Cisco ASAとのサイト間VPN設定事例(IKEv1)¶
ファイアウォールサービスとCisco ASAとの設定事例をご紹介しています。
Cisco ASAとのサイト間VPN設定事例(IKEv1)¶
構成例¶
「ASA」のネットワーク設定 |
「ASA1」の構成 |
「ASA2」の構成 |
|---|---|---|
アウトサイドIPアドレス - アクティブ |
203.0.113.4/28 |
203.0.113.132/28 |
アウトサイドIPアドレス - スタンバイ |
203.0.113.5/28 |
203.0.113.133/28 |
アウトサイドゲートウェイ |
203.0.113.1/28 |
203.0.113.129/28 |
インサイドIPアドレス - アクティブ |
192.168.0.1/24 |
192.168.10.1/24 |
インサイドIPアドレス - スタンバイ |
192.168.0.2/24 |
192.168.10.2/24 |
構成例で使用するパラメーター¶
IKE version |
ikev1 |
|---|---|
暗号化方式 |
AES(128bit) |
認証方式 |
pre-share(事前共有鍵) |
ハッシュアルゴリズム |
SHA-1 |
DHグループ |
14 |
事前共有鍵 |
PreSharedKey |
キーライフタイム |
28800秒 |
「ASA1」のVPN設定¶
IKEv1 VPN設定手順(GUI)¶
ISAKMPポリシーの設定とアウトサイドインターフェイスでのISAKMPの有効化¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「IKE Policies」を選択します。
- 右側の画面から「IKEv1 Policies」下部にある「Add」メニューを押します。
- 「Add IKE Policy」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Priority
「1」を入力
Authnetication
「pre-share」を選択
Encryption
「aes」を選択
D-H Group
「14」を選択
Hash
「sha」を選択
Lifetime
「28800」を入力(単位は[seconds])
- 最後に「IKE Policies」画面にて「Apply」ボタンを押します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Connection Profiles」を選択します。
- 右側の「Access Interfaces」下部にある「Enable interfaces for IPsec access」から「Inteface:outside、Allow IKE v1 Access」項目にチェックを入れます。最後に、「Apply」ボタンを押します。
IKEv1トランスフォームセットの作成¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「IPsec Proposals (Transform Sets)」を選択します。
- 右側の画面から「IKE v1 IPsec Proposals (Transform sets)」下部にある「Add」メニューを押します。
- 「Add IPsec Proposal (Transform Set)」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Set Name
「FirstSet」を入力
Properties
Mode
「Tunnel」を選択
ESP Encryption
「AES-128」を選択
ESP Authentication
「SHA」を選択
- 最後に「IPsec Proposals (Transform Sets)」画面にて「Apply」ボタンを押します。
トンネルグループの定義¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-to-Site VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「Tunnel Groups」を選択します。
- 右側の画面から「Configure IPsec site-to-site tunnel gorup.」下部にある「Add」メニューを押します。
- 「Add IPsec Site-to-site Tunnel Group」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
トンネルグループ名を入力
IPsec Enabling
Group Policy Name
「DfltGrpPolicy」を選択「Enable IKE v1」のみチェックIPsec Settings
Pre-shared Key
「PreSharedKey」を入力
- 最後に「Tunnel Groups」画面にて「Apply」ボタンを押します。
Note
「Apply」ボタンを押した後、下記のようなエラー画面が表示された場合は、「Close」ボタンを押してください。設定自体は、正しく行われます。
クリプトマップの作成とアウトサイドインターフェースへの適用¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-to-Site VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「Crypto Maps」を選択します。
- Crypto Maps」画面の上側にある「Add」メニューをクリックして、「Add...」を選択します。
- Create IPsec Rule」画面で、「Tunnel Policy(Crypto Map) - Basic」タブを選択し、必要項目を編集します。
Interface
「outside」を選択
IKE v1 IPsec Proposal
「Select…」ボタンから、「FirstSet」を選択
IP Address or Peer to Be Added
「203.0.113.132」を入力し、「Add >>」ボタンを押す
Enable Perfect Forwarding Secrecy
チェックを入れる
Diffie-Hellman Group
「group14」を選択
- 「Traffic Selection」タブを選択し必要項目を編集します。編集後に「OK」ボタンを押します。
Soruce
「192.168.0.0/24」を入力
Destination
「192.168.10.0/24」を入力
Service
「ip」と入力
- 最後に「Crypto Maps」画面にて「Apply」ボタンを押します。
NAT除外(NAT Exemption)設定¶
NAT除外用のネットワークオブジェクトを作成し、NAT除外を設定します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Firewall」タブを押します。
- 左側のツリーメニューから「Objects」>「Network Objects/Groups」を選択します。
- 右側の画面から「Add」メニューをクリックして、「Network Object...」を選択します。
- 「Add Network Object」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
「local」を入力
Type
「Network」を選択
IP Version
「IPv4」を選択
IP Address
「192.168.0.0 」を入力
Netmask
「255.255.255.0」を入力
- 再度、右側の画面から「Add」メニューをクリックして、「Network Object...」を選択します。
- 「Add Network Object」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
「remote」を入力
Type
「Network」を選択
IP Version
「IPv4」を選択
IP Address
「192.168.10.0 」を入力
