I Tổng quan:
1.1 Sơ đồ:
III KẾT NỐI VPN:
3.1 Tạo 2 Connection Entry để kiển tra kết nối
3.2 KẾT NỐI VPN
3.2.1. Truy cập trực tiếp (ko qua NAT router)
VPN đã được kết nối tới ASA
(1
Gửi 1 gói DNS và 4 gói icmp)
Do mình đã cấu hình Split Tunneling (những gói tin nào có địa chỉ đích là 192.168.1.0/24, 192.168.2.0/24, 172.16.1.0/24 thì mới đi qua Tunnel)
Truy cập 24h.com.vn, và website nội bộ (đặt ở DMZ). VPN Client có thể sử dụng được DNS nội bộ để phân giải tên host ra IP.
3.2.2. Truy cận thông qua NAT Router.
Lúc này mình sẽ dùng USB 3G để kết nối Internet và kết nối VPN vào địa chỉ IP WAN ở trên NAT router (Gateway GPON)
Xem thông tin IP LAN
Xem thông tin IP WAN
Xem thông tin các port được mở trên GateWay GPON
Disconnect kết nối SVUIT (LOCAL)
Khởi tạo kết nối VPN mới SVUIT (USB 3G)
So sánh với kết nối SVUIT(LOCAL) bạn sẽ thấy hơi khác 1 chút ở phần Transport .Khi kết nối tại LOCAL,
thì ASA nhận thấy kết nối không thông qua NAT router nên nó sử dụng UDP port 10000,
còn ngược lại nếu kết nối có thông qua NAT router nó sẽ sử dụng UDP port 4500 (NAT-T)
Ping kiểm tra OK, Bạn để ý thấy thời gian phản hồi sẽ lâu hơn so với đi trực tiếp…
Mình vừa send 12 gói icmp và nó được mã hóa khi đi qua Tunnel(tăng thêm 12 so với trước đó)
Tiếp theo mình thử ping tới zing.vn xem kết quả thế nào
Kết quả chỉ tăng thêm có 1, Ping tới zing.vn thực chất là mình đã gửi 1 gói DNS và 4 gói ICMP, vậy là chỉ có gói DNS là đi qua Tunnel,
còn lại 4 gói ICMP thì ko qua đi qua Tunnel. Do mình đã cấu hình Split Tunneling
( các gói tin có địa chỉ đích là 192.168.1.0/24, 192.168.2.0/24, 172.16.1.0/24 thì mới đi qua tunnel).
Các kết quả khác như truy cập website trên internet, website nội bộ, dns nội bộ thì tương tu như với kết nối VPN SVUIT (LOCAL)
1.1 Sơ đồ:
III KẾT NỐI VPN:
3.1 Tạo 2 Connection Entry để kiển tra kết nối
3.2 KẾT NỐI VPN
3.2.1. Truy cập trực tiếp (ko qua NAT router)
VPN đã được kết nối tới ASA
| ASA1# show crypto isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 1 1 IKE Peer: 172.16.1.150 Type : user Role : responder Rekey : no State : AM_ACTIVE There are no IKEv2 Sas |
| ASA1# show crypto ipsec sa interface: outside Crypto map tag: SVUIT_CRYPTO_MAP, seq num: 65535, local addr: 172.16.1.2 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (10.1.1.1 / 255.255.255.255 / 0 / 0) current_peer: 172.16.1.150, username: admin dynamic allocated peer ip: 10.1.1.1 dynamic allocated peer ip(ipv6): 0.0.0.0 #pkts encaps: 12, #pkts encrypt: 12, #pkts digest: 12 #pkts decaps: 68, #pkts decrypt: 68, #pkts verify: 68 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 12, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2/10000, remote crypto endpt.: 172.16.1.150/10000 path mtu 1500, ipsec overhead 66(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 859BAD34 current inbound spi : F18CE937 inbound esp sas: spi: 0xF18CE937 (4052543799) transform: esp-des esp-md5-hmac no compression in use settings ={RA, Tunnel, UDP-Encaps, IKEv1, } slot: 0, conn_id: 319488, crypto-map: SVUIT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 26918 IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x859BAD34 (2241572148) transform: esp-des esp-md5-hmac no compression in use settings ={RA, Tunnel, UDP-Encaps, IKEv1, } slot: 0, conn_id: 319488, crypto-map: SVUIT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 26918 IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 |
| ASA1# show crypto ipsec sa #pkts encaps: 17, #pkts encrypt: 17, #pkts digest: 17 #pkts decaps: 94, #pkts decrypt: 94, #pkts verify: 94 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 17, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 |
(1
Gửi 1 gói DNS và 4 gói icmp)
Do mình đã cấu hình Split Tunneling (những gói tin nào có địa chỉ đích là 192.168.1.0/24, 192.168.2.0/24, 172.16.1.0/24 thì mới đi qua Tunnel)
| ASA1# show crypto ipsec sa #pkts encaps: 18, #pkts encrypt: 18, #pkts digest: 18 #pkts decaps: 99, #pkts decrypt: 99, #pkts verify: 99 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 18, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 |
Truy cập 24h.com.vn, và website nội bộ (đặt ở DMZ). VPN Client có thể sử dụng được DNS nội bộ để phân giải tên host ra IP.
