[Firewall] Cisco ASA Site-to-Site IPSec VPN 연결

네트워크 구성

 

ASA VPN Config.txt

0.00MB

 

-   HQ와 Branch 네트워크에서는 외부 IP 대역으로 ICMP 패킷이 정상적으로 이동하지만 HQ와 Branch 간에는 Outside에서 Inside로 이동할 수 없으므로 통신이 이루어지지 않는다.

-   HQ 네트워크와 Branch 네트워크를 VPN으로 연결하려고 한다.

 

-   HQ와 Branch에서 외부와 통신을 확인 후 Static Route를 삭제한다.

<ISP> no ip route 10.10.1.0 255.255.255.0 fa 0/0 1.1.100.1 no ip route 10.10.2.0 255.255.255.0 fa 0/1 1.1.100.6

 

ASA Site-to-Site IPSec VPN

Cisco 라우터와 ASA의 IPSec VPN 구성 차이

1) AH 방식(무결성만 체크)은 지원하지 않고, ESP 방식(무결성, 암호화)만 지원한다.

2) GRE 터널 모드가 지원되지 않기 때문에 Site-to-Site 방식에서 Direct-Encapsulation 방식과 IPSec VTI 방식만 지원한다.

 

-   IPSec은 IFTF 표준이기 때문에 서로 다른 벤더 장비 사이에서도 구성이 가능하다.

 

crypto ikev1 policy 1

   IKE 1단계 보안 정책 설정

encryption aes

   AES 암호화 방식 사용

 group 2 

   Key의 길이를 길게 설정 (1024 byte)

crypto ipsec ikev1 transform-set ICTSEC_VPN  esp-aes esp-sha-hmac

   IKE 2단계 보안 정책 설정

 

<ASA-1> crypto ikev1 policy 1  authentication pre-share  encryption aes  group 2   hash sha  lifetime 7200 exit tunnel-group 1.1.100.6 type ipsec-l2l tunnel-group 1.1.100.6 ipsec-attributes  ikev1 pre-shared-key ictsec123 ! access-list HQ->Branch permit ip 10.10.1.0 255.255.255.0 10.10.2.0 255.255.255.0 crypto ipsec ikev1 transform-set ICTSEC_VPN esp-aes esp-sha-hmac  crypto map ASA_VPN 1 match address HQ->Branch crypto map ASA_VPN 1 set ikev1 transform-set ICTSEC_VPN crypto map ASA_VPN 1 set peer 1.1.100.6 crypto map ASA_VPN interface Outside   <ASA-2> crypto ikev1 policy 1  authentication pre-share  encryption aes  group 2  hash sha  lifetime 7200 exit tunnel-group 1.1.100.1 type ipsec-l2l tunnel-group 1.1.100.1 ipsec-attributes  ikev1 pre-shared-key ictsec123 ! access-list Branch->HQ permit ip 10.10.2.0 255.255.255.0 10.10.1.0 255.255.255.0 crypto ipsec ikev1 transform-set ICTSEC_VPN esp-aes esp-sha-hmac crypto map ASA_VPN 1 match address Branch->HQ crypto map ASA_VPN 1 set ikev1 transform-set ICTSEC_VPN crypto map ASA_VPN 1 set peer 1.1.100.1 crypto map ASA_VPN interface Outside crypto ikev1 enable Outside

 

 

패킷 확인 (Wireshark)

-   ASA-1 방화벽과 ISP 라우터 사이의 패킷을 확인한다.

-  PC-1에서 PC-3으로 ICMP 패킷을 전송했을 때 IKE 1,2 단계 인증 후 ESP로 암호화 통신을 한다.

 

 

외부망으로 통신이 될수 있도록 PAT 설정

<ASA-1> object network HQ_NET  subnet 10.10.1.0 255.255.255.0  nat (Inside,Outside) dynamic interface  exit <ASA-2> object network Branch_NET  subnet 10.10.2.0 255.255.255.0  nat (Inside,Outside) dynamic interface  exit   <ISP> access-list 1 permit host 1.1.100.1 access-list 1 permit host 1.1.100.6

 

-   ASA-1/ ASA-2에서 PAT 설정 후 내부에서 인터넷 망으로 통신이 되는것을 확인할 수 있다.

 

 

-   기존에 정상적으로 동작하던 IPSec VPN 통신은 실패하게 된다.

 

 

-   ASA에서 PAT를 먼저 처리하기 때문에 출발지 IP주소가 10.10.1.0/24가 아닌 1.1.100.1로 변경되었기 때문에 IPSec보호대생 트래픽으로 인식되지 않아서 VPN 처리가 불가능하다.

 

 

-   위와같은 문제를 해결하기 위해서는 IPSec 트래픽에 대해서 PAT 처리가 되지 않도록 NAT 면제 정책을 구성해야 한다.

 

TWice NAT (Section 1)을 사용하여 구성

nat (Inside,Outside) source static HQ_NET HQ_NET destination static Branch_NET Branch_NET

                                          [Real-So] [Mapping-So]                 [Mapping-De] [Real-De]

   Inside → Outside로 패킷이 이동할때 출발지 IP 주소, 목적지 IP 주소를 바꾸지 않는다.

<ASA-1> object network Branch_NET  subnet 10.10.2.0 255.255.255.0 exit nat (Inside,Outside) source static HQ_NET HQ_NET destination static Branch_NET Branch_NET <ASA-2> object network HQ_NET  subnet 10.10.1.0 255.255.255.0 exit nat (Inside,Outside) source static Branch_NET Branch_NET destination static HQ_NET HQ_NET

 

show nat detail

 

-   Twice NAT와 Object NAT가 설정된것을 확인할 수 있다.

 

 

Ping test

 

-   정상적으로 외부망과 통신이 된다.