Configuration Tunnel VPN

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Client VPN SSL avec ASDM
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Client léger VPN SSL avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL
Sécurité - Configuration d'un
Configuration du PIX/ASA Authentification étendue
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Surveillance des réponses DNS avec la commande
Configuration d'un accès
Configuration de Syslog
PIX ASA 7.x - Surveillance DNS avec la commande static et
CBAC - Introduction et Configuration
Sécurité - Configuration de
PIX/ASA - Configuration Serveur et Client DHCP
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
show ip nat translations
PIX ASA 7.x - Autoriser l'accès au LAN local pour les Clients VPN
Client VPN pour VPN public Internet
BGP - Support de Route-Map Policy list
Sous-résaux LAN dupliqués
NAT - Supervision et Maintenance
PIX - Gestion du trafic VoIP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
SSH sur l'interface interne
Configuration - IPSEC sur ADSL sur Cisco 2600/3600 avec Carte ADSL-WIC
- Comment changer le titre WebVPN
sur l'interface interne
passant par le Tunnel IPSec
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
Sécurité - Configuration de
Sécurité - Configuration de -
Configuration Routeur SOHO77
Configuration IPSec LAN Privé à LAN Privé et NAT statique
trois réseaux internes
Valider les services VoIP (SIP, H323, MGCP,SCCP)
Sécurité - Configuration d'un
Configuration d'un accès
Authentification Radius
TP - IPv6 Tunnels Manuels
entre trois routeurs utilisant des
- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
Configuration IPSec Routeur vers PIX avec access-list et nat 0
trois réseaux internes
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
Configuration Routeur SOHO77
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Transcription de la présentation:

Configuration Tunnel VPN PIX ASA 7.x - Configuration Tunnel VPN simple PIX à PIX avec ASDM ccnp_cch

Sommaire • Rappel • Configuration • Introduction - Composants utilisés - Schéma du réseau • Rappel • Configuration - Configuration avec ASDM - Configuration avec la CLI • Effacement des associations de sécurité • Vérification • Résolution de problèmes - Management-access - Commandes debug ccnp_cch

Introduction ccnp_cch Ce document décrit la procédure de configuration des tunnels VPN entre deux pare- feux PIX en utilisant Cisco ASDM (Adaptive Security Device Manager). ASDM est un outil de configuration basé application conçu pour vous aider à initialiser, configurer et superviser votre pare-feu PIX avec une interface graphique. Les pare-feux PIX sont placés sur deux sites différents. Un tunnel est formé en utilisant IPSec. IPSec est une combinaison de deux standards ouverts qui fournissent confidentialité des données, intégrité des données et authenti- fication de l'origine des données entre les deux extrémités IPSec. Note: Dans le PIX 7.1 et suivants, la commande sysopt connection permit-ipsec est changée en sysopt connection permit vpn. Cette commande autorise le trafic qui en- tre dans l'appliance de sécurité et qui est ensuite décrypté à bypasser les listes d'accès de l'interface. La politique de groupe et les listes d'accès d'autorisation par-utilisateur s'appliquent toujours au trafic. Pour dévalider cette fonctionnalité, utilisez la forme no de cette commande. Cette commande n'est pas visible dans la configuration CLI. Composants utilisés Les informations présentées dans ce document sont basées sur les pare-feux Cisco Secure PIX 515 avec PIX version 7.x et ASDM version 5.x. Note: Référez-vous à "Allowing HTTPS access for ASDM" pour autoriser l'ASA à être configuré par l'ASDM. Schéma du réseau 172.22.1.x 172.16.1.x pix515-704 PIX-02 Internet 172.22.1.163 10.10.10.1/24 10.20.20.1/24 172.16.1.1 ccnp_cch

