IPSec между Cisco и Watchguard

Понадобилось организовать шитфрованный канал между моим офисом и одним из партнерских офисов.
Нюанс задачи состоит в том, что на стороне банка оконечное оборудование представлено Watchguard Firebox x750.
Пришлось отказаться от идеи реализации IPSec в туннельном режиме и освоить транспортный.

Итак, связка Cisco 7200 (C7200-JK9S-M) и Firebox x750. Версия IOS 12.3(18) fc3 и Firebox Fireware v9.0
С моей стороны нужно зашифровать до них трафик из публичного пула 75.18.55.0/28 а забрать трафик от внутреннего пула 10.1.1.0/24
Внешний интерфейс моей cisco 72.123.45.5, внешний интерфейс x750 213.86.54.15

Часть 1: Конфигурирование x750 используя Firmware Policy Manager:

устанавливаем удаленный шлюз
выбираем VPN, "Branch Office Gateway" в появившемся окне нажимаем "Add"
в новом окне "Gateway Name" в закладке "General Settings"
в "Credential Method" выбираем "Use Pre-Shared Key" и вводим заранее придуманный ключ. допустим mynewkey55T5
в "Gateway Endpoints" нажимаем "Add", появится новое окно
в "Local Gateway" выбираем "By IP Address" в меню и выбираем внешний адрес x720 - 213.86.54.15

выбираем внешний интерфейс x720 к которому только что сделали привязку
в "Remote Gateway" указываем дальний интерфейс канала - нашу циску 72.123.45.5
выбираем “Static IP address” и вводим IP 72.123.45.5

указываем Gateway ID для аутентификации
выбираем “By IP Address” и снова вводим IP 72.123.45.5

нажимаем "OK" закрываем “New Gateway Endpoints Settings” возвращаемся в окно “New Gateway”
выбираем закладку “Phase1 Settings” попадаем в новое окно
в “Mode” выбираем “Main”
снимаем чекбокс “NAT Traversal”
ставим чекбокс “IKE Keep-alive”
ставим “Message interval:” на 30 секунд
ставим “Max failures:” в 5

в секции “Transform Settings” нажимаем “Add”, появляется окно “Phase1 Transform”
в “Authentication” ставим “SHA1"
в “Encryption:” ставим “DES”
в “SA Life:” ставим “8" и “Hour”
в “Key Group:” ставим “Diffie-Hellman Group1"
нажимаем "OK", закрываем окно
выбираем “SHA1-3DES” нажимаем “Up”. “SHA1-3DES” можно не трогать
нажимаем “OK” закрываем окно “New Gateway”
нажимаем “Close" закрываем окно “Gateways” и переходим в меню главное меню

выбираем “VPN”, “Branch Office Tunnels”
нажимаем “Add”, появляется окно “New Tunnel”
в “Tunnel Name:” вводим название туннеля
в “Gateway:” выбираем только что сконфигурированный туннель
в закладке “Addresses” нажимаем “Add…” открываем окно “Tunnel Route Settings”

в “Local:” вводим локальную подсеть 10.1.1.0/24
в “Remote:” вводим подсеть за Cisco 75.18.55.0/26
в “Direction:” оставляем “<===>”
в секции “NAT Settings” убираем галочку с “1:1 NAT”
нажимаем “OK” и закрываем окно “Tunnel Route Settings”
нажимаем “Add this tunnel to the BOVPN-Allow policies”

выбираем “Phase2 Settings”
в секции “Perfect Forward Security”
убираем галочку “PFS”

в секции “Security Associations (SA)”
убираем галочку “Create one SA that includes all tunnel routes.”
добавляем галочку “Create on SA that includes all ports and protocols.”

в секции “IPSec Proposals” нажимаем “Add” и открываем окно “New Phase2 Proposal”
выбираем “Create a new Phase2 proposal”

в секции “Proposal Details”
в “Name:” вводим “ESP-AES-SHA1"
в “Type:” вводим “ESP (Encapsulating Security Payload)”
в “Authentication:” вводим “SHA1"
в “Encryption:” выбираем “DES”
в “Force Key Expiration:” выбираем “Enable” “8" “Hour” “128000 Kbytes"
нажимаем “OK” закрываем окно “New Phase2 Proposal” и возвращаемся в меню “New Tunnel”

выбираем “ESP-AES-SHA1" и нажимаем “Remove”, на появившемся окне нажимаем “Yes”

нажимаем “OK”, закрываем “New Tunnel”и возвращаемся в меню “Branch Office IPSec Tunnels”
нажимаем “Close”, закрываем меню “Branch Office IPSec Tunnels” и попадаем в начальное меню

В итоге в колонке “Policy Name” должно получиться два правила с названиями “BOVPN-Allow.out” and “BOVPN-Allow.in”
выбираем “BOVPN-Allow.out” и ставим его первым в списке. Правило “BOVPN-Allow.in” нужно сделать вторым в списке

Конфигурация x750 закончена, отправляем ее в устройство.

Часть 2: Настраиваем Cisco 7200

объявляем isakmp policy:
crypto isakmp policy 4
authentication pre-share

назначаем ключ и удаленный хост для обмена:
crypto isakmp key mynewkey55T5 address 213.86.54.15

объявляем transform-set в транспортном режиме:
crypto ipsec transform-set remoteoffice esp-des esp-sha-hmac
mode transport

объявляем crypto-map:
crypto map remotemap 4 ipsec-isakmp
set peer 213.86.54.15
set security-association lifetime kilobytes 8192
set security-association lifetime seconds 360
set transform-set remoteoffice
match address securednets

добавляем аксесслист для этого crypto-map:
ip access-list extended securednets
permit ip 75.18.55.0 0.0.0.15 10.1.1.0 0.0.0.255

привязываем crypto-map к внешнему интерфейсу циски (в режиме конфигурации этого интерфейса):
crypto map bankrs

добавляем маршрутизацию сети 10.1.1.0/24 на x750:
ip route 10.1.1.0 255.255.255.0 213.86.54.15

Проверяем работу:
пробуем пинговать адреса из подсети 10.1.1.0/24, если получаем ответ - проверяем шифрование

show crypto isakmp sa должен показать наличие канала:
dst src state conn-id slot
72.123.45.5 213.86.54.15 QM_IDLE 14 0

show crypto ipsec sa покажет наличие vrf на внешнем интерфейсе и активность шифрования-дешифрования пакетов
(в полях pkts значения будут больше нуля):

interface: FastEthernet2/0
Crypto map tag: remotemap, local addr. 72.123.45.5

protected vrf:
local ident (addr/mask/prot/port): (75.18.55.0/255.255.255.240/0/0)
remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
current_peer: 213.86.54.14:500
PERMIT, flags={origin_is_acl,}

#pkts encaps: 5, #pkts encrypt: 5, #pkts digest 5
#pkts decaps: 3, #pkts decrypt: 2, #pkts verify 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

Вот собственно и всё.

Поделиться

Опубликовать в Facebook
Опубликовать в LiveJournal

IPSec между Cisco и Watchguard: Один комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>