مشكلة مع ASA 5500 في عمب site-to-site vpn

السلام عليكم ورحمة الله وبركاته

عندي جهازين واحد 5510 والتاني 5505 والمطلوب ربط موقعين ببعض عن طريق site-to-site vpn بس بعد ما عملت الكونفيجريشن ال led بتاعة ال VPN منورتش وساعات بتعمل Flashing وساعات لأ الحقيقة مش عارف ايه المشكلة

الأخطاء اللي ممكن اكون وقعت فيها ممكن تكون ايه ؟؟
وجزاكم الله خيرا

اكتب الكونفجريشن اذا سمحت ختى نعرف ماذا فعلت

وعليكم السلام,

ممكن نشوف configuration عشان نقدر نساعدك؟

في نقطة ثانية, vpn tunnel عمره ما حيكون UP إذا ما في interesting traffic بيمر بين الموقعين

طبعا إنت تحدد interesting traffic عن طريق crypto acl

خلي بالك من security associations وأنه ما بيصير Expiration ليها

أخر نقطة , في كل موقع - لازم يكون فيه route للموقع التاني - لازم يكون فيه Route ل interesting traffic

السلام عليكم ورحمة الله وبركاته
شكرا على اهتمامكم
الحمد لله المشكلة اتحلت بمساعدة أحد الأصدقاء بس لسه في حاجات مش واضحه بالنسبة لي أنا هكتل ابConfiguration وياريت حد يعلقلي عليها ]بتاعة الsite الأول
hostname Main-Site
enable password M9kFm8nwzdRLJxXs encrypted
passwd M9kFm8nwzdRLJxXs encrypted
names
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address 196.219.220.50 255.255.255.240
!
interface Ethernet0/1
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 70
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/3
<--- More --->

shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list Inbound extended permit tcp any host 196.219.220.53 eq www
access-list Inbound extended permit tcp any host 196.219.220.53 eq https
access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389
access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list Outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
pager lines 24
mtu Outside 1500
mtu Inside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
access-group Inbound in interface Outside
route Outside 0.0.0.0 0.0.0.0 196.219.220.49 1

http server enable
http 10.10.10.0 255.255.255.0 DMZ
http 192.168.1.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map0 1 match address Outside_1_cryptomap
crypto map Outside_map0 1 set peer 196.202.88.122
crypto map Outside_map0 1 set transform-set ESP-3DES-MD5
crypto map Outside_map0 1 set security-association lifetime seconds 28800
crypto map Outside_map0 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map0 interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.1.0 255.255.255.0 Inside
telnet 192.168.2.0 255.255.255.0 Inside
telnet 10.10.10.0 255.255.255.0 DMZ
telnet timeout 5
ssh timeout 5
console timeout 0
management-access Inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 196.202.88.122 type ipsec-l2l
tunnel-group 196.202.88.122 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
<--- More --->

policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:77e63b10631e6f541a3658117eb1024e
: end

Main-Site# sh ver

Main-Site# sh version

Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.1(3)

Compiled on Thu 07-Aug-08 20:53 by builders
System image file is "disk0:/asa804-k8.bin"
Config file at boot was "startup-config"

Main-Site up 3 hours 50 mins

Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB

site 2
hostname SSBCASA
enable password M9kFm8nwzdRLJxXs encrypted
passwd M9kFm8nwzdRLJxXs encrypted
names
!
interface Vlan1
nameif Inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif Outside
security-level 0
ip address 196.202.88.122 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389
access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu Inside 1500
mtu Outside 1500
<--- More --->

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (Outside) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.2.0 255.255.255.0
static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255
access-group Inbound in interface Outside
route Outside 0.0.0.0 0.0.0.0 196.202.88.123 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.2.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5
crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.2.0 255.255.255.0 Inside
telnet timeout 5
ssh timeout 5
console timeout 0
<--- More --->


threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 196.219.220.50 type ipsec-l2l
tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a99be2cddfdd378fc5c6f4ec711a1a0f
: end

SSBCASA(config)# sh ver

SSBCASA(config)# sh version

Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.2(1)

Compiled on Thu 07-Aug-08 20:53 by builders
System image file is "disk0:/asa804-k8.bin"
Config file at boot was "startup-config"

