mardi 26 septembre 2017

Cisco ASA – Site-to-Site VPN

La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est possible de réaliser des VPN site à site, mais aussi des VPN pour un accès distant. Dans cet article nous verrons comment configurer un VPN site à site entre deux ASA.
Etant donné la quantité de paramètre pour la mise en place d’un VPN, la configuration n’est pas toujours aisée. Heureusement, l’ASA propose un Wizard facilitant grandement le paramétrage.

Infrastructure de test


Pour cet exemple, deux ASAs sont utilisés. Ils possèdent un paramétrage basique : un réseau local, un accès internet, du Dynamique PAT vers internet et du filtrage (firewall) sur le trafic venant de l’extérieur.
Voici un schéma de l’installation.
Sur les captures ci-dessous, vous verrez apparaitre un réseau 10.0.1.0 /24 présent sur les deux ASA. Il s’agit du réseau utilisé pour le management. Il n’entre pas en compte pour la configuration du VPN.

Configuration de l’ASA No 1

La configuration des deux ASA sera relativement similaire. Le Wizard sera utilisé pour réaliser une première configuration. Il sera toujours possible de modifier cette dernière par la suite.

Configuration des Objets

Il convient ici de créer deux objets. Un qui représente le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24) et un autre qui représente le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0 /24).

Configuration du VPN de l’ASA 1 vers l’ASA 2

Nous pouvons à présent commencer la configuration du VPN sur l’ASA 1. Pour cela, lancer le Wizard pour le VPN Site-to-Site.
Dans l’écran suivant, vous avez le choix entre la configuration rapide ou la configuration avancée. Pour monter un VPN entre deux ASAs, la configuration rapide peut être suffisante. Les paramètres peuvent être édités par la suite, même si cela peut entrainer des erreurs de configuration.
La configuration rapide propose une authentification par clé partagée et accepte de nombreuses méthodes de sécurité.
La configuration avancée permet l’authentification par certificat et permet de choisir les méthodes de sécurité autorisées ainsi que l’activation du PFS – Perfect Forward Secrecy (nouvel échange Diffie Hellman à chaque négociation de phase 2).
L’option suivante correspond au NAT Exempt. Cela permet d’éviter que le trafic venant du réseau choisi ne soit NATé lors de son passage dans le VPN. Il est donc important d’activer cette option pour tous les réseaux locaux concernés par le VPN (ici seulement le Vlan 10).
Le Wizard est terminé. Vous pouvez voir que par défaut l’ASA accepte de très nombreux paramètres pour le VPN.

Configuration de l’ASA No 2

Configuration des objets

Comme pour l’ASA 1, il convient de créer deux objets. L’un pour le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0 /24) l’autre pour le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24).

Configuration du VPN de l’ASA 2 vers l’ASA 1




Initialisation, Test, Troubleshooting et personnalisation du VPN

A présent, vous pouvez envoyer du trafic dans le VPN pour l’initier. Un Ping d’un client du côté A vers un client du côté B fera l’affaire.
Attention tout de même, selon comment votre ASA est paramétré, les Ping peuvent ne pas passer. D’autres tests peuvent être plus révélateurs. Par exemple, il est possible de lancer un mini serveur Web sur un client et de tenter de s’y connecter à l’aide d’un navigateur WEB (attention au FW des postes).
Une fois l’initialisation faite, il est possible de consulter l’état du VPN et le protocole de chiffrement utilisé. Le bouton Details permet d’obtenir plus d’information.
Si la session n’est pas montée, la première chose à faire est de consulter les logs depuis la page home.
Si la session n’est pas montée, une nouvelle tentative sera réalisée de manière régulière.
Vous pourrez alors voir si un message d’erreur apparait.
Si le tunnel est monté, mais qu’un test de connexion de bout en bout (entre deux clients) ne donne rien, c’est qu’il faut chercher dans les paramétrages des ASA.
Il convient de vérifier la configuration NAT de chaque ASA. En effet, dans un scénario classique, les deux réseaux locaux sont placés derrière un NAT. Si la fonction NAT Exempt a été activée durant le Wizard, la configuration devrait être de ce type.
Vous constaterez que la règle NAT Exempt du VPN est placée en première. La deuxième règle est la règle de Dynamic PAT pour internet. Si cette dernière était placée avant la règle NAT Exempt du VPN, le trafic à destination du VPN serait NATé.
Il convient ensuite de vérifier que la règle Policy Rule autorise le trafic voulu à passer (ICMP, http, etc…).
Ensuite, il est possible de vérifier l’ACL créée par le Wizard. Celle-ci doit autoriser le réseau local à joindre le réseau distant.
Sinon, il est possible de consulter les écrans de configuration du VPN en lui-même.
Cela peut aussi être l’occasion de modifier certains paramètres (clé partagée, sous-réseaux concernés, paramètres IKE et IPsec, PFS, NAT Exempt, etc…).
Le menu Advenced propose des écrans de configuration importants.

