ASA 8.2 und 8.3 Standort-zu-Standort-VPN-Setup mit Watchguard-Zweigstellen-VPN Teil 1 von 2 - Wie Man

ASA 8.2 und 8.3 Standort-zu-Standort-VPN-Setup mit Watchguard-Zweigstellen-VPN Teil 1 von 2

In diesem Teil wird der Aufbau eines ASAs mit den Versionen 8.2 und 8.3 beschrieben. Teil 2 fügt eine Watchguard Firebox hinzu, die als Zweigstellen-VPN-BOVPN zum ASA Site 2-Standort-VPN hinzugefügt wird.
Alle Einstellungen für den ASA werden über die CLI vorgenommen. Watchguard verwendet die GUI, da die aktuelle Version keine CLI unterstützt.

Die Topologie wird für Teil 1 ASA A ASA B sein. Wir werden eine DIA Metro E für eine der ASA und DSL mit statischer IP unter Verwendung von PPPOE für die zweite ASA verwenden.

Dieses Setup deckt nur den Setup-Teil ab, der mit Site 2 verbunden ist. Rest der Konfiguration wurde übersprungen.

3 Schritte insgesamt

Schritt 1: Brach-Setup

: Gerettet
:
Hostname ASA_Branch
ASA-Version 8.2 (3)
!
Schnittstelle Ethernet0 / 0
Switchport Zugang vlan 2
!
Schnittstelle Vlan1
Nameif innen
Sicherheitsstufe 100
IP-Adresse 192.168.1.1 255.255.255.0
!
Schnittstelle Vlan2
nameif außerhalb
Sicherheitsstufe 0
pppoe client vpdn group BellSouth
IP-Adresse pppoe setroute
!

Zugriffsliste acl_vpn_asa2asa erweiterter Erlaubnis-IP-Host 192.168.1.240 Host 10.1.1.15
!
nat (inside) 0 Zugriffsliste acl_vpn_asa2asa
!
crypto ipsec transform-set set_asa2asa esp-aes-256 esp-sha-hmac
Lebenszeit Sekunden 28800 der Krypto-IPSec-Sicherheitszuordnung
Krypto-IPSec-Sicherheitszuordnung, Lebensdauer 4608000
crypto map map2firebox 10 stimmt mit der Adresse acl_vpn_asa2asa überein
crypto map map2firebox 10 pfs group5 eingestellt
crypto map map2firebox 10 set peer 72.14.253.226
crypto map map2firebox 10 set transform-set set_asa2asa
crypto map map2firebox Schnittstelle außerhalb
crypto isakmp Identitätsadresse
crypto isakmp aktivieren außerhalb
crypto isakmp policy 100
Authentifizierung vor Freigabe
Verschlüsselung 3des
hash sha
Gruppe 2
Lebensdauer 28800
!
vpdn group BellSouth-Anforderungs-Dialout-Befehl
vpdn group BellSouth localname [email protected]
vpdn group BellSouth ppp authentication pap
vpdn benutzername [email protected] kennwort MatosTech store-local
dhcpd auto_config außerhalb
!
Tunnelgruppe 72.14.253.226 vom Typ ipsec-l2l
Tunnelgruppe 72.14.253.226 IPSec-Attribute
Pre-Shared-Key THIS_MUST_BE_THE_SAME_ON_EACH_ASA
!
: Ende

Schritt 2: HQ-Setup

: Gerettet
:
Hostname ASA_HQ
ASA-Version 8.3 (2)
Schnittstelle Vlan1
Nameif innen
Sicherheitsstufe 100
IP-Adresse 10.1.1.1 255.255.255.0
!
Schnittstelle Vlan2
nameif außerhalb
Sicherheitsstufe 0
IP-Adresse 72.14.253.226 255.255.255.240
!
Schnittstelle Ethernet0 / 0
Switchport Zugang vlan 2

Objektnetzwerk vpn-local
Host 10.1.1.15
Objektnetzwerk vpn-remote
Host 192.168.1.240

Zugriffsliste acl_vpn_asa2asa erweiterter Erlaubnis IP-Host 10.1.1.15 Host 192.168.1.240

nat (innerhalb eines beliebigen) Quell-statisches vpn-local vpn-local ziel statisches vpn-remote vpn-remote
!

crypto ipsec transform-set set_asa2asa esp-aes-256 esp-sha-hmac
Lebenszeit Sekunden 28800 der Krypto-IPSec-Sicherheitszuordnung
Krypto-IPSec-Sicherheitszuordnung, Lebensdauer 4608000
crypto map map_asa2asa 10 übereinstimmende Adresse acl_vpn_asa2asa
crypto map map_asa2asa 10 set pfs group5
crypto map map_asa2asa 10 Peer setzen 207.46.197.32
crypto map map_asa2asa 10 set transform-set set_asa2asa
crypto map map_asa2asa-Schnittstelle außerhalb
crypto isakmp Identitätsadresse
crypto isakmp aktivieren außerhalb
crypto isakmp policy 100
Authentifizierung vor Freigabe
Verschlüsselung 3des
hash sha
Gruppe 2
Lebensdauer 86400

Tunnelgruppe 207.46.197.32 Typ IPSec-L2l
Tunnelgruppe 207.46.197.32 IPSec-Attribute
Pre-Shared-Key THIS_MUST_BE_THE_SAME_ON_EACH_ASA
!
: Ende

Schritt 3: Topologie