Rappel La négociation IPSec peut être divisée en cinq étapes et comprend deux phases IKE (Internet Key Exchange). 1. Un tunnel IPSec est initié par du trafic particulier. Ce trafic est considéré comme particulier ou intéressant quand il passe entre les extrémités IPSec. 2. Dans la phase 1 IKE, les extrémités IPSec négocient la politique IKE Security Asso- ciation établie. Une fois que les extrémités sont authentifiées, un tunnel sécurisé est crée en utilisant ISAKMP (Internet Security Association and Key Management). 3. Dans IKE Phase 2, les extrémités IPSec utilisent le tunnel authentifié et sécurisé pour négocier les paramètres des SA IPSec. La négociation de la politique partagée détermine comment le tunnel IPSec est établi. 4. Le tunnel IPSec est crée et les données sont transférées entre les extrémités IPSec sur la base des paramètres IPSec configurés dans les "transform set" IPSec. 5. Le tunnel IPSec est fermé quand les SAs IPSec sont effacées ou lorsque leur durée de vie expire. Note: La négociation IPSec échoue entre les deux PIX si les Sas des deux phases IKE ne correspondent pas entre les extrémités. ccnp_cch

Configuration ccnp_cch Configuration avec ASDM Exécutez ces étapes: 1. Ouvrez votre navigateur web et tapez: https://<adresse_IP_Interne_du_PIX> pour accéder à l'ASDM sur le PIX. Assurez-vous d'autoriser toutes les alertes que vous donne votre navigateur, relati- ves à l'authenticité du certificat SSL. Le nom d'utilisateur et le mot de passe par dé- faut sont vides. Le PIX présente cette fenêtre pour autoriser le chargement de l'application ASDM. Cet exemple charge l'application sur l'ordinateur local et n'opère pas avec un applet Java. 2. Cliquez sur Download ASDM Lancher and Start ASDM pour charger et installer l'application ASDM. 3. Une fois que l'ASDM Launcher se charge suivre les prompts pour installer le logiciel et lancer Cisco ASDM Launcher. 4. Entrez l'adresse IP de l'interface que vous avez configurée avec la commande http et le nom d'utilisateur et le mot de passe si vous en spécifiez un. Cet exemple utilise un nom d'utilisateur et un mot de passe vides par défaut. ccnp_cch

5. Lancez VPN Wizard une fois que l'application ASDM se connecte au PIX. ccnp_cch

6. Choisissez le type de tunnel VPN Site-to-Site puis cliquez sur Next. 7. Spécifiez l'adresse IP externe de l'extrémité distante. Entrez l'information d'authen- tification à utiliser (pre-shared key dans cet exemple). - Cliquez sur Next pour continuer ccnp_cch

8. Spécifiez les attributs à utiliser pour IKE, connu aussi comme Phase 1. Ces attributs doivent être les mêmes aux deux extrémités du tunnel. - Cliquez sur Next pour continuer 9. Spécifiez les attributs à utiliser pour IPSec, connu aussi comme Phase 2. Ces attributs doivent correspondre des deux côtés. - Cliquez sur Next pour continuer ccnp_cch

10. Spécifiez les hosts dont le trafic doit passer par le tunnel VPN 10. Spécifiez les hosts dont le trafic doit passer par le tunnel VPN. Dans cet exemple, les hosts locaux au pix515-704 sont spécifiés. - Cliquez sur Next pour continuer 11. Les hosts et les réseaux de l'extrémité distante sont spécifiés. - Cliquez sur Next pour continuer ccnp_cch

12. Les attributs définis par VPN Wizard sont affichés dans ce résumé 12. Les attributs définis par VPN Wizard sont affichés dans ce résumé. Revérifiez la configuration et cliquez sur Finish . Configuration avec la CLI pix515-704 pixfirewall#show run : Saved PIX Version 7.1(1) ! hostname pixfirewall domain−name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address 10.10.10.1 255.255.255.0 !−−− Configure l'interface externe. interface Ethernet1 nameif inside security−level 100 ip address 172.22.1.163 255.255.255.0 !−−− Configure l'interface interne. !−−- Partie supprimée passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS ccnp_cch

