Easy VPN罪恶的温柔.docx

Easy VPN罪恶的温柔.docx

《Easy VPN罪恶的温柔.docx》由会员分享，可在线阅读，更多相关《Easy VPN罪恶的温柔.docx（13页珍藏版）》请在冰豆网上搜索。

EasyVPN罪恶的温柔

EasyVPN

实验拓扑：

Remote_PC采用桥接到Vmware中的XP（桥接方法见：

《802.1x认证基本实验》）在Vmware中的XP中安装思科的VPN客户端软件，图中下方两个路由器也做EzVPN_Client，分别使用两种模式。

R3做公司的VPN服务器，Sverver为公司内网的资源服务器供远程访问。

1.配置IP

先做Remote_PC软件Client，两个EzVPN_Client路由器先无视。

2.在R1、R3上配置默认路由，R2配置ip就行了。

并将Remote_PC和Server的网关指向所连接的路由器。

R1：

在R1上做NAT让R1的内网能够访问互联网，

R3：

做完NAT后测试内网能不能访问互联网：

Remote_PC：

Server:

接下来的是关键：

在R3上配置VPN服务器：

①创建本地用户

usernameuser1passuser1//用于拨号认证

②AAA//Xauth认证用户名跟密码，引入AAA，所以在配置的时候要配置AAA认证

aaanew-model

aaaauthenticationloginVPN-authlocal

aaaauthorzationnetworkVPN-authlccal

-------------------------------------------------------------------------------

③定义IKE策略//IKE第1阶段

cryptoisakmppolicy1

authenticationpre-share

group2

encryption3des

hashmd5

④配置客户端推送策略

cryptoisakmpclientconfigurationgroupVPN-group

keycisco

poolVPN-pool

aclVPN-list

⑤定义客户端地址池

iplocalpoolVPN-pool10.1.1.10010.1.1.200//地址可以随意的私网地址，但这个地址，在内网必须有路由可达到拨号网关内部的设备有去往10.1.1.0的路由

-------------------------------------------------------------------------------

⑥定义转换集//IKE1.5阶段

cryptoipsectransform-setVPN-tranesp-3desesp-md5-hmac

⑦调用认证策略

cryptoisakmpprofileVPN-profile

matchidentitygroupVPN-group

clientauthenticationlistVPN-auth

isakmpauthorizationlistVPN-auth

clientconfigurationaddressrespond//验证Config

⑧创建动态Map//因为我们是拨号上来的，对方的地方你并不知道是多少，所以要创建一个动态Map

cryptodynamic-mapVPN-dymap10

settransform-setVPN-tran

setisakmp-profileVPN-profile

reverse-route//反向路由注入,当客户端播入后在服务器端会生成一条主机路由，目标为客户端地址，下一跳为于客户端直连的路由器的公网端口

⑨用静态Map去调用动态Map//IKE第2阶段

cryptomapVPN-map10ipsec-isakmpdynamicVPN-dymap

-------------------------------------------------------------------------------

⑩在接口调用静态MAP

ints0/1

cryptomapVPN-map

默认通过VPNClient拨号上来，所以的流量都走VPN，如果你有流量要走互联网，那么要做隧道分离：

ipaccess-listextendedVPN-list//在第④步调用

permitip172.16.1.00.0.0.255any//172.16.1.0为公司内网的地址。

为了防止NAT地址转换对VPN的影响在R3上做NAT时加入：

denyip172.16.1.00.0.0.25510.1.1.00.0.0.255//命名的访问控制列表可以通过序列号添加条目

接下来配置PC上的ciscovpn客户端软件：

安装了ciscovpn客户端后会在电脑上添加一块网卡，默认是禁用的。

点New新建：

完了之后点击Connect：

输入之前定义的用户名密码。

连上后任务栏的这把小锁会锁起来，网卡启用。

Ping互联网地址：

Ping公司的Server：

此时在R3上会产生一条反向注入的主机路由。

现在来配置两个EzVPN_Client路由器客户端，

EzVPN_Client：

client模式

配置默认路由和NAT：

iproute0.0.0.00.0.0.0Serial0/2

!

ipnatinsidesourcelistNATinterfaceSerial0/2overload

!

