Cisco ASA, CallManager, VPN e telefono cisco 7941

Mi sono imbattuto in una configurazione con: Cisco ASA, CallManager, VPN e telefono cisco 7941. La configurazione risulta essere molto semplice, un centro stella con un firewall Pfsense collegato con una sede periferica in cui si è deciso di installare un Cisco ASA 5505. Il traffico della sede periferica deve accedere ai server del centro stella, la cosa più immediata da fare è una VPN IPsec. Fino a questo punto per la parte dati no ci sono problemi, appena attacco il telefono Cisco 7941 all’ASA si accende, visto che la rete telefonica remota ha una classe IP diversa da quella dei dati sono costretto a fare una seconda fase 2 della VPN IPsec in modo da instradare correttamente il traffico voce dalla sede periferica al centro stella dove è installato il Cisco Call Manager. La VPN sale e il telefono inizia sia a scaricare il firmware si a scaricare la configurazione, peccato che non è in grado di capire cosa contiene il file di configurazione. Ogni 2 minuti e 25 secondi riscarica il file ma non riesce a collegarsi con successo al Call Manager. Dopo un po’ di indagini, mi viene il sospetto che possa essere un banale problema di MTU. Provando semplicemente a mondificare il parametro MTU della WAN e della LAN non ne esco. Ad un certo punto mi viene in mente di provare a modificare  tcp-mss con il comando:

# sysopt connection tcp-mss 1300

Una volta fatta questa banale modifica e dopo aver scovato la giusta dimensione di 1300 tutto si è risolto come per magia.

La seguente immagine rappresenta la rete realizzata

Cisco ASA, CallManager, VPN e telefono cisco 7941

Linux IPSec vs ZyWall

Oggi mi sono trovato con il dover testare una VPN IPSEC tra una LinuxBox e un firewall hardware della Zyxel Ho dovuto perdere un po’ di tempo con le configurazioni lato linux visto che lo zywall utilizza una tecnologia IPSEC rivisitata da Zyzwl. Per questo motivo ho deciso di documentare lo sviluppo di tale progetto qui.

Configurazione di una VPN IPSEC tra una LinuxBox con OpensWan e un firewall ZyWall 2 plus. La VPN verrà creata con la PSK. Il lato linux sarà il right mentre lo zywall sarà il left.
LATO LINUX

Editare il file /etc/ipsec.conf e aggiungere il profilo per la connessione verso lo ZyWall

config setup
klipsdebug=no
plutodebug=no
#forwardcontrol=no
interfaces=”ipsec0=eth0″
nat_traversal=no
virtual_private=%v4:0.0.0.0/0
#disable_port_floating=no
#uniqueids=yes

conn OpenZy
#aggrmode
authby=secret
left=[RemoteIP Zywall2p]
leftsubnet=[Remote Subnet X.X.X.X/24]
leftnexthop=[Remote Router IP]
leftid=@pippo.pluto.it
right=[Local Public IP]
rightsubnet=[Local Subnet X.X.X.X/24]
rightnexthop=[Local Router IP]
rightid=@local.domain.it
auto=start
keyexchange=ike
esp=3des-md5-96
pfs=no
type=tunnel
ikelifetime=28800s
keylife=9600s
ike=3des-md5-modp1024
#keyingtries=0
#dpddelay=30

Editare il file /etc/ipsec.secrets aggiungendo la riga per la PSK ella nostra connessione:
@local.domain.it @pippo.pluto.it: PSK quot;scriverelapskqui”
Aggiungere al firewall presente sulla LinuxBox le regole che permettono l’ingresso alle porte 500 UDP, 4500 UDP, e al protocollo ESP (50). Attivare un eventuale Forward del traffico IPSEC dall’interfaccia esterna del firewall linux a quella interna.
Riavviare IPSEC
LATO ZYWALL
VPN – GATEWAY POLICY – EDIT
NAME: penZy
My Address: [Local Public IP]
Primary Remote Gateway: [RemoteIP LinuxBox]
Pre-Shared Key: [scriverelapskqui]
Local ID Type: DNS
Content: pippo.pluto.it <-- Attenzione a non mettere la @
Peer ID Type: DNS
Content: local.domain.it <-- Attenzione a non mettere la @ e non fatevi ingannare dal local
Negotiation Mode: Main
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 9600
Key Group: DH2
VPN – NETWORK POLICY – EDIT

Active
Name: OpenZyLan
Local Network
Address Type: Subnet
Starting IP Address: Local Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Remote Network
Address Type: Subnet
Starting IP Address: [Remote Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Encapsulation Mode: Tunnel
Active Protocol: ESP
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 28800
Perfect Forward Secrecy (PFS): NONE

Anche qui bisogna creare le regole per il firewall. Quelle per ipsec esistono di default quelle per la lan vanno create.
La Vostra VPN a questo punto è attiva…..
Continua a leggere… Mostra/Nascondi