ccnp_cch domain−name default.domain.invalid access−list inside_nat0_outbound extended permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0 !−−− Cette liste d'accès (inside_nat0_outbound) est utilisée !--- avec la commande nat zero. Ceci évite que le trafic qui !−−− correspond à la liste d'accès de subir le NAT. Le trafic !−−− spécifié par cette ACL est le trafic qui doit être crypté !−−− et transmis dans le tunnel VPN. Cette ACL is intentionnel- !−−− lement la même que (outside_cryptomap_20). Deux listes !−−− d'accès séparées doivent toujours être utilisées dans cette !--- configuration. access−list outside_cryptomap_20 extended permit ip 172.22.1.0 !−−− Cette liste d'accès (outside_cryptomap_20) est utilisée avec !--- la crypto map outside_map pour déterminer quel trafic doit !--- être crypté et transmis à travers le tunnel. !−−− Cette ACL is intentionnellement la même que !-- (inside_nat0_outbound). Deux listes d'accès séparées doivent !--- toujours être utilisées dans cette configuration. pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm−511.bin !−−− Entrez cette commande pour spécifier la localisation de !--- l'image ASDM. asdm history enable arp timeout 14400 nat (inside) 0 access−list inside_nat0_outbound !−−− nat 0 évite NAT pour les réseaux spécifiés dans l'ACL !--- inside_nat0_outbound. route outside 0.0.0.0 0.0.0.0 10.10.10.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable !−−− Entrez cette commande pour valider le serveur HTTPS pour !--- ASDM. http 172.22.1.1 255.255.255.255 inside !−−− Identifie les adresses à partir desquelles l'appliance !--- de sécurité accepte les connexions HTTPS. no snmp−server location no snmp−server contact ccnp_cch

ccnp_cch !−−− CONFIGURATION PHASE 2 −−−! !−−− Les types de cryptage pour la Phase 2 sont définis ici. crypto ipsec transform−set ESP−AES−256−SHA esp−aes−256 esp−sha−hmac !−−− Définit le transform set pour la Phase 2. crypto map outside_map 20 match address outside_cryptomap_20 !−−− Définit quel trafic doit être transmis à l'extrémité IPSec. crypto map outside_map 20 set peer 10.20.20.1 !−−− Définit l'extrémité IPSec crypto map outside_map 20 set transform−set ESP−AES−256−SHA !−−− Indique que le transform set IPsec "ESP−AES−256−SHA" !−−− doit être utilisé avec l'entrée de crypto map "outside_map". crypto map outside_map interface outside !−−− Spécifie l'interface à utiliser avec les paramètres !−−− définis dans cette configuration. !−−− CONFIGURATION PHASE 1 −−−! !−−− Cette configuration utilise isakmp policy 10. !−−− Policy 65535 est incluse dans la configuration par défaut. !−−− Les commandes de configuration ici définissent les paramètres !−−− utilisés par la politique de Phase 1. isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption aes−256 isakmp policy 10 hash sha isakmp policy 10 group 5 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre−share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 tunnel−group 10.20.20.1 type ipsec−l2l !−−− Pour créer et gérer la base de données des enregistrements !--- spécifiques-connexion pour les tunnelsipsec-l2l (LAN−to−LAN) !--- utilisez la commande tunnel−group en mode de configuration !--- global. Pour les connexions L2L le nom de groupe du tunnel !--- doit être l'adresse de l'extrémité IPSec. tunnel−group 10.20.20.1 ipsec−attributes pre−shared−key * !−−− Entrez la clé pré−partagée pour configurer la méthode !--- d'authentification. telnet timeout 5 ssh timeout 5 console timeout 0 ccnp_cch

ccnp_cch ! class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf : end PIX-02 PIX Version 7.1(1) ! hostname pixfirewall domain−name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address 10.20.20.1 255.255.255.0 interface Ethernet1 nameif inside security−level 100 ip address 172.16.1.1 255.255.255.0 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS access−list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0 ccnp_cch

