PIX/ASA (Version 7.x und höher) IPsec VPN-Tunnel mit Konfigurationsbeispiel für die Network Address Translation

Einleitung

Diese Beispielkonfiguration zeigt einen IPsec-VPN-Tunnel durch eine Firewall, die die Network Address Translation (NAT) durchführt. Diese Konfiguration funktioniert nicht mit Port Address Translation (PAT), wenn Sie Cisco IOS® Software-Versionen vor und ohne 12.2(13)T verwenden. Diese Art der Konfiguration kann zum Tunneln von IP-Datenverkehr verwendet werden. Diese Konfiguration kann nicht zur Verschlüsselung von Datenverkehr verwendet werden, der nicht durch eine Firewall geleitet wird, z. B. IPX oder Routing-Updates. Generic Routing Encapsulation (GRE) Tunneling ist die geeignetere Wahl. In diesem Beispiel sind die Cisco 2621- und 3660-Router die IPsec-Tunnelendpunkte, die zwei privaten Netzwerken mit Abgleichmodulen oder Zugriffskontrolllisten (ACLs) im PIX dazwischen zugeordnet sind, um den IPsec-Datenverkehr zuzulassen.

Hinweis: NAT ist eine Eins-zu-Eins-Adressumwandlung, nicht zu verwechseln mit PAT, einer Viele-zu-Eins-Übersetzung (innerhalb der Firewall). Weitere Informationen zu NAT-Betrieb und -Konfiguration finden Sie unter Verifying NAT Operation and Basic NAT Troubleshooting oder How NAT Works.

Hinweis: IPsec mit PAT funktioniert möglicherweise nicht ordnungsgemäß, da das Endgerät des Außentunnels nicht mehrere Tunnel von einer IP-Adresse aus verarbeiten kann. Wenden Sie sich an Ihren Anbieter, um festzustellen, ob die Tunnel-Endgeräte mit PAT kompatibel sind. Darüber hinaus kann in Version 12.2(13)T der Cisco IOS-Software die NAT-Transparenzfunktion für PAT verwendet werden. Weitere Informationen finden Sie unter IPSec NAT Transparency. Weitere Informationen zu diesen Funktionen in Version 12.2(13)T und höher der Cisco IOS Software finden Sie unter Support for IPSec ESP Through NAT.

Hinweis: Bevor Sie ein Ticket beim technischen Support von Cisco öffnen, beachten Sie die häufig gestellten Fragen von NAT, die viele Antworten auf häufig gestellte Fragen enthalten.

Weitere Informationen zur Konfiguration eines IPSec-Tunnels über eine Firewall mit NAT finden Sie unter Konfigurieren eines IPSec-Tunnels über eine Firewall mit NAT unter PIX 6.x und früher.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco IOS Software Version 12.0.7.T (bis einschließlich Cisco IOS Software Version 12.2(13)T)

  Aktuelle Versionen finden Sie unter IPSec NAT Transparency.

• Cisco 2621-Router

• Cisco 3660-Router

• Cisco Security Appliance der Serie PIX 500 mit Version 7.x und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Verwandte Produkte

Dieses Dokument kann auch mit der Cisco Adaptive Security Appliance (ASA) der Serie 5500 mit Softwareversion 7.x oder höher verwendet werden.

Konfigurieren

In diesem Abschnitt finden Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten, verwenden Sie das Command Lookup Tool (nur registrierte Kunden).

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

• Konfiguration des Cisco 2621

• Konfiguration des Cisco 3660

• Konfiguration der PIX Security Appliance und der Zugriffsliste

  • Erweiterte Konfiguration des Security Device Manager (ASDM)

  • Konfiguration der Befehlszeilenschnittstelle (CLI)

• PIX Security Appliance und MPF-Konfiguration (Modular Policy Framework)

Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- The IKE policy.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 

!--- IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.2
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.
 
 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.

 
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 

!--- The IKE policy.

 
 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 

!--- The IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.12
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 
 
 
  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
 
!--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network.

 
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 

!--- Except the private network from the NAT process.

 
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 

 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 

!--- Except the private network from the NAT process.

 
 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Konfiguration der PIX Security Appliance und der Zugriffsliste

ASDM 5.0-Konfiguration

Führen Sie diese Schritte aus, um die PIX-Firewall Version 7.0 mithilfe von ASDM zu konfigurieren.

1. Konsole in den PIX. Verwenden Sie nach einer gelöschten Konfiguration die interaktiven Aufforderungen, um die Advanced Security Device Manager-GUI (ASDM) für die Verwaltung des PIX von der Workstation 10.1.1.3 zu aktivieren.

   PIX-Firewall ASDM-Bootstrap

   Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: pix-firewall Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs

2. Öffnen Sie in Workstation 10.1.1.3 einen Webbrowser, und verwenden Sie ADSM (in diesem Beispiel https://10.1.1.1).

3. Wählen Sie an den Zertifikatseingabeaufforderungen Yes (Ja) aus, und melden Sie sich mit dem Kennwort enable an, das in der PIX-Firewall-ASDM-Bootstrap-Konfiguration konfiguriert wurde.

4. Wenn ASDM zum ersten Mal auf dem PC ausgeführt wird, werden Sie gefragt, ob ASDM Launcher oder ASDM als Java-App verwendet werden soll.

   In diesem Beispiel ist der ASDM Launcher ausgewählt, und diese Aufforderungen werden installiert.

5. Rufen Sie das ASDM-Hauptfenster auf, und wählen Sie die Registerkarte Konfiguration aus.

   

6. Markieren Sie die Ethernet 0-Schnittstelle, und klicken Sie auf Edit, um die externe Schnittstelle zu konfigurieren.

   

7. Klicken Sie an der Eingabeaufforderung der Bearbeitungsschnittstelle auf OK.

   

8. Geben Sie die Schnittstellendetails ein, und klicken Sie anschließend auf OK.

   

9. Klicken Sie an der Eingabeaufforderung Changing an Interface auf OK.

   

10. Klicken Sie auf Apply, um die Schnittstellenkonfiguration zu akzeptieren. Die Konfiguration wird ebenfalls auf den PIX übertragen. In diesem Beispiel werden statische Routen verwendet.

    

11. Klicken Sie auf der Registerkarte Features auf Routing, markieren Sie Static Route (Statische Route), und klicken Sie auf Hinzufügen.

    

12. Konfigurieren Sie das Standard-Gateway, und klicken Sie auf OK.

    

13. Klicken Sie auf Hinzufügen, und fügen Sie die Routen den internen Netzwerken hinzu.

    

14. Bestätigen Sie, dass die richtigen Routen konfiguriert wurden, und klicken Sie auf Apply.

    

15. In diesem Beispiel wird NAT verwendet. Deaktivieren Sie das Kontrollkästchen Datenverkehr durch die Firewall ohne Adressumwandlung aktivieren, und klicken Sie auf Hinzufügen, um die NAT-Regel zu konfigurieren.

    

16. Konfigurieren Sie das Quellnetzwerk (in diesem Beispiel verwenden Sie any). Klicken Sie anschließend auf Manage Pools (Pools verwalten), um die PAT zu definieren.

    

17. Wählen Sie die externe Schnittstelle aus, und klicken Sie auf Hinzufügen.

    

    In diesem Beispiel wird eine PAT verwendet, die die IP-Adresse der Schnittstelle verwendet.

    

18. Klicken Sie nach der Konfiguration der PAT auf OK.

    

19. Klicken Sie auf Hinzufügen, um die statische Übersetzung zu konfigurieren.

    

20. Wählen Sie inside im Dropdown-Menü Interface (Schnittstelle) aus, geben Sie die IP-Adresse 10.1.1.2 und die Subnetzmaske 255.255.255 ein, wählen Sie Statisch und geben Sie im Feld IP-Adresse die externe Adresse 99.99.99.12 ein. Klicken Sie abschließend auf OK.

    

21. Klicken Sie auf Apply, um die Schnittstellenkonfiguration zu akzeptieren. Die Konfiguration wird ebenfalls auf den PIX übertragen.

    

22. Wählen Sie auf der Registerkarte Features die Option Sicherheitsrichtlinie aus, um die Sicherheitsrichtlinienregel zu konfigurieren.

    

23. Klicken Sie auf Hinzufügen, um ESP-Datenverkehr zuzulassen, und klicken Sie auf OK, um fortzufahren.

    

24. Klicken Sie auf Hinzufügen, um ISAKMP-Datenverkehr zuzulassen, und klicken Sie auf OK, um fortzufahren.

    

25. Klicken Sie auf Add, um UDP-Port 4500-Datenverkehr für NAT-T zuzulassen, und klicken Sie auf OK, um fortzufahren.

    

26. Klicken Sie auf Apply, um die Schnittstellenkonfiguration zu akzeptieren. Die Konfiguration wird ebenfalls auf den PIX übertragen.

    

27. Die Konfiguration ist jetzt abgeschlossen.

    Wählen Sie File > Show Running Configuration in New Window (Datei > Laufende Konfiguration in neuem Fenster anzeigen), um die CLI-Konfiguration anzuzeigen.

