Cisco IOS

Bei IOS (im Test kam Version 12.2 zum Einsatz) teilt sich die Konfiguration in sechs Elemente:

• Eine IKE Policy, die den Verschlüsselungsalgorithmus, die PFS Gruppe für Phase 1 und die Authentisierungsmethode enthält.
• Einen Preshared Key pro Partner.
• Eine Lebenszeit für den Schlüssel, der in Phase 2 ausgehandelt wird.
• Verschlüsselungsalgorithmus und Hash-Algorithmus für Phase 2.
• Eine Crypto Map für die Zuordnung der Schlüssel.
• Eine Access-Liste, die regelt, welcher Verkehr in das in der Crypto Map definierte VPN gehört.

Der getestete Router hatte ein Board für die Hardware-Beschleunigung von 3DES eingebaut. AES-Verschlüsselung ließ sich bei der Konfiguration zwar auswählen, das führte jedoch zu einem Fehler, der bei »show run« auch als Kommentar angezeigt wurde. Bei der Aushandlung der Parameter bot der Cisco-Router seinem Gegenüber AES auch nicht an. Aus diesen Faktoren ergeben sich die folgenden Konfigurationsbefehle:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2

Werden mehrere Policies mit laufenden Zahlen vergeben, wendet der Router sie nacheinander an. Mit der Anweisung »hash« in der Policy lässt sich MD5 auswählen. Default ist SHA1.

crypto isakmp key test123 address 192.168.1.7

Obige Zeile weist der Gegenseite einen Schlüssel zu.

crypto ipsec security-association lifetime seconds 28800

So wird global die Lebenszeit des Schlüssels in Phase 2 auf 28 800 Sekunden festgelegt. Pro Verbindung ist das nicht möglich. Dass es sich um Phase 2 handelt, erkennt man daran, dass »crypto ipsec« statt »crypto isakmp« am Anfang der Zeile steht.

crypto ipsec transform-set vpn esp-3des esp-sha-hmac

Diese Zeile definiert das »transform-set« mit dem Namen »vpn« , das dannweiter unten in der Crypto Map referenziert wird:

crypto map vpn 10 ipsec-isakmp
 set peer 192.168.1.7
 set transform-set vpn
 set pfs group2
 match address 110

Die Crypto Map ordnet alle Einträge einander zu. Über den Peer kommt der Schlüssel dazu und der Router weiß, mit wem er verhandeln muss. Das Transform-Set ordnet die Phase-2-Parameter zu. Die PFS Group bezieht sich auf Phase 2, und die letzte Zeile referenziert eine Access-Liste, die gleich folgt. Wenn der Router mit mehreren Partnern Tunnel aufbauen soll, wird der Index hochgezählt.

access-list 110 permit ip 192.168.50.0 0.0.0.255 192.168.2.0 0.0.0.255

Diese Regel legt fest, dass der Verkehr zwischen dem Netz 192.168.50.0/24 und 192.168.2.0/24 in das VPN fließt.

Zuviel Information

Ciscos Fehlerprotokoll ist wie das von Racoon ausführlich, jedoch muss der Administrator auch hier in einem Wust von Daten die Stelle finden, in der die Unterschiede der Parameter von Phase 1 und 2 stehen, die wiederum auf den Fehler in der Konfiguration deuten. Mit »debug crypto isakmp« kann man die IKE-Verhandlung untersuchen und mit »debug crypto ipsec« die IPSEC-Pakete, die daraus resultieren.

Ansonsten traten in der Konfiguration keine Probleme dabei auf, den Router in das VPN einzubinden. Einzig die fehlende Unterstützung von AES verkompliziert die Checkpoint-Konfiguration (siehe unten) ein wenig.