Netmask
「255.255.255.0」を入力
- 最後に「Network Objects/Groups」画面にて「Apply」ボタンを押します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Firewall」タブを押します。
- 左側のツリーメニューから「NAT Rules」を選択します。
- 右側の画面から「Add」メニューをクリックします。
- 「Add NAT Rule」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Match Criteria: Original Packet
Source Interface
「inside_a」を選択
Source Address
「local」を選択
Destination Interface
「outside」を選択
Destination Address
「remote」を選択
Service
「any」を選択
Action: Translated Packet
Source NAT Type
「Static」を選択
Note
「OK」ボタンを押した後、identity NAT with Proxy ARPの警告が表示されますが、「Close」ボタンを押してください。
- 最後に「NAT Rules」画面にて「Apply」ボタンを押します。
IKEv1 VPN設定手順(CLI)¶
ISAKMPポリシーの設定とアウトサイドインターフェイスでのISAKMPの有効化¶
crypto ikev1 policy 1
authentication pre-share
encryption aes
hash sha
group 14
lifetime 28800
crypto ikev1 enable outside
IKEv1トランスフォームセットの作成¶
crypto ipsec ikev1 transform-set FirstSet esp-aes esp-sha-hmac
VPNトラフィック用ACLの設定¶
access-list l2l_vpn extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
トンネルグループの定義¶
tunnel-group 203.0.113.132 type ipsec-l2l
tunnel-group 203.0.113.132 ipsec-attributes
ikev1 pre-shared-key PreSharedKey
クリプトマップの作成とアウトサイドインターフェースへの適用¶
crypto map asa 1 match address l2l_vpn
crypto map asa 1 set pfs group14
crypto map asa 1 set peer 203.0.113.132
crypto map asa 1 set ikev1 transform-set FirstSet
crypto map asa interface outside
NAT除外(NAT Exemption)設定¶
object network local
subnet 192.168.0.0 255.255.255.0
object network remote
subnet 192.168.10.0 255.255.255.0
nat (inside_a,outside) source static local local destination static remote remote
「ASA2」のVPN設定¶
IKEv1 VPN設定手順(GUI)¶
ISAKMPポリシーの設定とアウトサイドインターフェイスでのISAKMPの有効化¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「IKE Policies」を選択します。
- 右側の画面から「IKEv1 Policies」下部にある「Add」メニューを押します。
- 「Add IKE Policy」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Priority
「1」を入力
Authnetication
「pre-share」を選択
Encryption
「aes」を選択
D-H Group
「14」を選択
Hash
「sha」を選択
Lifetime
「28800」を入力(単位は[seconds])
- 最後に「IKE Policies」画面にて「Apply」ボタンを押します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Connection Profiles」を選択します。
- 右側の「Access Interfaces」下部にある「Enable interfaces for IPsec access」から「Inteface:outside、Allow IKE v1 Access」項目にチェックを入れます。最後に、「Apply」ボタンを押します。
IKEv1トランスフォームセットの作成¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-toSite VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「IPsec Proposals (Transform Sets)」を選択します。
- 右側の画面から「IKE v1 IPsec Proposals (Transform sets)」下部にある「Add」メニューを押します。
- 「Add IPsec Proposal (Transform Set)」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Set Name
「FirstSet」を入力
Properties
Mode
「Tunnel」を選択
ESP Encryption
「AES-128」を選択
ESP Authentication
「SHA」を選択
- 最後に「IPsec Proposals (Transform Sets)」画面にて「Apply」ボタンを押します。
トンネルグループの定義¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-to-Site VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「Tunnel Groups」を選択します。
- 右側の画面から「Configure IPsec site-to-site tunnel gorup.」下部にある「Add」メニューを押します。
- 「Add IPsec Site-to-site Tunnel Group」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
トンネルグループ名を入力
IPsec Enabling
Group Policy Name
「DfltGrpPolicy」を選択「Enable IKE v1」のみチェックIPsec Settings
Pre-shared Key
「PreSharedKey」を入力
- 最後に「Tunnel Groups」画面にて「Apply」ボタンを押します。
Note
「Apply」ボタンを押した後、下記のようなエラー画面が表示された場合は、「Close」ボタンを押してください。設定自体は、正しく行われます。
クリプトマップの作成とアウトサイドインターフェースへの適用¶
- 上側の「Configuration」ボタンを押します。
- 左下側の「Site-to-Site VPN」タブを押します。
- 左側のツリーメニューから「Advanced」>「Crypto Maps」を選択します。
- Crypto Maps」画面の上側にある「Add」メニューをクリックして、「Add...」を選択します。
- Create IPsec Rule」画面で、「Tunnel Policy(Crypto Map) - Basic」タブを選択し、必要項目を編集します。
Interface
「outside」を選択
IKE v1 IPsec Proposal