    

PIX-Firewall-Konfiguration

pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in 
            extended permit esp host 99.99.99.2 host 99.99.99.12 

access-list outside_access_in 
            remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in 
            extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 


access-list outside_access_in 
            remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in 
                    extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

PIX Security Appliance und MPF-Konfiguration (Modular Policy Framework)

Verwenden Sie anstelle der Zugriffsliste den Befehl inspect ipsec-pass-thru in MPF (Modular Policy Framework), um den IPsec-Datenverkehr über die PIX/ASA Security Appliances weiterzuleiten.

Diese Überprüfung ist so konfiguriert, dass sie die Pinholes für den ESP-Datenverkehr öffnet. Alle ESP-Datenflüsse sind zulässig, wenn ein Forward-Fluss vorhanden ist, und es gibt keine Begrenzung für die maximal zulässige Anzahl von Verbindungen. AH ist nicht zulässig. Der Timeout für Leerlaufzeiten bei ESP-Datenflüssen ist standardmäßig auf 10 Minuten festgelegt. Diese Überprüfung kann an allen Standorten angewendet werden, an denen andere Überprüfungen durchgeführt werden können. Dazu gehören Klassen- und Übereinstimmungsbefehlsmodi. Die IPSec-Passthrough-Anwendungsinspektion ermöglicht das bequeme Durchlaufen des mit einer IKE-UDP-Port 500-Verbindung verknüpften ESP-Datenverkehrs (IP-Protokoll 50). Sie vermeidet langwierige Konfigurationen von Zugriffslisten, um ESP-Datenverkehr zuzulassen, und bietet außerdem Sicherheit mit Timeout und maximaler Verbindungsanzahl. Verwenden Sie die Befehle class-map, policy-map und service-policy, um eine Datenverkehrsklasse zu definieren, den Befehl inspect auf die Klasse anzuwenden und die Richtlinie auf eine oder mehrere Schnittstellen anzuwenden. Wenn diese Funktion aktiviert ist, lässt der Befehl inspect IPSec-pass-thru unbegrenzten ESP-Datenverkehr mit einer Zeitüberschreitung von 10 Minuten zu, was nicht konfigurierbar ist. NAT- und Nicht-NAT-Datenverkehr ist zulässig.

hostname(config)#access-list test-udp-acl extended permit udp any any eq 500
hostname(config)#class-map test-udp-class
hostname(config-cmap)#match access-list test-udp-acl
hostname(config)#policy-map test-udp-policy
hostname(config-pmap)#class test-udp-class
hostname(config-pmap-c)#inspect ipsec-pass-thru
hostname(config)#service-policy test-udp-policy interface outside

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.

• show crypto ipsec sa: Zeigt die Sicherheitszuordnungen für Phase 2 an.

• show crypto isakmp sa: Zeigt die Sicherheitszuordnungen für Phase 1 an.

• show crypto engine connections active: Zeigt die verschlüsselten und entschlüsselten Pakete an.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Problembehebungsbefehle für Router IPsec

Hinweis: Lesen Sie den Artikel Wichtige Informationen zu Debug-Befehlen, bevor Sie Debug-Befehle verwenden.

• debug crypto engine: Zeigt den verschlüsselten Datenverkehr an.

• debug crypto ipsec: Zeigt die IPsec-Aushandlungen von Phase 2 an.

• debug crypto isakmp: Zeigt die ISAKMP-Aushandlungen (Internet Security Association and Key Management Protocol) von Phase 1 an.

Löschen von Sicherheitszuordnungen

• clear crypto isakmp: Löscht die IKE-Sicherheitszuordnungen (Internet Key Exchange).

• clear crypto ipsec sa: Löscht IPsec-Sicherheitszuordnungen.

Fehlerbehebung: Befehle für PIX

Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.

Hinweis: Lesen Sie den Artikel Wichtige Informationen zu Debug-Befehlen, bevor Sie Debug-Befehle verwenden.

• logging buffer debugging: Zeigt Verbindungen an, die für Hosts, die das PIX durchlaufen, hergestellt und verweigert werden. Die Informationen werden im PIX-Protokollpuffer gespeichert, und die Ausgabe kann mit dem Befehl show log angezeigt werden.

• ASDM kann zum Aktivieren der Protokollierung und zum Anzeigen der Protokolle verwendet werden, wie in diesen Schritten gezeigt.

1. Wählen Sie Configuration > Properties > Logging > Logging Setup > Enable Logging aus, und klicken Sie dann auf Apply.

   

2. Wählen Sie Monitoring > Logging > Log Buffer > On Logging Level > Logging Buffer aus, und klicken Sie dann auf View.

   

   Dies ist ein Beispiel für den Log-Puffer.

   

Zugehörige Informationen

• Support-Seite für IPsec-Aushandlung/IKE-Protokolle
• PIX-Support-Seite
• PIX-Befehlsreferenzen
• NAT-Support-Seite
• Requests for Comments (RFCs)
• Technischer Support und Dokumentation für Cisco Systeme