!−−− Notez que cette ACL est un mirroir de inside_nat0_outbound !−−− sur le pix515−704. access−list outside_cryptomap_20 extended permit ip 172.16.1.0 255.255.255.0 172.22.1.0 255.255.255.0 !--- Notez que cette ACL est un mirroir de outside_cryptomap_20 pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image flash:/asdm−511.bin no asdm history enable arp timeout 14400 nat (inside) 0 access−list inside_nat0_outbound timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 0.0.0.0 0.0.0.0 inside no snmp−server location no snmp−server contact crypto ipsec transform−set ESP−AES−256−SHA esp−aes−256 esp−sha−hmac crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set peer 10.10.10.1 crypto map outside_map 20 set transform−set ESP−AES−256−SHA crypto map outside_map interface outside isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption aes−256 isakmp policy 10 hash sha isakmp policy 10 group 5 isakmp policy 10 lifetime 86400 tunnel−group 10.10.10.1 type ipsec−l2l tunnel−group 10.10.10.1 ipsec−attributes pre−shared−key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic ccnp_cch

Effacement les associations de sécurité policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:6774691244870705f858ad4e9b810874 : end pixfirewall# Effacement les associations de sécurité Utilisez les commandes suivantes en mode privilégié : ● clear [crypto] ipsec sa - Efface les SAs IPsec actives. Le mot-clé crypto est optionnel. ● clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot-clé crypto est ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. S'il y a du trafic "intéressant" vers l'autre extrémité, le tunnel est établi entre le pix515-704 et le PIX-02. 1. Afficher l'état du VPN sous Home dans l'ASDM pour vérifier les informations du tunnel. ccnp_cch

2. Choisissez Monitoring>VPN>VPN Connection Graphs> IPSec Tunnels pour véri- fier les détails sur l'établissement du tunnel. 3. Cliquez sur Add pour sélectionner les graphiques disponibles afin de voir la fenêtre du graphique. ccnp_cch

4. Cliquez sur Show Graphs pour afficher les graphiques IKE et les tunnels actifs. ccnp_cch

5. Choisissez Monitoring>VPN>VPN Statistics> Global IKE/ IPSec Statistics pour afficher les statistiques du tunnel VPN. Vous pouvez également vérifier la formation du tunnel avec la CLI. Entrez la comman- de show crypto isakmp sa pour vérifier la formation de tunnels et entrez la comman- de show crypto ipsec sa pour observer le nombre de paquets encapsulés, cryptés, ... pix515-704 pixfirewall(config)#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 10.20.20.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ccnp_cch

ccnp_cch PIX-02 pixfirewall(config)#show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 20, local addr: 10.10.10.1 access−list outside_cryptomap_20 permit ip 172.22.1.0 255.255.255.0 172.16.1.0 255.255.255.0 local ident (addr/mask/prot/port): (172.22.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) current_peer: 10.20.20.1 #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20 #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 20, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.20.20.1 path mtu 1500, ipsec overhead 76, media mtu 1500 current outbound spi: 44532974 inbound esp sas: spi: 0xA87AD6FA (2826622714) transform: esp−aes−256 esp−sha−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: outside_map sa timing: remaining key lifetime (kB/sec): (3824998/28246) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x44532974 (1146300788) sa timing: remaining key lifetime (kB/sec): (3824998/28245) ccnp_cch

