W odniesieniu do postu o konfiguracji ikev2 po stronie Cisco ASA, przyszedł czas na konfigurację routera.
W tym przypadku konfiguracja pod IOS zawiera kilka nowych elementów, ale cześć z nich nadal jest taka sama.
Konfiguracja IKEv2 Policy
W pierwszej kolejności tworzymy tzw „proposal” w którym określamy wszytkie parametry fazy 1szej:
crypto ikev2 proposal IK2.PROP encryption 3des aes-cbc-256 integrity md5 sha256 group 2 14
Następnie tworzymy crypto policy w której określamy nasz proposal:
crypto ikev2 policy IK2.POL proposal IK2.PROP
Aby skonfigurować pre-shared-key tworzymy tzw keyring.
Tak jak na ASA, definiujemy zdalną i lokalną wartośc PSK:
crypto ikev2 keyring KR1 peer ASALAB address 200.1.1.2 pre-shared-key local CISCO pre-shared-key remote OCSIC
Na koniec tworzymy profil w którym zbieramy wszystko w całość:
crypto ikev2 profile IK2.PROF match identity remote address 200.1.1.2 255.255.255.255 identity local address 200.1.1.1 authentication remote pre-share authentication local pre-share keyring local KR1
Konfiguracja IPSEC
Tutaj konfiguracja pozostaje taka sama jak do tej pory, czyli np:
crypto ipsec transform-set TS.VPN2 esp-aes 256 esp-md5-hmac
Definicja crypto-map’y
Pamiętać należy o ACL-ce łapiącej ruch kierowany do tunelu:
ip access-list extended ACL.VPNIKE2 permit ip host 10.10.10.2 host 10.20.20.1
No i sama crypto-map’a. Tutaj jedynie nową pozycją jest definicja stworzonego wcześniej profilu ikev2.
crypto map CM.VPN 30 ipsec-isakmp set peer 200.1.1.2 set transform-set TS.VPN2 set pfs group2 set ikev2-profile IK2.PROF match address ACL.VPNIKE2
Oczywiście pamiętać trzeba o przyczepieniu crypto-map’y do interfejsu outside.
Weryfikacja
Po wygenerowaniu jakiegoś ruchu, można podejrzeć stan sesji przy użyciu poniższych poleceń.
RTR.PP#sh crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 2 200.1.1.1/500 200.1.1.2/500 none/none READY Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/28 sec IPv6 Crypto IKEv2 SA
RTR.PP#sh crypto ikev2 session IPv4 Crypto IKEv2 Session Session-id:48, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote fvrf/ivrf Status 5 200.1.1.1/500 200.1.1.2/500 none/none READY Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:2, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/36 sec Child sa: local selector 10.10.10.2/0 - 10.10.10.2/65535 remote selector 10.20.20.1/0 - 10.20.20.1/65535 ESP spi in/out: 0xB077FECC/0x3CDB3BDF
Jak widać po stronie routera konfig trochę bardziej się różni, zwłaszcza jeśli chodzi o cześć fazy 1-szej.
Miłej zabawy 🙂