Nedavno sam postavio pitanje na jednome forumu, kako da napravim vezu s Cisco firewallom i na drugoj strani, Linux serverom, ili čak Linux ruterom. Premda su odgovori ili lako ćeš to, imaš dosta tutoriala na Internetu, dok nisam sam počeo istraživati, nisam niti mislio koliki je to posao.
Premda i jedni i drugi koriste IpSec, posložiti sve da radi kako treba, koristeći Wizarde, GUIe i ostala pomagala je bilo nemoguće. Na kraju je tu dobri stari Command Line, bilo u debuggingu s Cisco strane, ili editiranju konekcije s Linux strane, bilo krucijalno za uspješan tunel.
1. Kreiranje CryptoMaps s strane Cisco ASAe
U postavkama Site to Site VPNa, u dijelu Crypto Maps, dodajmo prvo “pregovaranja” oko zaštite našeg VPN tunela. IKE, označava prvi dio, pregovaranje i uspostavu tunela, dok ESP označava same podatke koje se prenose, nakon ugovorene metode zaštite tunela. Obratite pozornost da nisam dodavao Peer IP adresu, jer moj Linux je na dinamičkoj adresi. Nisam označio niti Perfect Forward Secrecy, premda bi bilo sigurnije da jesam.
U naprednim postavaka sam označio NAT-T, i postavio vrijeme trajanja od 8 sati.
Zadnji dio, je defincija mreža koje štitim. Lokalna, mreža 112, udaljena mreža 120.
2. ACL, NAT i statička ruta
U Access Control Listi sam definirao prolaz između ovih mreža.
NATirao sam novu 120 mrežu na ASAi.
Napravio sam statičku rutu route outside_line 192.168.120.0 255.255.255.0 IPAdresaMojGateway
3. Kreiranje tunela s strane Linuxa
Koristeći IpFire konzolu, dodao sam ovi tunel, i dao mu osnovne postavke, lokalne i udaljenu mrežu, vanjsku IP adresu ASAe, i preshared ključ. Naravno, za samu vezu ovo nije dovoljno, te u naprednim postavkama, možemo definirati postavke pregovora i veze.
Sjećate se naše crypto mape iz prvog dijela? E ona mora 100% odgovarati naprednim postavkama.
I kada se vratite u vaše sučelje za VPN, vidjeti ćete da tunel nije ostvaren.
4. Enter “The Debug”
U logovima s strane Linuxa, vidimo da je radi nekog razloga, “prošenje” ASAe nije uspjelo, premda smo koristili identične načine dogovore oko ASAe. Zapravo, “prošnja” (IKE) je i bila uspješna, ali i promet (ESP) nije mogao ići. Odavde, radimo kroz command line, ja osobno koristim putty.
S strane ASAe, pokrenimo debug.
debug crypto isakmp 200
Pokrenimo sad opet inicijaciju tunela na Linuxu da dobijemo neku aktivnost. Zaustavimo debug.
undebug all
Hm, izgleda da je IKE se zbilja ostvario i pregovori su bili uspješni.
Međutim, radi nekog razloga druga faza nije mogla biti uspostavljena.
Idemo na naš Linux stroj i pronađimo naš ipsec.conf. On može biti, različito od distre do distre smješten u različitim folderima. Na Ipfireu je smješten na /var/Ipfire/vpn/ipsec.conf
Otvorimo ga s nekim editorom:
Da, vidimo da naše ESP postavke ne odgovaraju onima na ASAi. Problem je taj što naš Linux stroj je prilikom pregovora koristio ili jednu, ili drugu metodu, a nikako obje. Dodavanje još -sha, će uspostavi i drugu fazu tunela i sigurno povezati vaše poslovnice.