Privacy Policy

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 
VPN-IPSEC Site2Site HUB&SPOKE

(HUB) Router Cisco 1921

(SPOKE1) Firewall Sophos UTM9
(SPOKE2) WatchGuard XTM515


Una configurazione funzionante di una VPN IPSEC standard Site2Site fra un Rotuer Cisco 1921 un Firewall UTM9 della Sophos e un XTM 515 della watchguard.
Mi aspetto che valga anche per la maggior parte degli altri firewall comunque.

Router Cisco 1921:
Solo le parti che interessano la VPN.....

......
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 28800

crypto isakmp key CISCO123 address IP-PUB-REMOTO no-xauth
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
mode transport
!
crypto map mymap 10 ipsec-isakmp
set peer IP-PUB-REMOTO
set transform-set myset
match address VPN

interface Gi0/1 (Interfaccia WAN del Router con ip pubblico)
ip address IP-PUB-ROUTER 255.255.255.248
crypto map mymap

ip access-list extended VPN 
5 permit ip 10.0.100.0 0.0.0.255 10.0.1.0 0.0.0.255 (LAN LOCALE R1 e LAN REMOTA SOPHOS)

....IMPLEMENTAZIONE NAT
Se (quasi sicuramente) avete abilitato il nat sulla WAN per poter navigare su internet con il router, è necessario sistemare l’ACL sulla nat.
in pratica dobbiamo fare in modo che il traffico che ha come destinazione la rete remota dietro ipsec NON venga nattato, altrimenti non funzionerà.
Es.

ip nat inside source list NATACL interface GigabitEthernet0/1 overload

ip access-list extended NATACL
5 deny ip 10.0.100.0 0.0.0.255 10.0.1.0 0.0.0.255 log
10 permit ip 10.0.100.0 0.0.0.255 any log


Firewall Sophos UTM9

POLICY SOPHOS che è l'unica da creare appositamente:

Phase1 = 3DES+SHA1 e Grupo 2
Phase2 = 3DES+SHA1 no PFS
Riepilogo della policy:

IKE Settings: 3DES / SHA1 / Group 2: MODP 1024 Lifetime: 3600 seconds
IPsec Settings: 3DES / SHA1 / Null (None) Lifetime: 28800 seconds

Il resto della configurazione della VPN ipsec è standard, scegliamo come metodo "initiate" poi settimo il Gateway remoto (ip pub di R1) e la network locale e remota in questo caso la locale Sophos 10.0.1.0/24 la remota (cisco) 10.0.100.0/24

Fatto questo sistemiamo anche la seconda VPN verso il WatchGuard XTM515...

Per aggiungere questa seconda VPN al router bastano pochi aggiustamenti.
Creiamo anche sul XTM WG515 una IPSEC con Phase1 e Phase2 stesse encription del Sophos:

Phase1 = 3DES+SHA1 e Grupo 2
Phase2 = 3DES+SHA1 no PFS lifetime 28800

Al router aggiungiamo:

la nuova key e il nuovo ip pubblico da contattare

crypto isakmp key CISCO123 address ALTRO-IP-PUB no-xauth

Una seconda crypto map (per phase1 manteniamo l'attuale policy 10)

crypto map mymap 11 ipsec-isakmp
set peer ALTRO-IP-PUB
set transform-set myset (con questo manteniamo lo stesso transform-set.. )
match address VPN02

Permettiamo il traffico verso la nuova Network 

ip access-list extended VPN02
permit ip 10.0.100.0 0.0.0.255 172.20.20.0 0.0.0.255 log

PS. 
Se c'è il NAT ricordiamo di inserire un deny per questa nuova network di destinazione....

ip access-list extended NATACL
5 deny ip 10.0.100.0 0.0.0.255 10.0.1.0 0.0.0.255 log
6 deny ip 10.0.100.0 0.0.0.255 172.20.20.0 0.0.0.255 log

10 permit ip 10.0.100.0 0.0.0.255 any log

se abbiamo altri firewall, proseguimao nello stesso modo....
Ciao Luca
C e r t i f i c a z i o n i