


Los túneles VPN IPSEC entre redes LAN se utilizan para permitir la tránsmision segura de datos entre dos sitios remotos, por ejemplo, dos oficinas o sucursales. El túnel VPN se crea a través de la red pública de Internet y se cifra utilizando varios algoritmos de cifrado avanzados para proporcionar confidencialidad a los datos transmitidos entre los dos sitios.
Este artículo mostrará cómo configurar y dos equipos L3 Cisco para crear un túnel VPN seguro de sitio a sitio a través de Internet, utilizando el protocolo de seguridad IP (IPSec). En este artículo asumimos que ambos routers Cisco tienen una dirección IP pública estática aunque también es posible hacerlo para Ip pública dinámica, este no es el objetivo.
Los mecanismos utilizados para ello son básicamente dos:
ISAKMP: Asociación de seguridad de Internet y protocolo de administración de claves: e IPSec
ISAKMP, también llamado IKE (Internet Key Exchange), es el protocolo de negociación que permite a dos hosts ponerse de acuerdo sobre cómo construir una asociación de seguridad IPsec. La negociación de ISAKMP consta de dos fases: Fase 1 y Fase 2.
- La fase 1 crea el primer túnel, que protege los mensajes de negociación ISAKMP posteriores.
- La fase 2 crea el túnel que protege los datos. IPSec luego entra en juego para encriptar los datos utilizando algoritmos de encriptación y proporciona servicios de autenticación, encriptación y anti-replay.
Una vez contado este rollo (aunque bastante importante es saber cómo funciona todo esto), pasamos a la parte de configuración. Básicamente haremos:
- Configurar ISAKMP Fase 1
- Configurar IPSEC (ISAKMP Fase 2, ACL y Crypto MAP)
Nuestro esquema quedará como sigue:
Ambos Routers site1 y site2 pueden verse entre ellos
Comenzamos con R1 ISAKMP Phase 1 policy:
crypto isakmp policy 1 encr aes hash sha authentication pre-share group 5
Los comandos anteriores definen:
- El modo de encriptación AES usado en la fase 1
- El algoritmo de hashing SHA
- Como se autenticará al peer, en este caso mediante contraseña
- El grupo DH para intercambio de claves, Grupo 5
crypto isakmp key 0 cisco address 2.2.2.1
Configuramos la clave de autenticación para el peer, el otro extremos tiene la dirección IP 2.2.2.1 y la clave sera cisco, todo un clásico.
Pasamos ahora a la parte de IPSEC: ACL, Transform, CryptoMAP y aplicar la config a la interfaz de salida.
Crear la ACL de la LAN del site1 contra la del site2
1 – ACL
ip access-list extended VPN-L2L permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
2- IPSEC Transform (Policy de la fase 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
Como en la política anterior de la fase 1 definimos los algoritmos de cifrado y hashing
- ESP-AES como método de encriptación
- SHA-HMAC como hashing.
3- Crypto MAP: Conectamos todo en el CryptoMAP
crypto map CMAP 10 ipsec-isakmp set peer 2.2.2.1 set transform-set TSET match address VPN-L2L
4 – Aplicarlo a la interfaz de salida:
int e0/0 crypto map CMAP
Ahora simplemente repetimos todo el proceso en el otro extremo solamente cambiando la ip del peer donde corresponda:
crypto isakmp policy 1 encr aes authentication pre-share group 5 crypto isakmp key cisco address 1.1.1.1 ip access-list extended VPN-L2L permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 crypto ipsec transform-set TSET esp-aes esp-sha-hmac crypto map CMAP 10 ipsec-isakmp set peer 1.1.1.1 set transform-set TSET match address VPN-L2L int e0/0 crypto map CMAP
Con esto, si cursamos tráfico con origen LAN site1 destino LAN site2 el tunel se levantará, para ello definimos dos Loopback en ambos routers y evitamos así tener que conectar equipos:
En site1: int loopback0 ip address 10.10.10.1 255.255.255.255 En site2: int loopback0 ip address 20.20.20.1 255.255.255.255
Podemos lanzar un ping desde el router del site 1 con origen esa Loopback0 para ver si alcanzamos el sitio remoto 2 y al contrario:
Con esto terndríamos el tunel funcionado entre ambas sedes:
site1#show crypto session Crypto session current status Interface: Ethernet0/0 Session status: UP-ACTIVE Peer: 2.2.2.1 port 500 Session ID: 0 IKEv1 SA: local 1.1.1.1/500 remote 2.2.2.1/500 Active IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0 Active SAs: 2, origin: crypto map
site1#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: CMAP, local addr 1.1.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (20.20.20.0/255.255.255.0/0/0) current_peer 2.2.2.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 34, #pkts encrypt: 34, #pkts digest: 34 #pkts decaps: 34, #pkts decrypt: 34, #pkts verify: 34 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
Vemos como encapsula el tráfico y lo cifra y descifra.
En próximas entradas, iremos complicando más la configuración.
Saludos.
No hay comentarios
Se el primero en dejar un comentario.