Nedavno sam postavio pitanje na jednome forumu, kako da napravim vezu s Cisco firewallom i na drugoj strani, Linux serverom, ili čak Linux ruterom. Premda su odgovori ili lako ćeš to, imaš dosta tutoriala na Internetu, dok nisam sam počeo istraživati, nisam niti mislio koliki je to posao.

Premda i jedni i drugi koriste IpSec, posložiti sve da radi kako treba, koristeći Wizarde, GUIe i ostala pomagala je bilo nemoguće. Na kraju je tu dobri stari Command Line, bilo u debuggingu s Cisco strane, ili editiranju konekcije s Linux strane, bilo krucijalno za uspješan tunel.

1.  Kreiranje CryptoMaps s strane Cisco ASAe

U postavkama Site to Site VPNa, u dijelu Crypto Maps, dodajmo prvo “pregovaranja” oko zaštite našeg VPN tunela. IKE, označava prvi dio, pregovaranje i uspostavu tunela, dok ESP označava same podatke koje se prenose, nakon ugovorene metode zaštite tunela. Obratite pozornost da nisam dodavao Peer IP adresu, jer moj Linux je na dinamičkoj adresi. Nisam označio niti Perfect Forward Secrecy, premda bi bilo sigurnije da jesam.

cisco crypto

U naprednim postavaka sam označio NAT-T, i postavio vrijeme trajanja od 8 sati.

cisco crypto adv

Zadnji dio, je defincija mreža koje štitim. Lokalna, mreža 112, udaljena mreža 120.

cisco crypto net

2. ACL, NAT i statička ruta

U Access Control Listi sam definirao prolaz između ovih mreža.

acl

NATirao sam novu 120 mrežu na ASAi.

NAT VPN

Napravio sam statičku rutu route outside_line 192.168.120.0 255.255.255.0 IPAdresaMojGateway

3. Kreiranje tunela s strane Linuxa

Koristeći IpFire konzolu, dodao sam ovi tunel, i dao mu osnovne postavke, lokalne i udaljenu mrežu, vanjsku IP adresu ASAe, i preshared ključ. Naravno, za samu vezu ovo nije dovoljno, te u naprednim postavkama, možemo definirati postavke pregovora i veze.

linux side

Sjećate se naše crypto mape iz prvog dijela? E ona mora 100% odgovarati naprednim postavkama.

linux ipsec adv

I kada se vratite u vaše sučelje za VPN, vidjeti ćete da tunel nije ostvaren.

4. Enter “The Debug”

U logovima s strane Linuxa, vidimo da je radi nekog razloga, “prošenje” ASAe nije uspjelo, premda smo koristili identične načine dogovore oko ASAe. Zapravo, “prošnja” (IKE) je i bila uspješna, ali i promet (ESP) nije mogao ići. Odavde, radimo kroz command line, ja osobno koristim putty.

S strane ASAe, pokrenimo debug.

debug crypto isakmp 200

 

Pokrenimo sad opet inicijaciju tunela na Linuxu da dobijemo neku aktivnost. Zaustavimo debug.

undebug all

Hm, izgleda da je IKE se zbilja ostvario i pregovori su bili uspješni.

ipsec1

Međutim, radi nekog razloga druga faza nije mogla biti uspostavljena.

ipsec2

Idemo na naš Linux stroj i pronađimo naš ipsec.conf. On može biti, različito od distre do distre smješten u različitim folderima. Na Ipfireu je smješten na /var/Ipfire/vpn/ipsec.conf

Otvorimo ga s nekim editorom:

ipsec conf

Da, vidimo da naše ESP postavke ne odgovaraju onima na ASAi. Problem je taj što naš Linux stroj je prilikom pregovora koristio ili jednu, ili drugu metodu, a nikako obje. Dodavanje još -sha, će uspostavi i drugu fazu tunela i sigurno povezati vaše poslovnice.

ipsec conf edited

ipsec ipfire cisco asa