Résolution de problèmes Management-access Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. L'interface interne du PIX ne peut pas être pinguée depuis l'autre extrémité du tunnel à moins que la commande management-access soit configurée en mode de configura- tion global. PIX−02(config)# management−access inside PIX−02(config)# show management−access management−access inside Commandes debug debug crypto isakmp - Affiche les informations de debug sur les connexions IPSec et montre le premier ensemble d'attributs qui sont rejetés à cause d'un incompatibilité entre les deux extrémités. debug crytpo isakmp pixfirewall(config)#debug crypto isakmp 7 Nov 27 12:01:59 [IKEv1 DEBUG]: Pitcher: received a key acquire message,spi 0x0 Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE Initiator: New Phase 1, Intf 2, IKE Peer 10.20.20.1 local Proxy Address 172.22.1.0, remote Proxy Address 172.16.1.0, Crypto map (outside_map) Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ISAKMP SA payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Fragmentation VID + extended capabilities payload Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 148 Nov 27 12:01:59 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 112 Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing SA payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Oakley proposal is acceptable Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Fragmentation VID Nov 27 12:01:59 [IKEv1 DEBUG]: IP = 10.20.20.1, IKE Peer included IKE fragmentation capability flags : Main Mode: True Aggressive Mode: True Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing ke payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing Cisco Unity VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing xauth V6 VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send IOS VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Constructing ASA spoofing IOS ccnp_cch

ccnp_cch Vendor ID payload (version: 1.0.0, capabilities: 20000001) Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, constructing VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Send Altiga/ Cisco VPN3000/Cisco ASA GW VID Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 320 Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 320 Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ke payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing ISA_KE payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, processing VID payload Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Cisco Unity client VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received xauth V6 VID Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Processing VPN3000/ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001) Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Received Altiga/Cisco VPN3000/Cisco ASA GW VID Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1 Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, Generating keys for Initiator... Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, constructing ID payload constructing hash payload Computing hash for ISAKMP Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Constructing IOS keep alive payload: proposal=32767/32767 sec. constructing dpd vid payload with payloads : HDR + ID (5) + HASH (8) + IOS KEEPALIVE (14) + VENDOR (13) + NONE (0) total length : 119 Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message (msgid=0) NONE (0) total length : 96 processing ID payload ccnp_cch

ccnp_cch processing hash payload Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, Computing hash for ISAKMP Nov 27 12:02:00 [IKEv1 DEBUG]: IP = 10.20.20.1, Processing IOS keep alive payload: proposal=32767/32767 sec. processing VID payload Received DPD VID Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Connection landed on tunnel_group 10.20.20.1 Oakley begin quick mode Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, PHASE 1 COMPLETED Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, Keep−alive type for this connection: DPD Starting phase 1 rekey timer: 73440000 (ms) Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, IKE got SPI from key engine: SPI = 0x44ae0956 oakley constucting quick mode constructing blank hash payload constructing IPSec SA payload constructing IPSec nonce payload constructing proxy ID Transmitting Proxy Id: Local subnet: 172.22.1.0 mask 255.255.255.0 Protocol 0 Port 0 Remote subnet: 172.16.1.0 Mask 255.255.255.0 Protocol 0 Port 0 constructing qm hash payload Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=d723766b) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NOTIFY (11) + NONE (0) total length : 200 Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE RECEIVED Message : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0) total length : 172 processing SA payload ccnp_cch

ccnp_cch debug crytpo isakmp processing nonce payload Nov 27 12:02:00 [IKEv1 DEBUG]: Group = 10.20.20.1, IP = 10.20.20.1, processing ID payload loading all IPSEC SAs Generating Quick Mode Key! Nov 27 12:02:00 [IKEv1]: Group = 10.20.20.1, IP = 10.20.20.1, Security negotiation complete for LAN−to−LAN Group (10.20.20.1) Initiator, Inbound SPI = 0x44ae0956, Outbound SPI = 0x4a6429ba oakley constructing final quick mode Nov 27 12:02:00 [IKEv1]: IP = 10.20.20.1, IKE_DECODE SENDING Message (msgid=d723766b) with payloads : HDR + HASH (8) + NONE (0) total length : 76 IKE got a KEY_ADD msg for SA: SPI = 0x4a6429ba Pitcher: received KEY_UPDATE, spi 0x44ae0956 Starting P2 Rekey timer to expire in 24480 seconds PHASE 2 COMPLETED (msgid=d723766b) debug crypto ipsec - Affiche les informations de debug sur les connexions IPSec. debug crytpo isakmp pix1(config)#debug crypto ipsec 7 exec mode commands/options: <1−255> Specify an optional debug level (default is 1) <cr> pix1(config)# debug crypto ipsec 7 pix1(config)# IPSEC: New embryonic SA created @ 0x024211B0, SCB: 0x0240AEB0, Direction: inbound SPI : 0x2A3E12BE Session ID: 0x00000001 VPIF num : 0x00000001 Tunnel type: l2l Protocol : esp Lifetime : 240 seconds ccnp_cch

ccnp_cch IPSEC: New embryonic SA created @ 0x0240B7A0, SCB: 0x0240B710, Direction: outbound SPI : 0xB283D32F Session ID: 0x00000001 VPIF num : 0x00000001 Tunnel type: l2l Protocol : esp Lifetime : 240 seconds IPSEC: Completed host OBSA update, SPI 0xB283D32F IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F Flags: 0x00000005 SA : 0x0240B7A0 SPI : 0xB283D32F MTU : 1500 bytes VCID : 0x00000000 Peer : 0x00000000 SCB : 0x0240B710 Channel: 0x014A45B0 IPSEC: Completed outbound VPN context, SPI 0xB283D32F VPN handle: 0x02422618 IPSEC: Completed outbound inner rule, SPI 0xB283D32F Rule ID: 0x01FA0290 IPSEC: New outbound permit rule, SPI 0xB283D32F Src addr: 10.10.10.1 Src mask: 255.255.255.255 Dst addr: 10.20.20.1 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0xB283D32F Use SPI: true IPSEC: Completed outbound permit rule, SPI 0xB283D32F Rule ID: 0x0240AF40 IPSEC: Completed host IBSA update, SPI 0x2A3E12BE IPSEC: Creating inbound VPN context, SPI 0x2A3E12BE Flags: 0x00000006 SA : 0x024211B0 SPI : 0x2A3E12BE MTU : 0 bytes Peer : 0x02422618 SCB : 0x0240AEB0 ccnp_cch

ccnp_cch IPSEC: Completed inbound VPN context, SPI 0x2A3E12BE VPN handle: 0x0240BF80 IPSEC: Updating outbound VPN context 0x02422618, SPI 0xB283D32F Flags: 0x00000005 SA : 0x0240B7A0 SPI : 0xB283D32F MTU : 1500 bytes VCID : 0x00000000 Peer : 0x0240BF80 SCB : 0x0240B710 Channel: 0x014A45B0 IPSEC: Completed outbound VPN context, SPI 0xB283D32F VPN handle: 0x02422618 IPSEC: Completed outbound inner rule, SPI 0xB283D32F Rule ID: 0x01FA0290 IPSEC: Completed outbound outer SPD rule, SPI 0xB283D32F Rule ID: 0x0240AF40 IPSEC: New inbound tunnel flow rule, SPI 0x2A3E12BE Src addr: 172.16.1.0 Src mask: 255.255.255.0 Dst addr: 172.22.1.0 Dst mask: 255.255.255.0 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x00000000 Use SPI: false IPSEC: Completed inbound tunnel flow rule, SPI 0x2A3E12BE Rule ID: 0x0240B108 IPSEC: New inbound decrypt rule, SPI 0x2A3E12BE Src addr: 10.20.20.1 Src mask: 255.255.255.255 Dst addr: 10.10.10.1 Dst mask: 255.255.255.255 Op : ignore Protocol: 50 Use protocol: true SPI: 0x2A3E12BE Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0x2A3E12BE Rule ID: 0x02406E98 ccnp_cch

ccnp_cch IPSEC: New inbound permit rule, SPI 0x2A3E12BE Src addr: 10.20.20.1 Src mask: 255.255.255.255 Dst addr: 10.10.10.1 Dst mask: 255.255.255.255 Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0x2A3E12BE Use SPI: true IPSEC: Completed inbound permit rule, SPI 0x2A3E12BE Rule ID: 0x02422C78 ccnp_cch