3.2.2. Truy cận thông qua NAT Router.
Lúc này mình sẽ dùng USB 3G để kết nối Internet và kết nối VPN vào địa chỉ IP WAN ở trên NAT router (Gateway GPON)
Xem thông tin IP LAN
Xem thông tin IP WAN
:
Xem thông tin các port được mở trên GateWay GPON
Disconnect kết nối SVUIT (LOCAL)
Khởi tạo kết nối VPN mới SVUIT (USB 3G)
So sánh với kết nối SVUIT(LOCAL) bạn sẽ thấy hơi khác 1 chút ở phần Transport .Khi kết nối tại LOCAL,
thì ASA nhận thấy kết nối không thông qua NAT router nên nó sử dụng UDP port 10000,
còn ngược lại nếu kết nối có thông qua NAT router nó sẽ sử dụng UDP port 4500 (NAT-T)
ASA1# show crypto isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 1 1 IKE Peer: 27.66.153.96 #IP WAN của 3G Type : user Role : responder Rekey : no State : AM_ACTIVE There are no IKEv2 SAs |
| ASA1# show crypto ipsec sa interface: outside Crypto map tag: SVUIT_CRYPTO_MAP, seq num: 65535, local addr: 172.16.1.2 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0) current_peer: 27.66.153.96, username: admin dynamic allocated peer ip: 10.1.1.1 dynamic allocated peer ip(ipv6): 0.0.0.0 #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 3, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2/4500, remote crypto endpt.: 27.66.153.96/21087 path mtu 1500, ipsec overhead 66(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 61E58925 current inbound spi : C33F26E1 inbound esp sas: spi: 0xC33F26E1 (3275695841) transform: esp-des esp-md5-hmac no compression in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv1, } slot: 0, conn_id: 323584, crypto-map: SVUIT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 27434 IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x000000FF outbound esp sas: spi: 0x61E58925 (1642432805) transform: esp-des esp-md5-hmac no compression in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv1, } slot: 0, conn_id: 323584, crypto-map: SVUIT_CRYPTO_MAP sa timing: remaining key lifetime (sec): 27434 IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 |
Ping kiểm tra OK, Bạn để ý thấy thời gian phản hồi sẽ lâu hơn so với đi trực tiếp…
Mình vừa send 12 gói icmp và nó được mã hóa khi đi qua Tunnel(tăng thêm 12 so với trước đó)
| ASA1# show crypto ipsec sa #pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15 #pkts decaps: 19, #pkts decrypt: 19, #pkts verify: 19 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 15, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 |
Tiếp theo mình thử ping tới zing.vn xem kết quả thế nào
Kết quả chỉ tăng thêm có 1, Ping tới zing.vn thực chất là mình đã gửi 1 gói DNS và 4 gói ICMP, vậy là chỉ có gói DNS là đi qua Tunnel,
còn lại 4 gói ICMP thì ko qua đi qua Tunnel. Do mình đã cấu hình Split Tunneling
( các gói tin có địa chỉ đích là 192.168.1.0/24, 192.168.2.0/24, 172.16.1.0/24 thì mới đi qua tunnel).
| ASA1# show crypto ipsec sa #pkts encaps: 16, #pkts encrypt: 16, #pkts digest: 16 #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 16, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 |
Các kết quả khác như truy cập website trên internet, website nội bộ, dns nội bộ thì tương tu như với kết nối VPN SVUIT (LOCAL)
Last edited:
