CISCO ASA VPN sitio a sitio con PSK

Juan Jose Diaz Antuña

La conexión VPN sitio a sitio con ASA no es muy distinta a la de un PIX o un router.
Pasos a dar:
1-Politica ISAKMP o IKE Phase1:

Authentication:PSK
Hash: MD5 oSHA
Encryption: DES,3DES,AES
Group: 1,2 o 5

2-IPSEC Transform set

3-Crypto ACL : Definicion de trafico interesante o iniciadores del tunel.

4-Definicion del Crypto Map

5-Aplicacion del Crypto Map al interfaz

Ejemplo:

asaConfiguracion del ASA A

 

Politica ISAKMP (IKE Phase1) 

ASA-A(config)#crypto isakmp policy 10

ASA-A(config-isakmp)#encryption des 

ASA-A(config-isakmp)#hash md5

ASA-A(config-isakmp)#authentication pre-share

ASA-A(config-isakmp)#group 2   

ASA-A(config-isakmp)#exit  

Clave compartida PSK

ASA-A(config)#crypto isakmp key office address 20.1.1.20

Lista de Acceso definiendo el trafico interesante

ASA-A(config)#access-list 100 permit ip host 20.1.1.10 host 20.1.1.20

Creacion del TransfromSet (IKE Phase2)

ASA-A(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

Creacion del Crypto Map

ASA-A(config)#crypto map imap 10 ipsec-isakmp 

ASA-A(config)# crypto map imap 10 match address 100   

ASA-A(config)# crypto map imap 10 set transform-set ts2

ASA-A(config)# crypto map imap 10 set peer 20.1.1.20 

Aplicamos el CryptoMap alinterfaz externo

ASA-A(config)# crypto map imap interface outside

 (Apply crypto map on outside interface)

ASA-A(config)# crypto isakmp enable outside

Configuration of ASA on side B 

ASA-B(config)#crypto isakmp policy 10

ASA-B(config-isakmp)#encryption des 

ASA-B(config-isakmp)#hash md5

ASA-B(config-isakmp)#authentication pre-share

ASA-B(config-isakmp)#group 2   

ASA-B(config-isakmp)#exit  

ASA-B(config)#crypto isakmp key office address 20.1.1.10

ASA-B(config)#access-list 100 permit ip host 20.1.1.20 host 20.1.1.10

ASA-B(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

ASA-B(config)#crypto map imap 10 ipsec-isakmp 

ASA-B(config)# crypto map imap 10 match address 100   

ASA-B(config)# crypto map imap 10 set transform-set ts2

ASA-B(config)# crypto map imap 10 set peer 20.1.1.10 

ASA-B(config)# crypto map imap interface outside 

ASA-B(config)# crypto isakmp enable outside

ASA-B(config)# ping 20.1.1.10