Cisco ASA – Configuration du NAT

Le NAT est l’un des points clés de la configuration d’un ASA Cisco. Sa configuration n’est pas particulièrement difficile, du moment que la théorie du NAT est bien maitrisée. Nous verrons notamment comment mettre en place du Dynamic PAT (utile pour l’accès internet), du Static NAT (utile pour rendre des serveurs accessibles depuis internet), ou encore du Dynamic NAT.

Théorie sur le NAT

Avant d’évoquer la configuration du NAT, je vous propose quelques rappels sur le fonctionnement du NAT et notamment les différents types de NAT qui existent.

Tout d’abord, le NAT – Network Address Translation  permet de faire la translation entre les IP publiques et privées. Il a été développé pour pallier au manque d’IPv4. En IPv6 le NAT devient obsolète.

Il existe différents types de NAT.

Static NAT

Mappe une unique adresse IP privée à une unique adresse IP publique de manière permanente.
On parle de translation One-to-One. Il faut une adresse IP publique par adresse IP privée.
Ce type de NAT est tout indiqué pour rendre un serveur local accessible depuis internet.

Dynamic NAT

Mappe plusieurs adresses IP privées non-enregistrées à un pool d’adresses IP publiques enregistrées.
On parle de translation Many-to-Many.
Un pool d’adresses IP privées concernées par le NAT est défini. Par exemple le range 10.0.1.100  à 10.0.1.200.
Un pool d’adresses IP publiques est défini. Par exemple 198.51.100.31 à 198.51.100.33.
Quand une machine locale (donc avec une IP interne de .100 à .200) veut accéder à internet, le routeur lui assigne dynamiquement une IP du Pool d’IP publiques.
Une fois le Pool épuisé, il faut attendre qu’une IP publique se libère. L’IP publique est assignée à la machine locale tant que cette dernière envoie du trafic vers internet régulièrement.

Voici un exemple de fonctionnement dans le temps.
Un paquet avec pour IP source 10.0.1.101 veut sortir. L’IP est convertie en 198.51.100.31
Un paquet avec pour IP source 10.0.1.102 veut sortir. L’IP est convertie en 198.51.100.32
Un paquet avec pour IP source 10.0.1.103 veut sortir. L’IP est convertie en 198.51.100.33
Un paquet avec pour IP source 10.0.1.104 veut sortir. Le pool est épuisé, l’adresse ne peut être translatée. Seuls les paquets ayant pour source 10.0.1.101 .102 ou .103 peuvent sortir.

Si par la suite la machine 10.0.1.101 n’envoie plus de trafic vers internet, l’IP publique  198.51.100.31 sera libérée. Elle pourra alors être assignée à une nouvelle machine.

PAT ou Dynamic NAT Overloading ou Dynamic PAT (Hide)

Plusieurs termes sont couramment utilisés pour définir ce type de NAT.
Il mappe plusieurs adresses IP privées à une adresse IP publique.
On parle de translation Many-to-One.
C’est grâce à ce type de NAT qu’un ensemble de machines sur un réseau privé peuvent accéder en simultané à internet à l’aide d’une seule IP publique.
Si vous souhaitez allez plus loin, voici le fonctionnement plus en détail. Attention le fonctionnement peut différer selon le routeur, notamment la façon dont le port source est manipulé (voir plus bas).
Un pool d’adresses IP privées concernées par le NAT est défini. Par exemple le range 10.0.1.100  à 10.0.1.200.
Une IP publique est définie. Par exemple 198.51.100.30.
Quand un paquet ayant comme IP source une IP privée (comprise dans le Pool d’adresses IP privées) veut sortir sur internet, le routeur remplace son IP source par l’IP publique définie et retient le port source (il enregistre la correspondance IP privé / port source dans une table).
Lors-ce-que le paquet réponse arrive sur l’interface publique, le routeur regarde le port de destination (et consulte la table) pour savoir à quelle machine envoyer le paquet.
Voici un exemple pour une requête http d’une machine sur le LAN vers une machine sur internet.
Paquet sortant avant le NAT
  • IP source : 10.0.1.100
  • Port source 1050
  • IP destination : 1.1.1.1
  • Port destination : 80
Le routeur doit remplacer l’IP source (qui est actuellement l’IP privée de la machine qui initie la requête) par l’IP de son interface publique. Il note dans la table NAT que le port 1050 correspond à l’IP privée 10.0.1.100.
Paquet sortant après le NAT
  • IP source : 198.51.100.30
  • Port source 1050
  • IP destination : 1.1.1.1
  • Port destination : 80
Paquet réponse avant le NAT :
  • IP source : 1.1.1.1
  • Port source 80
  • IP Destination : 198.51.100.30
  • Port destination : 1050
Le routeur doit maintenant remplacer l’IP de destination (qui est pour le moment celle de son interface publique) par l’IP de la machine locale qui a initié la requête. Pour cela il regarde dans la table NAT pour trouver l’IP correspondant au port 1050.
Paquet réponse après le NAT :
  • IP source : 1.1.1.1
  • Port Source 80
  • IP Destination : 10.0.1.100
  • Port destination : 1050
Si en parallèle une machine ayant pour IP source 10.0.1.101 envoie elle aussi une requête http avec comme port source 1051, le routeur va noter dans sa table NAT que le port 1051 correspond à l’IP 10.0.1.101. Et ainsi de suite.
C’est donc grâce au port source que le PAT permet à plusieurs IP privées d’utiliser la même IP publique.
Mais que se passe-t-il si deux machines locales envoient chacune un paquet avec le même port source ? Pour la première machine qui envoie son paquet au routeur, rien ne change par rapport au scénario précédent. Pour la deuxième machine, le port source sera remplacé le temps du voyage sur internet et sera restauré lors de la réponse.
 Reprenons le scénario précédent.
10.0.1.100 a envoyé son paquet comme précédemment, avec comme port source 1050.
10.0.1.101 envoie à présent un paquet avec comme port source 1050.
Le scénario sera alors le suivant.
 Paquet sortant avant le NAT
  • IP source : 10.0.1.101
  • Port Source 1050
  • IP Destination : 1.1.1.1
  • Port destination : 80
 Paquet sortant après le NAT
  • IP source : 10.0.1.101
  • Port Source 1051 (ou un autre port choisi aléatoirement)
  • IP Destination : 1.1.1.1
  • Port destination : 80
 Paquet réponse avant le NAT :
  • IP source : 1.1.1.1
  • Port Source 80
  • IP Destination : 198.51.100.30
  • Port destination : 1051
 Paquet réponse après le NAT :
  • IP source : 1.1.1.1
  • Port Source 80
  • IP Destination : 10.0.1.101
  • Port destination : 1050
 Tous les routeurs n’implémentent pas le PAT de la même manière. Certains tentent de conserver le port source si il est disponible (cas exposé ci-avant). Certains le change dans tous les cas par un port choisi aléatoirement.
Dans tous les cas, les entrées dans la table NAT sont supprimées après un certain temps si elles ne sont plus utilisées (par exemple après 30 secondes).
 Pour l’ASA, il tente de conserver le port source s’il est disponible. Si il n’est pas disponible, l’ASA choisi aléatoirement un port dans le même range que le port source.
Les ranges sont les suivants :
  • 0 – 511
  • 512 – 1023
  • 1024 – 65 535
Il est aussi possible d’activer une option appelée Flate Range qui permet l’utilisation d’un seul range allant de 1024 à 65 535 ou 1 à 65 535 au lieu des trois ranges. Cela est utile s’il y a beaucoup de trafic utilisant les ports sources allant de 1 à 1023.
 Enfin, notons qu’il est possible de faire exactement la même chose avec un Pool d’IP publiques. Le principe reste le même, mais plusieurs IP publiques peuvent être utilisées. Le PAT se fait équitablement avec les deux IP publiques.

Static PAT

Il mappe un port d’une IP publique à un couple IP port d’une machine locale.
Il est alors possible de rendre plusieurs serveurs locaux accessibles à travers internet à l’aide d’une seule IP publique, à condition que les ports soient différents.
 Nous pourrions par exemple définir les translations suivantes :
IP publique 198.51.100.30 et port 80 -> IP privé 10.0.1.10 port 80
IP publique 198.51.100.30 et port 22 -> IP privé 10.0.1.20 port 22
IP publique 198.51.100.30 et port 25 -> IP privé 10.0.1.30 port 25
 De cette manière, si un paquet arrive sur l’interface publique avec le port 80 comme port de destination, il sera transmis à la machine 10.0.1.10 sur le port 80.
Si un paquet arrive sur le port 22, il est transmis à la machine 10.0.1.20.
 Il est même possible de changer le port dans l’opération.
IP publique 198.51.100.30 et port 110 -> IP privée 10.0.1.40 port 80

Dynamic PAT (Hide)

Le Startup Wizard propose de mettre en place du Dynamic PAT.
Sinon, la configuration manuelle se fait comme ceci.
Si toutes les machines locales doivent avoir accès à internet, vous pouvez utiliser any comme source address dans Match Criteria : Original Packet.
Sinon, il est préférable d’utiliser un Network Object ou un Network Group faisant référence aux réseaux locaux concernés par la règle NAT.

Static NAT / PAT

La configuration est sensiblement la même pour le NAT statique et le PAT statique. Cela dépend des ports spécifiés dans la configuration. Les configurations ci-dessous sont des configurations Static PAT. Pour réaliser du Static NAT, il ne faut pas spécifier de port et choisir une adresse qui sera dédiée à l’IP locale.
Pour mettre en place ce type de règle NAT il faut utiliser des Network Objects. Par exemple, pour rendre accessible un serveur depuis internet, il convient tout d’abord de créer un objet pointant vers l’IP locale du serveur. Puis de créer un deuxième objet pointant vers l’IP publique du serveur. Si l’IP publique utilisée est celle de l’interface outside de l’ASA, il est possible de se passer du deuxième objet.
 Voici comment réaliser une règle de NAT statique permettant d’exposer un serveur local sur internet.
La configuration se fait directement dans l’objet représentant le serveur local.
Il faut pour cela activer l’option NAT, et remplir les champs.
Voici les explications des champs :
  • Type: type de NAT, ici nous utilisons du NAT statique
  • Translated Addr: adresse de translation, ici l’adresse de l’interface outside, donc l’IP publique de l’ASA. Pour utiliser une autre IP que l’IP publique de l’ASA, choisir un autre objet
  • Source interface: interface source, ici l’interface inside car nous définissons la règle sur l’objet local
  • Destination Interface: l’inverse de ci-dessus
  • Protocole: TCP / UDP
  • Real Port: port à exposer en local
  • Mapped Port: port à exposer sur internet
Si le serveur WEB utilise le port 8080, mais que nous voulons exposer le port 80 sur internet, il faut mettre Real Port à 8080 et Mapped Port à 80. La règle fera la translation.
 Pour rendre un serveur accessible depuis Internet, les versions « récentes » de l’ASDM proposent un menu spécifique facilitant la configuration. Cela permet de faire plus ou moins la même chose que précédemment.
Avec cette méthode il est possible de spécifier plusieurs services ou de faire appel à un Service Group.
En revanche, l’outil de création refuse d’utiliser l’IP publique de l’ASA comme IP publique (du moins dans la version de l’ASDM que je possède).
Dans tous les cas, cela créé une configuration NAT dans l’objet concerné, à la manière de la méthode précédente. Il faut toutefois noter que les services concernés ne sont visibles que depuis l’interface Public Servers et non depuis Object -> Network Object.

Cela a pour effet de créer automatiquement la règle NAT adéquate.
L’option Specify Public Service if different… permet modifier le port durant la translation. De cette manière, le service public peut être diffèrent du service privé. Par exemple, il est possible de faire en sorte qu’un accès sur le port 2000 de l’IP public, redirige vers le port 80 de l’IP privé du serveur.
 Il est aussi possible de configurer du NAT statique depuis l’onglet NAT Rules, comme les autres règles NAT. Il faut alors créer une Network Object NAT Rule. Il est alors demandé de créer un objet et la configuration se fait de la même manière que pour la création d’une règle NAT à partir d’un objet existant.
Donc si l’objet local existe déjà, vous pouvez créer la règle NAT en éditant ce dernier. S’il n’existe pas, vous pouvez le créer en même temps que la règle NAT depuis l’onglet NAT Rules.
 Voici ce que donne la création et / ou l’édition d’une règle de NAT statique depuis l’onglet NAT Rules.
Enfin, quel que soit la méthode retenue, la règle NAT créée est visible depuis l’interface NAT Rules.
Pour rendre accessible le serveur depuis internet, la règle NAT n’est pas suffisante. En effet, par défaut le trafic sera bloqué par l’ASA. Il faut donc créer une règle qui autorise le trafic voulu à rentrer.
Voici un exemple de configuration.
L’adresse de destination se doit d’être l’adresse locale du serveur.

Dynamic NAT

Le Nat dynamique permet d’utiliser un Pool d’adresses publiques pour l’accès à internet.
 La première étape est donc de créer un pool d’adresses publiques. Ce pool ne doit pas contenir l’IP publique de l’ASA.
Il est ensuite possible de créer la règle de NAT dynamique en utilisant l’option Dynamic dans Source NAT Type.
Avec cette configuration, le pool sera utilisé pour remplacer l’IP sources des paquets sortant. Une fois le pool épuisé, il faudra attendre qu’une IP du pool se libère avant de pouvoir translater des nouvelles adresses internes.
Voici un exemple de fonctionnement dans le temps.
Un paquet avec pour IP source 10.0.1.10 veut sortir. L’IP est convertie en 10.0.2.250
Un paquet avec pour IP source 10.0.1.11 veut sortir. L’IP est convertie en 10.0.2.251
Un paquet avec pour IP source 10.0.1.12 veut sortir. L’IP est convertie en 10.0.2.252
Un paquet avec pour IP source 10.0.1.13 veut sortir. Le pool est épuisé, l’adresse ne peut être translatée. Seuls les paquets ayant pour source 10.0.1.10 .11 ou .12 peuvent sortir.
Pour pallier à ce problème, il est possible d’activer l’option Fall Through to interface PAT. Cela a pour effet d’utiliser l’IP publique de l’interface de sortie (outside) comme IP source si le pool est épuisé.
L’exemple précédent devient alors :
Un paquet avec pour IP source 10.0.1.10 veut sortir. L’IP est convertie en 10.0.2.250
Un paquet avec pour IP source 10.0.1.11 veut sortir. L’IP est convertie en 10.0.2.251
Un paquet avec pour IP source 10.0.1.12 veut sortir. L’IP est convertie en 10.0.2.252
Un paquet avec pour IP source 10.0.1.13 veut sortir. L’IP est convertie en 10.0.2.254
Un paquet avec pour IP source 10.0.1.14 veut sortir. L’IP est convertie en 10.0.2.254
Etc…
Il est aussi possible d’utiliser l’option PAT Pool Translated Address. Cela permet de réaliser du NAT dynamique avec PAT.
La configuration se fait comme ceci.
Il est important de cocher l’option Round Robin, sinon seule la première IP du pool sera utilisée.
Le scénario précédent devient alors :
Un paquet avec pour IP source 10.0.1.10 veut sortir. L’IP est convertie en 10.0.2.250
Un paquet avec pour IP source 10.0.1.11 veut sortir. L’IP est convertie en 10.0.2.251
Un paquet avec pour IP source 10.0.1.12 veut sortir. L’IP est convertie en 10.0.2.252
Un paquet avec pour IP source 10.0.1.13 veut sortir. L’IP est convertie en 10.0.2.250
Un paquet avec pour IP source 10.0.1.14 veut sortir. L’IP est convertie en 10.0.2.251