SSBCASA up 38 mins 30 secs

Hardware: ASA5505, 256 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode :
CNlite-MC-IPSECm-MAIN-2.05
0: Int: Internal-Data0/0 : address is 0022.90b5.1d4c, irq 11
1: Ext: Ethernet0/0 : address is 0022.90b5.1d44, irq 255
2: Ext: Ethernet0/1 : address is 0022.90b5.1d45, irq 255
3: Ext: Ethernet0/2 : address is 0022.90b5.1d46, irq 255
4: Ext: Ethernet0/3 : address is 0022.90b5.1d47, irq 255
5: Ext: Ethernet0/4 : address is 0022.90b5.1d48, irq 255
6: Ext: Ethernet0/5 : address is 0022.90b5.1d49, irq 255
<--- More --->

7: Ext: Ethernet0/6 : address is 0022.90b5.1d4a, irq 255
8: Ext: Ethernet0/7 : address is 0022.90b5.1d4b, irq 255
9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
10: Int: Not used : irq 255
11: Int: Not used : irq 255

Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 20, DMZ Unrestricted
Inside Hosts : Unlimited
Failover : Active/Standby
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 25
WebVPN Peers : 2
Dual ISPs : Enabled
VLAN Trunk Ports : 8
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2

This platform has an ASA 5505 Security Plus license.

<--- More --->

Serial Number: JMX1237Z1X8
Running Activation Key: 0x8431d55e 0xec9a0e69 0xa893e548 0xa324f47c 0x483716ad
Configuration register is 0x1
Configuration last modified by enable_15 at 15:32:21.419 UTC Thu May 28 2009

SSBCASA(config)# sh fla

SSBCASA(config)# sh flash:
--#-- --length-- -----date/time------ path
100 14137344 May 28 2009 14:55:48 asa804-k8.bin
101 11348300 May 28 2009 14:56:28 asdm-621.bin
62 4096 May 28 2009 14:57:30 log
66 4096 May 28 2009 14:57:47 crypto_archive

127111168 bytes total (101302272 bytes free)

SSBCASA(config)#

SSBCASA(config)#

SSBCASA(config)#

SSBCASA(config)# wr mem
Building configuration...
Cryptochecksum: a99be2cd dfdd378f c5c6f4ec 711a1a0f

3631 bytes copied in 1.160 secs (3631 bytes/sec)
[OK]

SSBCASA(config)#

SSBCASA(config)#

SSBCASA(config)# sh cry

SSBCASA(config)# sh crypto isa

SSBCASA(config)# sh crypto isakmp sa

SSBCASA(config)# sh crypto isakmp sa

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 196.219.220.50
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE

SSBCASA(config)#

SSBCASA(config)#

SSBCASA(config)# sh cry

SSBCASA(config)# sh crypto ips

SSBCASA(config)# sh crypto ipsec sa

SSBCASA(config)# sh crypto ipsec sa
interface: Outside
Crypto map tag: Outside_map, seq num: 1, local addr: 196.202.88.122

access-list Outside_1_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer: 196.219.220.50

#pkts encaps: 682, #pkts encrypt: 682, #pkts digest: 682
#pkts decaps: 768, #pkts decrypt: 768, #pkts verify: 768
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 682, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 196.202.88.122, remote crypto endpt.: 196.219.220.50

path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 4BDDC5CF

inbound esp sas:
spi: 0xE07F8762 (3766454114)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
<--- More --->

slot: 0, conn_id: 512000, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (3914957/27827)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x4BDDC5CF (1272825295)
transform: esp-3des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 512000, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (3914964/27827)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389

access-group Inbound in interface Outside

static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255

الأوامر دول بيسمحوا لأي شخص من outside أنه يعمل access للسيرفر 192.168.2.30على TCP 3389

فيه NAT والأشخاص الموجودين في outside بيشوفوا السيرفر على أنه 196.202.88.125 و ASA بيحول IP Address من196.202.88.125إلى192.168.2.30وبالعكس (ثنائي الإتجاه)
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

crypto map Outside_map 1 match address Outside_1_cryptomap

أي ترافيك بين 192.168.1.0و 192.168.2.0 حيكون encrypted و ASA لما يشوف ترافيك بين 2 subnets حيقوم بإعداد وتهيئة VPN tunnel مع الطرف الثاني
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

global (Outside) 1 interface

nat (Inside) 1 192.168.2.0 255.255.255.0

الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122

كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN

يعني الشرط الموجود في

access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

مش حيتحقق و VPN ما حيشتغل

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

الحل هو nat exemption

access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (Inside) 0 access-list Inside_nat0_outbound

هنا بنقول ل ASA أنه فقط أي ترافيك من 192.168.2.0 ل 192.168.1.0 ما حيكون Pat وحيطلع بدون أي تغيير من ASA

------------------


هذا بالنسبة ل site 2 ونفس الفكرة ل site 1

اقتباس:

---

المشاركة الأصلية كتبت بواسطة minimax

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

global (Outside) 1 interface

nat (Inside) 1 192.168.2.0 255.255.255.0

الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122

كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN

يعني الشرط الموجود في

access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

مش حيتحقق و VPN ما حيشتغل

---

جزاكم الله خيرا أخي الحبيب بس ال VPN شغال فعلا
وعندي سؤال كمان لو في ترافك جاي من 192.168.1.0 رايح ل 192.168.2.0 هيبقى باين ايه أقصد هياخد IP من أي Range ?

