita spesso di scrivere documenti per l'azienda che spiegano passo passo (piu' o meno) come ho risolto un problema, ho pensato di iniziare a condividere queste soluzioni con voi nel caso in cui qualcuno ne avesse bisogno.
A volte, specialmente per quel che riguarda Cisco o altri apparati di rete, e' possibile che esistano modi piu' "puliti" per creare questa o quell'altra configurazione ma non ho il tempo, a lavoro, di fare il pignolo. Se una soluzione funziona e non crea problemi di nessun tipo per me e' quella giusta. Se qualcuno di voi ha modo di migliorare quello che pubblichero' non si faccia il minimo problema. :)
Ah, ovviamente chiunque voglia collaborare inviandomi una sua soluzione e' il benvenuto. :)

NOTA STRAMALEDETTAMENTE MOLTO BENE: Le soluzioni che pubblichero' hanno funzionato quando le ho applicate ma non mi assumo assolutamente NESSUNA responsabilita' nel caso in cui una di queste soluzioni vi incasinasse tutta l'azienda anziche' risolvere il problema. Siete stati avvisati e, nel caso ci fosse qualcosa di poco chiaro, siete pregati di rileggere questa nota finche' non vi si fissa nel cranio come si deve (e qua mi rivolgo piu' che altro agli utOnti). :)


Creare una VPN fra un Cisco ASA 5510 e un Watchguard con sottorete di destinazione gia' impegnata

Visto che, lato Watchguard, la creazione di una VPN e' una cavolata (interfaccia grafica, clicca qua clicca la'), inserisco unicamente la configurazione del Cisco ASA 5510.

Ponendo che:
  • 192.168.0.0 sia l'indirizzo reale della LAN lato Cisco;
  • 192.168.1.0 sia l’indirizzo che dobbiamo nattare lato Cisco;
  • 192.168.2.0 sia l’indirizzo nattato dall’altra parte della VPN (lato Watchguard);
  • 1.2.3.4 sia l’indirizzo esterno a cui collegarsi (il peer remoto).
La configurazione che io ho impostato e' questa:

access-list ACCESSLIST_NAME permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list ANOTHER_ACL_NAME permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0

static (inside,outside) 192.168.1.0 access-list ANOTHER_ACL_NAME

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
Nota: I primi tre comandi di crypto map seguenti generano un warning ciascuno dicendo che la crypto map e' incompleta. Se succede ignorateli pure, e' perfettamente normale.
crypto map CRYPTO_MAP_NAME 120 ipsec-isakmp
crypto map CRYPTO_MAP_NAME 120 match address ACCESSLIST_NAME
crypto map CRYPTO_MAP_NAME 120 set peer 1.2.3.4
crypto map CRYPTO_MAP_NAME 120 set transform-set ESP-3DES-SHA
crypto map CRYPTO_MAP_NAME 120 set phase1-mode main
crypto map CRYPTO_MAP_NAME interface Outside

isakmp enable Outside
isakmp key VPN_KEY address 1.2.3.4 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption aes-256
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

7 commenti:

  1. Mi sembra abbastanza chiara come spiegazione.

    C'è solo una cosa: nell'access-list non dovresti usare l'inverso del subnet mask?

    access-list ACCESSLIST_NAME permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    access-list ANOTHER_ACL_NAME permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255

    RispondiElimina
  2. @Daniele C.: Nelle access-list dell'ASA si usa la forma classica 255.255.255.0 mentre nei PIX, negli 827 e mi sembra anche nella serie 1800 (altri modelli non mi sembra di averne provati) si usa la forma 0.0.0.255.

    RispondiElimina
  3. ma questo post non fa ridere, o non ho capito le battute :)

    RispondiElimina
  4. @Anonimo: No, sicuramente sei tu che non hai capito le battute. :P

    RispondiElimina
  5. Questo commento è stato eliminato dall'autore.

    RispondiElimina
  6. Ciao,

    ma con una vpn ipsec ASA-Client è possibilere limitare l'accesso solo ad alcuni ip pubblici?

    tnx

    RispondiElimina
    Risposte
    1. Ciao,

      giusto per capirci: l'utente attiva la VPN e tutto il traffico Internet anziche' passare dalla sua normale linea viene convogliato attraverso la VPN. Da qua, vuoi permettere l'accesso solamente ad alcuni indirizzi pubblici.
      Se questo e' corretto, il filtraggio dei pacchetti lo fai dal firewall al punto di arrivo della VPN, del tipo:
      utente -> VPN -> sede azienda -> Firewall -> Internet
      Se non e' questo lo schema, bisogna che mi spieghi meglio la situazione (puoi anche scrivermi a bitmover _AT_ gmail _DOT_ com).

      Elimina