Trong bà i viết dÆ°á»›i đây, chúng tôi sẽ trình bà y má»™t số thao tác cÆ¡ bản để cấu hình, thiết láºp hệ thống Cisco ASA vá»›i những thiết bị dá»±a trên ná»n tảng hệ Ä‘iá»u hà nh Android, VPN và Active Directory Authentication. Và dụ, bạn muốn kết nối chiếc Ä‘iện thoại HTC Incredible vá»›i hệ thống mạng của công ty, văn phòng để sá» dụng và khai thác những tiện Ãch của smartphone thì sẽ phải là m thế nà o? Rất nhiá»u đã Ä‘Æ°a ra ý tưởng và phÆ°Æ¡ng pháp nhÆ°ng Ä‘á»u không thà nh công. NhÆ°ng khi tác giả của bà i viết tiếp tục kiên trì, tìm kiếm và thá» nghiệm các phÆ°Æ¡ng án khác nhau thì cuối cùng há» cÅ©ng đã đạt được mục Ä‘Ãch. Cụ thể, 2 chiếc smartphone HTC incredible 2.2 và Samsung Infuse đã kết nối thà nh công vá»›i hệ thống mạng qua mô hình VPN, mặc dù vẫn còn má»™t số khuyết Ä‘iểm. TrÆ°á»›c khi bắt tay và o tiến hà nh và việc thiết láºp, chúng ta cần biết rằng phiên bản ASA của hệ thống sá» dụng hệ Ä‘iá»u hà nh iOS phải là 8.4.1 và Android là 2.1 dá»±a trên yêu cầu của Cisco. NhÆ°ng trên thá»±c tế, có má»™t số mẫu ASA chỉ có bá»™ nhá»› lÆ°u trữ 512 MB, do váºy khá khó khăn và phức tạp trong việc nâng cấp hệ Ä‘iá»u hà nh iOS.
Bên cạnh đó, nếu các bạn Ä‘ang sá» dụng dịch vụ port forward trên địa chỉ IP chÃnh bên ngoà i, thì sẽ khiến hệ thống ngừng hoạt Ä‘á»™ng, nguyên nhân vì không há»— trợ NAT trong môi trÆ°á»ng VPN. Nếu trong trÆ°á»ng hợp nà y thì chúng ta sẽ có 2 phÆ°Æ¡ng án:
- Xóa bỠdòng lệnh:
nat (outside,outside) source dynamic [name your VPN LAN] interface
sẽ khiến cho các thà nh phần VPN client không thể truy cáºp được Internet qua VPN.
- Cách khác là di chuyển thà nh phần port forward tới 1 địa chỉ IP khác.
Cụ thể, trong bà i thá» nghiệm nà y chúng tôi sẽ áp dụng trên hệ thống ASA 5505. Mặt khác, nếu chúng ta muốn thá»±c hiện quá trình tÃch hợp
Active directory – nên áp dụng cách thức nà y, thì sẽ phải cần đến má»™t số dạng server Radius, và dụ tại đây là NPS được bao gồm trong hệ Ä‘iá»u hà nh
Windows Server 2008. Việc thiết láºp và khởi tạo hệ thống server NPS là 1 quá trình hoà n toà n khác, nhÆ°ng lại khá Ä‘Æ¡n giản và dá»… dà ng.
Trong các lệnh cấu hình bên dÆ°á»›i đây, chúng tôi sẽ sá» dụng hầu hết là cú pháp mặc định của ASA, các bạn chỉ cần thay thế thông tin bên trong dấu [ ] vá»›i dữ liệu riêng, dấu * ở phÃa cuối dòng để chú thÃch và không nên thêm bất cứ tham số nà o khác và o sau ký hiệu *!
ASA Version 8.4(1) * Hãy đảm bảo rằng bạn đã sỠdụng đúng phiên bản?
!
hostname [tên asa hostname] * Và dụ: MainASA
names
!
interface Vlan1
nameif inside
security-level 100
ip address [địa chỉ IP của hệ thống asa local] 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address [địa chỉ IP OUTSIDE ] [subnetmask bên ngoà i]
!
interface Ethernet0/0
switchport access vlan 2
!
boot system disk0:/asa841-k8.bin * Hãy chắc chắn rằng bạn đang boot bằng phiên bản 8.4.1!
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network [tên hệ thống lan1] * Và dụ: MainLAN
subnet [subnet và mask của lan1] * Và dụ: 192.168.1.0 255.255.255.0
object network [tên hệ thống lan2] * Äây là mục tùy chnj nếu bạn có nhiá»u hÆ¡n 1 kết nối cần giao tiếp
subnet [subnet mask của lan2]
object network [tên hệ thống lan3]
subnet [subnet và mask của lan3]
object network [tên của VPN LAN] * Và dụ: VPN_NET
subnet [subnet và mask của VPN LAN] * Và dụ: 172.16.30.0 255.255.255.0
object-group network [tên group của các hệ thống lan] * Và dụ: LANS
network-object object [tên lan1]
network-object object [tên lan2]
network-object object [tên lan3]
ip local pool [tên địa chỉ pool của VPN IP] [IP Pool Range] mask [pool mask] * Và dụ: GroupPool 172.16.30.5-172.16.30.200 255.255.255.0
nat (inside,outside) source static [tên nhóm lan] [tên nhóm lan] destination static [tên VPN LAN] [name your VPN LAN] * Và dụ: LANS LANS VPN_NET VPN_NET - NEW WAY OF DOING NONAT
nat (outside,outside) source dynamic [tên VPN LAN] interface
!
object network obj_any
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 [địa chỉ gateway] 1 * Và dụ: 199.10.199.10
route inside [địa chỉ subnet và mask của lan1] [địa chỉ gateway lan1] 1 * Và dụ: 10.0.0.0 255.0.0.0 10.61.0.1
route inside [địa chỉ subnet và mask của lan2] [địa chỉ gateway lan2] 1
route inside [địa chỉ subnet và mask của lan3] [địa chỉ gateway lan3] 1
dynamic-access-policy-record DfltAccessPolicy
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server [tên server RADIUS] protocol radius * Và dụ: MainRAD
aaa-server [tên server RADIUS](inside) host [địa chỉ IP server RADIUS] * Và dụ: 10.1.2.1
key [radius key] * Và dụ: secretsquirrel
crypto ipsec ikev1 transform-set TRANS_ESP esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec ikev1 transform-set TRANS_ESP_ esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_ mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA TRANS_ESP_
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp nat-traversal 21
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value [địa chi ip của your server DNS] * Và dụ: 10.1.2.5
vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
address-pool [tên địa chỉ pool của VPN IP] * Và dụ: GroupPool
authentication-server-group [tên server RADIUS] * Và dụ: MainRAD
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key [client pre-shared key] * Và dụ: vpnpassword
!
Còn trên các thiết bị Android, chúng ta mở phần
Settings > Wireless and networks > VPN settings > Add VPN, chá»n
L2TP/IPSec PSK VPN. Tên VPN phụ thuá»™c và o ngÆ°á»i sá» dụng, có thể đặt là bất cứ thông tin gì, thiết láºp VPN server bên ngoà i địa chỉ IP, cấu hình
IPSec PSK (client pre-shared key) đã được khởi tạo trong ASA, không kÃch hoạt chức năng
Secret và không cần thiết phải thiết láºp tÃnh năng tìm kiếm domain qua DNS. Chúc các bạn thà nh công!
Các chủ đỠkhác cùng chuyên mục nà y: