11 Jahre her Blog Networking
Der Aufbau einer IPsec Verbindung ist in zwei Phasen geregelt. Die Phase 1 gibt es in zwei Varianten, den “Main Mode” und den “Aggressive Mode”, wobei der Main Mode zu preferieren ist. Grob gesagt werden in Phase 1 die Verschlüsselungsparameter abgeglichen und in Phase 2 die Kommunikationen beschrieben (Encryption Domain).
Bei Cisco wird die Phase 1 folgendermaßen konfiguriert:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key sicherer-key address IP.der.Gegen.stelle
Es wird eine IKE Policy erstellt, in der der Verschlüsselungsalgorithmus, der Hash, die Authentifizierungsart und die DH-Gruppe definiert werden. In diesem Fall wird mit 3DES verschlüsselt, mit SHA-1 gehasht (Standard, daher nicht in der Konfig ersichtlich), mit dem Pre-Shared-Key “sicherer-key” authentifiziert und die DH-Gruppe 2 angewandt. Die Gegenstelle ist IP.der.Gege.stelle. Baut man mehrere VPNs und benötigt man aufgrund von Anforderungen der Gegenseiten andere Methoden, lassen sich weitere Policies erstellen. Dazu muss einfach die Sequenznummer erhöht werden und unter der neuen Nummer die Parameter gesetzt werden. Die beiden VPN-Partner werden sich dann hoffentlich einig.
Für die Phase 2 werden auch Verschlüsselungsparameter benötigt, sie werden anhand eines Transform-Sets beschrieben:
crypto ipsec transform-set TRANSFORMSET esp-3des esp-sha-hmac
In Phase 2 wird ebenfalls 3DES und SHA-1 benutzt. Man kann hier auch von Phase 1 abweichen und z.B. AES-256 verschlüsseln und MD5 hashen. Des weiteren braucht man eine Crypto-Map:
crypto map CRYPTO-MAP 10 ipsec-isakmp
set peer IP.der.Gegen.stelle
set transform-set TRANSFORMSET
match address ENCR-DOMAIN
Hier werden die Phase 2 Parameter zusammengefasst: Die IP der Gegenstelle taucht wieder auf, das Transformset wird verknüpft und die Encryption Domain in Form einer ACL hinterlegt. Diese ACL beschreibt dann den zu verschlüsselnden Traffic.
Angenommen, das lokale Netz ist 192.168.0.0/24 und das entfernte Netz ist 10.10.10.0/24 sähe die müsste die lokale ACL folgendermaßen aussehen. Zu beachten ist, dass in ACLs mit Wildcardmasken und nicht mit Subnetzmasken gearbeitet wird:
Extended IP access list ENCR-DOMAIN
10 permit ip 192.168.0.0 0.0.0.255 10.10.10.0 0.0.0.255
Auf der Gegenstelle müssen die Seiten einfach getauscht werden. Die Verbindung an sich ist nun fertig konfiguriert. Nun muss man nur noch die Crypto-Map auf das externe Interface (i.d.R. ein Dialer) binden:
interface Dialer0
[...]
crypto map CRYPTO-MAP
end
Anschließend sollten sich die Netze gegenseitig erreichen können.
Die Verschlüsselungsparameter sollten dem aktuellen Standard entsprechen.