!

ipaccess-listextendedNAT

permitip192.168.3.00.0.0.255any

!

interfaceLoopback0

ipaddress192.168.3.3255.255.255.0

ipnatinside

!

interfaceSerial0/2

ipaddress202.3.3.3255.255.255.0

ipnatoutside

配置VPN：

EzVPN_Client（config）#cryptoipsecclientezvpnEzVPN//创建个Client

EzVPN_Client（config‐crypto‐ezvpn）#peer202.2.2.3//服务器地址

EzVPN_Client（config‐crypto‐ezvpn）#groupVPN-groupkeycisco//服务器上的组名和密码

EzVPN_Client（config‐crypto‐ezvpn）#modeclient（共有2种模式:

client和network‐extension）

EzVPN_Client（config‐crypto‐ezvpn）#connectmanual（auto和manual）//手动连接

EzVPN_Client（config‐crypto‐ezvpn）#exit

EzVPN_Client（config）#interfaceSerial0/2//在接口下调用

EzVPN_Client（config‐if）#cryptoipsecclientezvpnEzVPNoutside

EzVPN_Client（config‐if）#interfaceloopback0

EzVPN_Client（config‐if）#cryptoipsecclientezvpnEzVPNinside

EzVPN_Client（config‐if）#end

EzVPN_Client#cryptoipsecclientezvpnconnect

EzVPN_Client#cryptoipsecclientezvpnxauth

Username:

user1

Password:

//密码不回显

连上去之后看可以看到状态为活动状态，从VPN服务器地址池那里获取到了一个地址。

在R3上自动加上了这条主机路由。

测试能通，注意要带源Ping。

EzVPN_Client2：

network‐extension模式

iproute0.0.0.00.0.0.0Serial0/3

!

ipnatinsidesourcelistNATinterfaceSerial0/3overload

!

!

ipaccess-listextendedNAT

denyip192.168.4.00.0.0.255172.16.1.00.0.0.255//这里要加上这句，具体见下面的client和network‐extension模式的区别

permitip192.168.4.00.0.0.255any

!

interfaceLoopback0

ipaddress192.168.4.4255.255.255.0

ipnatinside

!

interfaceSerial0/3

ipaddress202.4.4.4255.255.255.0

ipnatoutside

配置VPN：

只要把mode改下就行了。

EzVPN_Client2（config）#cryptoipsecclientezvpnEzVPN

EzVPN_Client2（config‐crypto‐ezvpn）#peer202.2.2.3

EzVPN_Client2（config‐crypto‐ezvpn）#groupVPN-groupkeycisco

EzVPN_Client2（config‐crypto‐ezvpn）#modenetwork‐extension

EzVPN_Client2（config‐crypto‐ezvpn）#connectmanual

EzVPN_Client2（config‐crypto‐ezvpn）#exit

EzVPN_Client2（config）#interfaceSerial0/3

EzVPN_Client2（config‐if）#cryptoipsecclientezvpnEzVPNoutside

EzVPN_Client2（config‐if）#interfaceloopback0

EzVPN_Client2（config‐if）#cryptoipsecclientezvpnEzVPNinside

EzVPN_Client2（config‐if）#end

EzVPN_Client2#cryptoipsecclientezvpnconnect

EzVPN_Client2#cryptoipsecclientezvpnxauth

Username:

user1

Password:

连上去之后查看ezvpn的状态：

可以看到此时客户端是不会获取到服务器端的地址的，因为它用真实的192.168.4.0网段去访问公司的内网，所以为了确保我们访问公司内网时激活VPN，我们在EzVPN_Client2做NAT时要把192.168.4.0到172.16.1.0的网段过滤掉，以免被转换成公网地址。

client和network‐extension模式的主要区别就在于前者是用分配的地址去上VPN的，而后者是用真实的地址去上VPN。

自然client模式公司的内网是无法访问远程客户端的内网的，而network‐extension模式公司的内网可以去访问我们远程客户端的内部主机。

在R3上同样自动加上了一条反向注入的路由：

可以看到这条路由是到达EzVPN_Client2真实内网的路由。

在EzVPN_Client和EzVPN_Client2去查看NAT状态：

在EzVPN_Client上我们可以看到有internet-list和enterprise-list前面的是用来走上网流量，后面的是用来走VPN的，而且可以看到它有个地址池，VPN流量都被转换成这个地址了。

在EzVPN_Client2我们可以看到没有那个地址转换池了。

用EzVPN_Client、EzVPN_Client2去telnetServer：

注意都要带源telnet。

在Server上查看登录上来的用户就可以看一个用的是分配的ip一个用的是真实的ip。

用Server分别去访问两个远程内网，一个不通另个能通：