Hoy vamos a ver los comandos básicos para el funcionamiento de una VPN con Cisco.
Lo primero que debemos saber son las IP's Fijas de cada delegación. En este ejemplo, la IP de la delegación CENTRAL será 1.2.3.4 y la IP de la delegación REMOTA será 4.3.2.1.
Entramos en programación de la consola:
- R1-CENTRAL# configure terminal
Para configurar los parametros de la Fase I, establecer una politica de
ISAKMP y fijar los parametros para usar una pre-shared key, usaremos
3des/sha para la integridad de la encriptacion, especificaremos el uso
de Diffie-Hellman Group 2 (1024-bit). Por defecto ya tiene Autenticar y
generar una nueva clave cada 86400 segundos, en caso de que pongamos el
comando "lifetime 86400" cuando hagamos un "sh run" no nos aparecera
reflejado en la configuracion:
- R1-CENTRAL(config)#crypto isakmp policy 1
- R1-CENTRAL(config-isakmp)# encryption 3des
- R1-CENTRAL(config-isakmp)# authentication pre-share
- R1-CENTRAL(config-isakmp)# group 2
- R1-CENTRAL(config-isakmp)# hash sha
- R1-CENTRAL(config-isakmp)# lifetime 86400
- R1-CENTRAL(config-isakmp)# exit
Cuando mostremos la configuración del Router(con el comentado "show running-config"), no nos mostrará la configuración "hash sha" ni "lifetime 86400". Esto es así, no asustarse.
Ahora configuramos la pre-shared key y el destino del tunel. En este caso estamos configurando la delegación CENTRAL para que se conecte a la delegación REMOTA. La clave "pre-share" será en este caso algo sencillo "123456". La IP a la que nos conectaremos es la delegación REMOTA "4.3.2.1":
- R1-CENTRAL(config)# crypto isakmp key 123456 address 4.3.2.1
Ahora configuramos el "transform" del Ipsec que sera combinado
posteriormente con el resto de la politica de Ipsec con el comando
crypto-map. En este caso "CONEXIONHACIAREMOTA" es simplemente un nombre que luego
nos servira para asociarlo a un crypto-map.
- R1-CENTRAL(config)# crypto ipsec transform-set CONEXIONHACIAREMOTA esp-3des esp-sha-hmac
Ahora crearemos el crypto-map, donde lo relacionaremos con el
Transoform-set, el destino del tunel y le pondremos el nombre "CENTRAL"
que utilizaremos luego para activarlo en la interfaz Wan del router.
- R1-CENTRAL(config)# crypto map CENTRAL 11 ipsec-isakmp
- R1-CENTRAL(config-crypto-map)# set peer 4.3.2.1
- R1-CENTRAL(config-crypto-map)# set transform-set CONEXIONHACIAREMOTA
- R1-CENTRAL(config-crypto-map)# set pfs group2
- R1-CENTRAL(config-crypto-map)# match address 120
- R1-CENTRAL(config-crypto-map)# exit
Ahora creamos la access-list 120 que es la que pusimos en el crypto-map y
nos indica que todo el trafico desde la red 192.168.2.0/24 (CENTRAL) y con
destino a la red 192.168.0.0/24 (REMOTA) lo enviara a traves del tunel.
- R1-CENTRAL(config)# access-list 120 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
- R1-CENTRAL(config)# route-map nonat permit 10
- R1-CENTRAL((config-route-map)# match ip address 100
- R1-CENTRAL((config-route-map)# exit
Ahora creamos la access-list 100 en la cual denegamos el trafico que va
hacia la red 192.168.0.0/24 que es el otro extremo de la VPN y el resto
lo permitimos:
- R1-CENTRAL(config)# access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
- R1-CENTRAL(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 any
Una vez realizado esto, lo aplicamos sobre nuestra interfaz WAN. Ojo, si ya tenéis crear esta entrada en vuestro router, deberéis borrarla y dejar únicamente la entrada "overload" como os indico a continuación ya que sino, os cogerá la entrada que tengáis y os enviará el tráfico de la VPN hacia Internet sin obtener respuesta:
- R1-CENTRAL(config)# ip nat inside source route-map nonat interface FastEthernet0/0 overload
- R1-CENTRAL(config)# interface FastEthernet0/0
- R1-CENTRAL(config-if)# ip address dhcp
- R1-CENTRAL(config-if)# ip nat outside
- R1-CENTRAL(config-if)# ip virtual-reassembly
- R1-CENTRAL(config-if)# duplex auto
- R1-CENTRAL(config-if)# speed auto
- R1-CENTRAL(config-if)# crypto map CENTRAL
- R1-CENTRAL(config-if)# exit
Ahora con un simple ping a una ip del otro extremo de la VPN deberia
levantarnos el tunel sin problemas, podeis ver si el tunel se ha
levantado o no con el comando:
- R1-CENTRAL# sh crypto isakmp sa
Si ocurriese algun problema en la negociacion del tunel, podeis debugearlo con el comando:
- R1-CENTRAL# debug crypto isakmp
- R1-REMOTA# configure terminal
- R1-REMOTA(config)#crypto isakmp policy 1
- R1-REMOTA(config-isakmp)# encryption 3des
- R1-REMOTA(config-isakmp)# authentication pre-share
- R1-REMOTA(config-isakmp)# group 2
- R1-REMOTA(config-isakmp)# hash sha
- R1-REMOTA(config-isakmp)# exit
- R1-REMOTA(config)# crypto isakmp key 123456 address 1.2.3.4
- R1-REMOTA(config)# crypto ipsec transform-set CONEXIONHACIACENTRAL esp-3des esp-sha-hmac
- R1-REMOTA(config)# crypto map CENTRAL 11 ipsec-isakmp
- R1-REMOTA(config-crypto-map)# set peer 1.2.3.4
- R1-REMOTA(config-crypto-map)# set transform-set CONEXIONHACIAREMOTA
- R1-REMOTA(config-crypto-map)# set pfs group2
- R1-REMOTA(config-crypto-map)# match address 120
- R1-REMOTA(config-crypto-map)# exit
- R1-REMOTA(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
- R1-REMOTA(config)# route-map nonat permit 10
- R1-REMOTA((config-route-map)# match ip address 100
- R1-REMOTA((config-route-map)# exit
- R1-REMOTA(config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
- R1-REMOTA(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any
- R1-REMOTA(config)# ip nat inside source route-map nonat interface FastEthernet0/0 overload
- R1-REMOTA(config)# interface FastEthernet0/0
- R1-REMOTA(config-if)# ip address dhcp
- R1-REMOTA(config-if)# ip nat outside
- R1-REMOTA(config-if)# ip virtual-reassembly
- R1-REMOTA(config-if)# duplex auto
- R1-REMOTA(config-if)# speed auto
- R1-REMOTA(config-if)# crypto map CENTRAL
- R1-REMOTA(config-if)# exit
Espero que os haya servido de ayuda
Fuente: http://undercan.blogspot.com.es/2012/02/vpn-de-tmg-2010-cisco-ios.html?m=1
No hay comentarios:
Publicar un comentario
Gracias por visitar mi Blog.