اهلين أخي فؤاد

الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل

access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (Inside) 0 access-list Inside_nat0_outbound

ولكنهم موجودين في site 2, عشان كدا vpn شغال

ونفس القصة مع site 1

access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound

الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0

اقتباس:

---

المشاركة الأصلية كتبت بواسطة minimax

اهلين أخي فؤاد

الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل

access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (Inside) 0 access-list Inside_nat0_outbound

ولكنهم موجودين في site 2, عشان كدا vpn شغال

ونفس القصة مع site 1

access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound

الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0

---

بارك الله فيك أخي الحبيب بس لو ممكن تشرح الجملتين دول بشيء من التفصيل
وجزاك الله كل خير

طيب , خلينا نفترض أنه في ترافيك رايح من site 2 إلى site 1

من 192.168.2.55 إلى 192.168.1.44

لو الأمرين دول مش موجودين

access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

nat (Inside) 0 access-list Inside_nat0_outbound

pat حيشتغل وحيغير source ip address

يعني بدل
192.168.2.55 --> 192.168.1.44

حتكون
196.202.88.122 --> 192.168.1.44

vpn مش حيشتغل لأنه ASA كان متوقع ip address في subnet 192.168.2.0
والترافيك حيحصلوه drop لأنه private ip address 192.168.1.44


لو الأمرين دول كانوا موجودين , vpn حيشتغل لأنه مش حيحصل تغيير ل source ip address
وحتكون 192.168.2.55 --> 192.168.1.44

بارك الله فيك أخي الحبيب وزادك الله من علمه بس بالنسبة للجمل دي
global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
access-group Inbound in interface Outside
الي هي في ال Site الأول ممكن تشرحهالي اذا سمحت وجزاك الله كل خير

static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255

إنت عندك سيرفر في DMZ و IP تبعه هو 10.10.10.2 , أي مستخدم إنترنت مش حيقدر يوصل للسيرفر على IP 10.10.10.2 لأنه private ip address عشان كدا لازم نعمل static nat ونغير ip address ل 192.219.220.53

كدا إنت ممكن توصل للسيرفر عن طريق الإنترنت من خلال 192.219.220.53 و ASA حيغير ip ل 10.10.10.2

static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255

نفس القصة, عندك سيرفرين , واحد في DMZ وواحد في inside و حتوصلهم من الإنترنت عن طريق public ip address
10.10.10.3 حيتغير ل 196.219.220.52 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر
192.168.1.2 حيتغير ل 196.219.220.51 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر

global (Outside) 1 interface
global (DMZ) 1 interface
nat (Inside) 1 192.168.1.0 255.255.255.0

هنا أي ترافيك طالع منinside ورايح ل outside أو DMZ حيتغير source ip address ل ip الموجود على interface يعني حتصل عملية PAT

مثلا لو واحد رايح للإنترنت و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 196.219.220.50

و واحد رايح ل DMZ و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 10.10.10.1

يعني لو رايح للسيرفر 10.10.10.2

192.168.1.88 --> 10.10.10.2

حيتغير ل 10.10.10.1 --> 10.10.10.2

لو في أكتر من مستخدم حيروحوا ل 10.10.10.2 , كلهم ips تبعتهم كلها حتتغير ل 10.10.10.1 ولكن حيختلف source port

access-list Inbound extended permit tcp any host 196.219.220.53 eq www
access-list Inbound extended permit tcp any host 196.219.220.53 eq https
access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389

