Hướng dẫn cấu hình VPN Site to Site cho Cisco Firepower (FTD)

- Trong khi làm việc ở ngoài làm cách nào để tạo một VPN trên thiết bị Cisco FTD (Firepower). Bài viết này sẽ hướng dẫn tạo VPN Site-to-Site giữa 2 site với remote site là thiết bị ASA. Dưới đây là mô hình chúng ta sẽ thực hiện:

​

I/. Tạo một VPN Site to Site trên Cisco FTD (sử dụng FDM):
- Sử dụng trình duyệt kết nối với thiết bị FDM, vào theo đường dẫn [Site to Site VPN > View Configuration].

​

- Tạo một kết nối Site-to-Site bằng cách click [CREATE SITE-TO-SITE-CONNECTION].

​

- Trong trang [Define Endpoints] chúng ta sẽ cấu hình thêm các cài đặt sau:

> Connection profile name: đặt tên cho kết nối VPN Site-to-Site này (vd: VPN-To-Datacentre)
> Local VPN Access Interface: chọn giao diện sẽ nhận yêu cầu thiết lập VPN. Thường là cổng kết nối ra Internet (vd: outside (Ethernet1/1))
> Local Network: ở đây chúng ta sẽ tạo mới bằng cách click vào [Create new Network].​

​

- Trong bảng [Add Network Object] cấu hình thêm:

> Name: đây sẽ tên đại diện cho local LAN của site này.
> Type: chọn [Network]
> Network: trong mạng local của bạn (phía sau thiết bị FTD), ví dụ: 10.254.254.0/24.
> Click [OK]​

​

- Tiếp theo trong phần [REMOTE SITE], chúng ta sẽ tiếp tục cấu hình:

> Remote IP Address: địa chỉ IP public của thiết bị ở đầu xa (ở bài viết này là IP của Cisco ASA)
> Remote Network: click vào dấu "+" để thêm vào
> Click [Create new network]​

​

- Trong bảng [Add Network Object] chúng ta sẽ cấu hình:

> Name: đây sẽ tên đại diện cho remote LAN của site đầu xa.
> Type: chọn [Network]
> Network: mạng remote (phía sau thiết bị ASA), ví dụ: 192.168.100.0/24.
> Click [OK]​

​

- Kiểm tra lại các cài đặt, nếu đúng click [Next].

​

- Ở đây mình sẽ sử dụng IKEv2 để mã hóa (nếu thiết bị ASA ở đầu xa chạy phiên bản trước bản 8.4 bạn bắt buộc phải sử dụng IKEv1). Trong trang IKE Policy > chọn công tắc bên [IKE Version 2] để kích hoạt lên > trong mục [Globally Applied] > click [Edit].

​

- Click [Create new IKE Policy] để tạo mới .

​

- Trong cửa sổ [Add IKE v2 Policy] cần cài đặt các thông tin sau:

> Priority: 1
> Name: S2S-IKEv2-Policy
> Encryption: mặc định sẽ đặt là DES, chỉ cần xóa đi và thêm vào AES256 vào.
​

- Các cài đặt còn lại ở dưới bạn có thể chọn tùy theo nhu cầu của bạn. Ví dụ nếu không muốn để ở SHA1 có thể đổi thành SHA254 và nhớ Firewall ASA cũng phải hỗ trợ các thông số tương tự. Nhưng ở phần PRF với PFS chúng ta sẽ cài đặt sau nên không nên thay đổi. Click [OK] để lưu lại.

​

- Ở trang [IKE Policy] chú ý đến phần [IPsec Proposal] > click [Edit].

​

- Cửa sổ [Select IPSec Proposals] sẽ hiện ra click biểu tượng [Add] và chọn [AES-SHA]. Click [OK].

​

- Nhập [Local Pre-shared Key] và xác nhận thêm trong [Remote Pre-Shared Key] (Thông thường cả hai key này sẽ giống nhau, nhưng FTD sẽ không như vậy). Sau đó cuộn xuống phần dưới của trang.

​

- Chúng ta sẽ cấu hình các mục:

> Nat Exempt: chọn inside(VLAN) .
> Diffie Helman Group for Perfect Forward Secrecy (PFS): chỉ cần để không kích hoạt.
> Click [Next].​

​

- Trang này sẽ tóm tắt các bước cấu hình VPN Site-to-Site chúng ta đã làm, kiểm tra lại và click [Finish].

​

II/. Cảnh báo lưu lượng truy cập VPN một chiều của FTD VPN:
- Vào lúc này, nếu bạn cấu hình cho ASA, tunnel VPN sẽ xuất hiện và nếu bạn đang ở trong mạng nội bộ phía sau FTD mọi thứ sẽ hoạt động bình thường. Nhưng nếu bạn ở phía sau mạng của ASA và bạn muốn giao tiếp với mạng bên trong của FTD, nó sẽ không thể thực hiện. Bạn chỉ có thể ping được một chiều từ FTD đến ASA nhưng không thể làm ngược lại.
- Vậy giải pháp là: Những gì bạn cần phải làm (trên thiết bị Cisco Firepower (FTD)) đó là cho phép lưu lương đến [ALLOW traffic 'inbound'] trên [outside interface], cho subnet phía sau của ASA.
- Trên giao diện quản lý UI của FTD, vào theo đường dẫn [Policies > Access Control > Add]

​

- Trong cửa sổ [Add Acccess Rule] sẽ cần cấu hình sau:

> Title: đặt tên cho rule (vd: Allow-VPN-Traffic)
> Source Zone: chọn outside_zone
> Source Networks: địa chỉ mạng subnet phía sau của ASA
> Source Ports: ANY
> Destination Zone: inside_zone
> Destination Networks: ANY
> Destination Ports/Protocols: ANY
> Click [OK]​

​

- Click [Pending changes > Deploy Now] để áp dụng thay đổi cấu hình.

​

- Cần ít thời gian để áp dụng cấu hình, sau khi đã deploy xong bạn có thể kiểm tra lại các thay đổi và cũng sẽ có thông báo hoàn tất trên UI.

​

III./ Cấu hình tạo VPN cho Firewall Cisco ASA đến Cisco FTD :
- Chúng ta sẽ cấu hình VPN Site-to-Site cho Firewall Cisco ASA kết nối đến FTD. Bạn chỉ cần thay đổi các cài đặt phù hợp các phần in đậm trong command lines dưới đây:

object network OBJ-SITE-A
subnet 192.168.100.0 255.255.255.0
object network OBJ-SITE-B
subnet 10.254.254.0 255.255.255.0
!
access-list VPN-INTERESTING-TRAFFIC extended permit ip object OBJ-SITE-A object OBJ-SITE-B
!
nat (inside,outside) source static OBJ-SITE-A OBJ-SITE-A destination static OBJ-SITE-B OBJ-SITE-B no-proxy-arp route-lookup
!
crypto ipsec ikev2 ipsec-proposal VPN-TRANSFORM
protocol esp encryption aes-256
protocol esp integrity sha-1
!
crypto map CRYPTO-MAP 1 match address VPN-INTERESTING-TRAFFIC
crypto map CRYPTO-MAP 1 set peer 2.2.2.2
crypto map CRYPTO-MAP 1 set ikev2 ipsec-proposal VPN-TRANSFORM
crypto map CRYPTO-MAP interface outside
!
crypto ikev2 policy 10
encryption aes-256
integrity sha
group 14
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
!
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev2 remote-authentication pre-shared-key cisco123
ikev2 local-authentication pre-shared-key cisco123
!​

IV./ Khắc phục sự cố và Debug:
- Tất cả các công cụ command line truyền thống mà chúng ta sử dụng cho việc khắc phục sự cố VPN đều có sẵn, bạn sẽ cần truy cập SSH vào 'Management Port' trước khi có thể sử dụng chúng. Hoặc chỉ cần thực hiện debug và tshoot trên ASA.
- Tshoot ở Phase 1 (IKE):

> show crypto isa
> debug crypto ikev2 protocol​

- Tshoot ở Phase 2 (IPSec):

> show crypto ipsec sa
> debug crypto ipsec 255
​