Налаштування VPN ASA 8.2 і 8.3 Site to Site VPN з VPN відділення Watchguard Branch Частина 1 з 2 - Як

Налаштування VPN ASA 8.2 і 8.3 Site to Site VPN з VPN відділення Watchguard Branch Частина 1 з 2

Ця частина буде охоплювати налаштування двох ASA з використанням версій 8.2 і 8.3. Частина 2 додасть Watchguard Firebox, який буде доданий до сайту ASA 2 Site VPN як філія VPN BOVPN.
Всі налаштування для ASA будуть виконані за допомогою CLI, оскільки Watchguard використовуватиме графічний інтерфейс, оскільки поточна версія не підтримує CLI.

Топологія буде ASA A ASA B для Частини 1. Ми будемо використовувати DIA Metro E для одного з ASA і DSL з Static IP, використовуючи PPPOE для другої ASA.

Ця установка охоплює лише частину налаштування, пов'язану з відсутністю конфігурації VPN Site 2 Site.

Загалом 3 кроки

Крок 1

: Збережено
:
Ім'я хоста ASA_Branch
ASA Версія 8.2 (3)
!
інтерфейс Ethernet0 / 0
accessport доступ до vlan 2. t
!
інтерфейс Vlan1
nameif всередині
рівень безпеки 100
ip адреса 192.168.1.1 255.255.255.0
!
інтерфейс Vlan2
nameif зовні
рівень безпеки 0
pppoe клієнт vpdn групи BellSouth
ip-адреса pppoe setroute
!

access-list acl_vpn_asa2asa розширений дозвіл ip host 192.168.1.240 хост 10.1.1.15
!
nat (внутрішній) 0 access-list acl_vpn_asa2asa
!
крипто-ipsec перетворення-набір set_asa2asa esp-aes-256 esp-sha-hmac
crypto ipsec безпека асоціації життя секунд 28800
crypto ipsec безпека асоціації термін служби кілобайт 4608000
криптографічна карта map2firebox 10 збіг адреси acl_vpn_asa2asa
криптографічна карта map2firebox 10 набір pfs group5
криптографічна карта map2firebox 10 встановити одноранговий 72.14.253.226
криптографічна карта map2firebox 10 встановити набір перетворення set_asa2asa
криптографічна карта map2firebox інтерфейс зовні
адреса ідентифікації крипто-isakmp
crypto isakmp включити зовні
політика криптографічного isakmp 100
попереднього обміну автентифікацією
шифрування 3des
hash sha
група 2
термін служби 28800
!
Група vpdn BellSouth вимагає виклику pppoe
vpdn group BellSouth місцеве ім'я [email protected]
vpdn групи BellSouth ppp аутентифікація пап
vpdn ім'я користувача [email protected] пароль магазин MatosTech-local
dhcpd auto_config зовні
!
тунельна група 72.14.253.226 типу ipsec-l2l
тунельна група 72.14.253.226 ipsec-атрибути
попередньо спільний ключ THIS_MUST_BE_THE_SAME_ON_EACH_ASA
!
: кінець

Крок 2: Налаштування HQ

: Збережено
:
Ім'я хоста ASA_HQ
Версія 8.3 (2) ASA
інтерфейс Vlan1
nameif всередині
рівень безпеки 100
IP-адреса 10.1.1.1 255.255.255.0
!
інтерфейс Vlan2
nameif зовні
рівень безпеки 0
IP-адреса 72.14.253.226 255.255.255.240
!
інтерфейс Ethernet0 / 0
accessport доступ до vlan 2. t

Об'єкт мережі впн-локальний
хост 10.1.1.15
об'єкт мережевого впн-віддаленого
хост 192.168.1.240

access-list acl_vpn_asa2asa розширений дозвіл ip host 10.1.1.15 хост 192.168.1.240

nat (внутрішній, будь-який) джерело статичного vpn-local vpn-локального призначення статичний vpn-remote vpn-remote
!

крипто-ipsec перетворення-набір set_asa2asa esp-aes-256 esp-sha-hmac
crypto ipsec безпека асоціації життя секунд 28800
crypto ipsec безпека асоціації термін служби кілобайт 4608000
crypto map map_asa2asa 10 збіг адреси acl_vpn_asa2asa
crypto map map_asa2asa 10 набір pfs group5
криптографічна карта map_asa2asa 10 set peer 207.46.197.32
crypto map map_asa2asa 10 встановити набір перетворень set_asa2asa
крипто-карта map_asa2asa інтерфейс зовні
адреса ідентифікації крипто-isakmp
crypto isakmp включити зовні
політика криптографічного isakmp 100
попереднього обміну автентифікацією
шифрування 3des
hash sha
група 2
термін служби 86400

тунельна група 207.46.197.32 типу ipsec-l2l
тунельна група 207.46.197.32 ipsec-атрибути
попередньо спільний ключ THIS_MUST_BE_THE_SAME_ON_EACH_ASA
!
: кінець

Крок 3: Топологія