دي access list بتسمح للأنترنت users أنهم يوصلوا للسرفرات في DMZ و inside

access-group Inbound in interface Outside

هنا بنربط access-list على outside interface في inbound direction عن طريق كلمة in

in معناها inbound
inbound هو إسم access-list

nat (Inside) 0 access-list Inside_nat0_outbound

تم شرحها سابقا

كساك ربي حرير الجنان أخي الحبي لا أعلم ماذا أقول بارك الله فيك بالنسبة بقى للجمل دي ؟؟crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000crypto map Outside_map 1 match address Outside_1_cryptomapcrypto map Outside_map 1 set peer 196.219.220.50 crypto map Outside_map 1 set transform-set ESP-3DES-MD5crypto map Outside_map 1 set security-association lifetime seconds 28800crypto map Outside_map 1 set security-association lifetime kilobytes 4608000crypto map Outside_map interface Outsidecrypto isakmp enable Outsidecrypto isakmp policy 10مهمتها ايه ؟؟؟ وهل لازم يكون في تطابق بينها وبين نفس الجمل اللي ع السايت التاني ؟؟

بسم الله الرحمن الرحيم

الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
الفكرة والمفهوم واحد بس الأوامر تختلف قليلا

لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set

VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN

------------------------------------------------------------------------------------------------------------------------
نبدأ بإعدادت ISAKMP

crypto isakmp enable Outside

هذا الأمر يقوم بتفعيل isakmp على outside interface

crypto isakmp policy 10

هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها

ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر

ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)

طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به

authentication pre-share
encryption 3des
hash md5
group 2

دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف

- authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
- نوع encryption وهل هو DES أو AES H أو 3DES
- نوع Hashing وهل هو MD5 أو SHA
- نوع DH group وهل هي 2 أو 5 أو 7 أو 1

tunnel-group 196.219.220.50 type ipsec-l2l

هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50

tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key test123

ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها

------------------------------------------------------------------------------------------------------------------------

أعدادات IPSEC

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
هنا إستخدمنا 3des و MD5

crypto map Outside_map 1 set transform-set ESP-3DES-MD5

هنا بنربط transform set مع crypto map إللي إسمها Outside_map

access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap

هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map

crypto map Outside_map 1 set peer 196.219.220.50

هنا بنحدد ip تبع الموقع الآخر

crypto map Outside_map interface Outside

هنا بنربط cyrpto map على outside interface

--------------------------------------------------------------------

crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5

مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
هنا إستخدمنا رقم 1 ل crypto map
---------------------------------------------------------------

هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA

يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
وممكن تحدده عن طريق الوقتseconds 28800

هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو

crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

خاصة ب crypto map معينة

crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000

بالتوفيق يا أخي الكريم

اقتباس:

---

المشاركة الأصلية كتبت بواسطة minimax

بسم الله الرحمن الرحيم

الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
الفكرة والمفهوم واحد بس الأوامر تختلف قليلا

لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set

VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN

------------------------------------------------------------------------------------------------------------------------
نبدأ بإعدادت ISAKMP

crypto isakmp enable Outside

هذا الأمر يقوم بتفعيل isakmp على outside interface

crypto isakmp policy 10

هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها

ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر

ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)

طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به

authentication pre-share
encryption 3des
hash md5
group 2

دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف

- authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
- نوع encryption وهل هو DES أو AES H أو 3DES
- نوع Hashing وهل هو MD5 أو SHA
- نوع DH group وهل هي 2 أو 5 أو 7 أو 1

tunnel-group 196.219.220.50 type ipsec-l2l

هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50

tunnel-group 196.219.220.50 ipsec-attributes
pre-shared-key test123

ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها

------------------------------------------------------------------------------------------------------------------------

أعدادات IPSEC

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
هنا إستخدمنا 3des و MD5

crypto map Outside_map 1 set transform-set ESP-3DES-MD5

هنا بنربط transform set مع crypto map إللي إسمها Outside_map

access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map Outside_map 1 match address Outside_1_cryptomap

هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map

crypto map Outside_map 1 set peer 196.219.220.50

هنا بنحدد ip تبع الموقع الآخر

crypto map Outside_map interface Outside

هنا بنربط cyrpto map على outside interface

--------------------------------------------------------------------

crypto map Outside_map 1 match address Outside_1_cryptomap
crypto map Outside_map 1 set peer 196.219.220.50
crypto map Outside_map 1 set transform-set ESP-3DES-MD5

مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
هنا إستخدمنا رقم 1 ل crypto map
---------------------------------------------------------------

هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA

يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
وممكن تحدده عن طريق الوقتseconds 28800

هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو

crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

خاصة ب crypto map معينة

crypto map Outside_map 1 set security-association lifetime seconds 28800
crypto map Outside_map 1 set security-association lifetime kilobytes 4608000

بالتوفيق يا أخي الكريم

---

أخي الكريم
جزاك الله كل خير وزادك من علمه وبارك لك فيه