Site2Site VPN z wykorzystaniem IKEv2 cz.2

W odniesieniu do postu o konfiguracji ikev2 po stronie Cisco ASA, przyszedł czas na konfigurację routera.
W tym przypadku konfiguracja pod IOS zawiera kilka nowych elementów, ale cześć z nich nadal jest taka sama.

Konfiguracja IKEv2 Policy

W pierwszej kolejności tworzymy tzw „proposal” w którym określamy wszytkie parametry fazy 1szej:

crypto ikev2 proposal IK2.PROP
 encryption 3des aes-cbc-256
 integrity md5 sha256
 group 2 14

Następnie tworzymy crypto policy w której określamy nasz proposal:

crypto ikev2 policy IK2.POL
 proposal IK2.PROP

Aby skonfigurować pre-shared-key tworzymy tzw keyring.
Tak jak na ASA, definiujemy zdalną i lokalną wartośc PSK:

crypto ikev2 keyring KR1
 peer ASALAB
 address 200.1.1.2
 pre-shared-key local CISCO
 pre-shared-key remote OCSIC

Na koniec tworzymy profil w którym zbieramy wszystko w całość:

crypto ikev2 profile IK2.PROF
 match identity remote address 200.1.1.2 255.255.255.255
 identity local address 200.1.1.1
 authentication remote pre-share
 authentication local pre-share
 keyring local KR1

Konfiguracja IPSEC

Tutaj konfiguracja pozostaje taka sama jak do tej pory, czyli np:

crypto ipsec transform-set TS.VPN2 esp-aes 256 esp-md5-hmac

Definicja crypto-map’y

Pamiętać należy o ACL-ce łapiącej ruch kierowany do tunelu:

ip access-list extended ACL.VPNIKE2
 permit ip host 10.10.10.2 host 10.20.20.1

No i sama crypto-map’a. Tutaj jedynie nową pozycją jest definicja stworzonego wcześniej profilu ikev2.

crypto map CM.VPN 30 ipsec-isakmp
 set peer 200.1.1.2
 set transform-set TS.VPN2
 set pfs group2
 set ikev2-profile IK2.PROF
 match address ACL.VPNIKE2

Oczywiście pamiętać trzeba o przyczepieniu crypto-map’y do interfejsu outside.

Weryfikacja

Po wygenerowaniu jakiegoś ruchu, można podejrzeć stan sesji przy użyciu poniższych poleceń.

RTR.PP#sh crypto ikev2 sa
 IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 200.1.1.1/500 200.1.1.2/500 none/none READY
 Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK
 Life/Active Time: 86400/28 sec
IPv6 Crypto IKEv2 SA
RTR.PP#sh crypto ikev2 session
 IPv4 Crypto IKEv2 Session
Session-id:48, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status
5 200.1.1.1/500 200.1.1.2/500 none/none READY
 Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK
 Life/Active Time: 86400/36 sec
Child sa: local selector 10.10.10.2/0 - 10.10.10.2/65535
 remote selector 10.20.20.1/0 - 10.20.20.1/65535
 ESP spi in/out: 0xB077FECC/0x3CDB3BDF

 

Jak widać po stronie routera konfig trochę bardziej się różni, zwłaszcza jeśli chodzi o cześć fazy 1-szej.

Miłej zabawy 🙂

Łukasz od kilkunastu lat zajmuje się sieciami komputerowymi i systemami teleinformatycznymi, pracując obecnie jako inżynier wsparcia sprzedaży. Od pewnego czasu intensywnie zainteresowany rozwiązaniami Public Cloud i wszystkim as a Service. W wolnym czasie biega i prowadzi bloga https://www.lukado.eu