「Select…」ボタンから、「FirstSet」を選択
IP Address or Peer to Be Added
「203.0.113.4」を入力し、「Add >>」ボタンを押す
Enable Perfect Forwarding Secrecy
チェックを入れる
Diffie-Hellman Group
「group14」を選択
- 「Traffic Selection」タブを選択し必要項目を編集します。編集後に「OK」ボタンを押します。
Soruce
「192.168.10.0/24」を入力
Destination
「192.168.0.0/24」を入力
Service
「ip」と入力
- 最後に「Crypto Maps」画面にて「Apply」ボタンを押します。
NAT除外(NAT Exemption)設定¶
NAT除外用のネットワークオブジェクトを作成し、NAT除外を設定します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Firewall」タブを押します。
- 左側のツリーメニューから「Objects」>「Network Objects/Groups」を選択します。
- 右側の画面から「Add」メニューをクリックして、「Network Object...」を選択します。
- 「Add Network Object」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
「local」を入力
Type
「Network」を選択
IP Version
「IPv4」を選択
IP Address
「192.168.10.0 」を入力
Netmask
「255.255.255.0」を入力
- 再度、右側の画面から「Add」メニューをクリックして、「Network Object...」を選択します。
- 「Add Network Object」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Name
「remote」を入力
Type
「Network」を選択
IP Version
「IPv4」を選択
IP Address
「192.168.0.0 」を入力
Netmask
「255.255.255.0」を入力
- 最後に「Network Objects/Groups」画面にて「Apply」ボタンを押します。
- 上側の「Configuration」ボタンを押します。
- 左下側の「Firewall」タブを押します。
- 左側のツリーメニューから「NAT Rules」を選択します。
- 右側の画面から「Add」メニューをクリックします。
- 「Add NAT Rule」画面で必要項目を編集します。編集後に「OK」ボタンを押します。
Match Criteria: Original Packet
Source Interface
「inside_a」を選択
Source Address
「local」を選択
Destination Interface
「outside」を選択
Destination Address
「remote」を選択
Service
「any」を選択
Action: Translated Packet
Source NAT Type
「Static」を選択
Note
「OK」ボタンを押した後、identity NAT with Proxy ARPの警告が表示されますが、「Close」ボタンを押してください。
- 最後に「NAT Rules」画面にて「Apply」ボタンを押します。
IKEv1 VPN設定手順(CLI)¶
ISAKMPポリシーの設定とアウトサイドインターフェイスでのISAKMPの有効化¶
crypto ikev1 policy 1
authentication pre-share
encryption aes
hash sha
group 14
lifetime 28800
crypto ikev1 enable outside
IKEv1トランスフォームセットの作成¶
crypto ipsec ikev1 transform-set FirstSet esp-aes esp-sha-hmac
VPNトラフィック用ACLの設定¶
access-list l2l_vpn extended permit ip 192.168.10.0 255.255.255.0 192.168.0.0 255.255.255.0
トンネルグループの定義¶
tunnel-group 203.0.113.4 type ipsec-l2l
tunnel-group 203.0.113.4 ipsec-attributes
ikev1 pre-shared-key PreSharedKey
クリプトマップの作成とアウトサイドインターフェースへの適用¶
crypto map asa 1 match address l2l_vpn
crypto map asa 1 set pfs group14
crypto map asa 1 set peer 203.0.113.4
crypto map asa 1 set ikev1 transform-set FirstSet
crypto map asa interface outside
NAT除外(NAT Exemption)設定¶
object network local
subnet 192.168.10.0 255.255.255.0
object network remote
subnet 192.168.0.0 255.255.255.0
nat (inside_a,outside) source static local local destination static remote remote
VPN設定の確認¶
Note
IKEv1 VPN確認手順(GUI)¶
VPN状態の確認¶
- 上側の「Monitoring」ボタンを押します。
- 左下側の「VPN」タブを押します。
- 左側のツリーメニューから「VPN Statistics」>「Sessions」を選択します。
- 「Sessions」画面の下側に、アクティブなVPN接続が表示されます。「Details」ボタンを押すと詳細な情報を表示することができます。
IKEv1 VPN確認手順(CLI)¶
IKEv1フェーズ1の確認¶
show crypto isakmp sa
# show crypto isakmp sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 203.0.113.132
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
There are no IKEv2 SAs
IKEv1フェーズ2の確認¶
show crypto ipsec sa
# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.4
access-list outside_cryptomap_3 extended permit ip 192.168.0.0 255.255.255.0 192.168.10.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
current_peer: 203.0.113.132
#pkts encaps: 71, #pkts encrypt: 71, #pkts digest: 71
#pkts decaps: 71, #pkts decrypt: 71, #pkts verify: 71
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 71, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 203.0.113.4/0, remote crypto endpt.: 203.0.113.132/0
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 581FE06A
current inbound spi : B439EBB5
current inbound spi : B439EBB5
<--- More --->