[series firewall scada ] LAB 6 – Cấu hình VPN Site-to-Site Firepower

Tiến Dũng Nguyễn

Senior Member

Senior Member

Join Date: Jul 2025

Posts: 108
- Share
- Tweet
#1

[series firewall scada ] LAB 6 – Cấu hình VPN Site-to-Site Firepower – ASA

28-07-2025, 04:22 PM

Xin chào mọi người,
Tiếp tục với series firewall scada, ở lab trước của mình và bạn Tường, chúng ta đã cấu hình cho các thiết bị trong hệ thống gateway scada và voip chỉ được chạy đúng giao thức, ngoài ra các luồng lưu lượng khác đều bị chặn, và bài lab hôm nay giúp ta bảo mật trên đường truyền giữa 2 site.

LAB 6 – Cấu hình VPN Site-to-Site Firepower – ASA
🎯 Mục tiêu:

- Cấu hình VPN trên FTD bằng GUI
- Cấu hình VPN trên ASA bằng CLI
- Cấu hình NAT và Policy để các máy hai bên mạng có thể liên lạc

Mô hình

🧪 Bài tập 1 – Cấu hình định tuyến cho các thiết bị

1️⃣ Cấu hình IP trên Router:

int e0/0
ip add 10.10.10.2 255.255.255.252
no shut

int e0/1
ip add 20.20.20.2 255.255.255.252
no shut

# Kiểm tra lại:
do show ip int brief

2️⃣ Cấu hình VLAN và trunk trên Switch:

vlan 99
name INTERNET

int e0/0
switchport access vlan 99

int e0/1
switchport access vlan 10

int e0/3
switchport trunk encapsulation dot1q
switchport mode trunk

3️⃣ Cấu hình IP trên FTD:

- Trên tab Device → Interfaces → Add new
- Gán IP cho các interface tương ứng (vlan10, g0/0.99, ...)
4️⃣ Cấu hình IP trên ASA:

interface g0/0
nameif outside
security-level 0
ip address 20.20.20.1 255.255.255.252
no shutdown

interface g0/1
nameif inside
security-level 100
ip address 192.168.200.254 255.255.255.0
no shutdown

🧪 Bài tập 2 – Định tuyến

1️⃣ Định tuyến trên FTD:

- Devices → Routing → + Add
- Name: INTERNET, Interface: g0/0.99
- Network: any-ipv4, Gateway: 10.10.10.2
2️⃣ Định tuyến trên ASA:

route outside 0.0.0.0 0.0.0.0 20.20.20.2 1

# Kiểm tra: ping 10.10.10.1

🧪 Bài tập 3 – Cấu hình VPN Site-to-Site

1️⃣ Cấu hình VPN trên FTD:

- Vào Device → Site-to-Site VPN → Add new
- Connection name: Site_B
- Local Interface: g0/0.99
- Local Network: vlan10
- Remote Network: 192.168.200.0/24
- IKE version: IKEv1
- Pre-shared key: vnpro@123
- IKEv1 Policy: encryption, authentication, hash, group,...

2️⃣ NAT và Policy trên FTD:

- NAT:
+ Source Interface: vlan10
+ Destination: 192.168.200.0/24 → dịch sang IP public
- Access Control:
+ Rule 1: Allow_DNS (DNS over TCP/UDP)
+ Rule 2: VPN_S2S (từ vlan10 → 192.168.200.0/24)
+ Rule 3: deny all (any → any)

Sau đó sẽ có bảng summary như hình

3️⃣ Cấu hình VPN trên ASA:

access-list VPN-TRAFFIC extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

crypto ikev1 policy 10
authentication pre-share
encryption des
hash sha
group 5
lifetime 86400

crypto ikev1 enable outside

crypto ipsec ikev1 transform-set TS esp-des esp-sha-hmac

crypto map VPN-MAP 10 match address VPN-TRAFFIC
crypto map VPN-MAP 10 set peer 10.10.10.1
crypto map VPN-MAP 10 set ikev1 transform-set TS
crypto map VPN-MAP interface outside

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
ikev1 pre-shared-key vnpro@123

# Inspect cơ bản:
class-map inspection_default
match default-inspection-traffic

policy-map global_policy
class inspection_default
inspect icmp
inspect ftp
inspect dns

service-policy global_policy global

4️⃣ Kiểm tra kết nối VPN:

Trên PC Site_A:
ip 192.168.100.1 255.255.255.0 192.168.100.254

Trên PC Site_B:
ip 192.168.200.1 255.255.255.0 192.168.200.254

# Kiểm tra:
ping từ PC Site_A → PC Site_B và ngược lại

✅ Nếu ping thành công, cấu hình VPN S2S đã hoàn tất!
Tags: #firewall, #scada

Likes 1

[series firewall scada ] LAB 6 – Cấu hình VPN Site-to-Site Firepower – ASA