VPN IPSEC Site-to-Site básico VPN IPSEC Site-to-Site básico
Los túneles VPN IPSEC entre redes LAN se utilizan para permitir la tránsmision segura de datos entre dos sitios remotos, por ejemplo, dos oficinas... VPN IPSEC Site-to-Site básico

Los túneles VPN IPSEC entre redes LAN se utilizan para permitir la tránsmision segura de datos entre dos sitios remotos, por ejemplo, dos oficinas o sucursales. El túnel VPN se crea a través de la red pública de Internet y se cifra utilizando varios algoritmos de cifrado avanzados para proporcionar confidencialidad a los datos transmitidos entre los dos sitios.

Este artículo mostrará cómo configurar y dos equipos L3 Cisco para crear un túnel VPN seguro de sitio a sitio a través de Internet, utilizando el protocolo de seguridad IP (IPSec). En este artículo asumimos que ambos routers Cisco tienen una dirección IP pública estática aunque también es posible hacerlo para Ip pública dinámica, este no es el objetivo.

Los mecanismos utilizados para ello son básicamente dos:

ISAKMP: Asociación de seguridad de Internet y protocolo de administración de claves: e IPSec

ISAKMP, también llamado IKE (Internet Key Exchange), es el protocolo de negociación que permite a dos hosts ponerse de acuerdo sobre cómo construir una asociación de seguridad IPsec. La negociación de ISAKMP consta de dos fases: Fase 1 y Fase 2.

  1. La fase 1 crea el primer túnel, que protege los mensajes de negociación ISAKMP posteriores.
  2. La fase 2 crea el túnel que protege los datos. IPSec luego entra en juego para encriptar los datos utilizando algoritmos de encriptación y proporciona servicios de autenticación, encriptación y anti-replay.

Una vez contado este rollo (aunque bastante importante es saber cómo funciona todo esto), pasamos a la parte de configuración. Básicamente haremos:

  1. Configurar ISAKMP Fase 1
  2. Configurar IPSEC (ISAKMP Fase 2, ACL y Crypto MAP)

Nuestro esquema quedará como sigue:

Ambos Routers site1 y site2 pueden verse entre ellos

Comenzamos con R1 ISAKMP Phase 1 policy:

crypto isakmp policy 1
 encr aes
 hash sha
 authentication pre-share
 group 5

Los comandos anteriores definen:

  • El modo de encriptación AES usado en la fase 1
  • El algoritmo de hashing SHA
  • Como se autenticará al peer, en este caso mediante contraseña
  • El grupo DH para intercambio de claves, Grupo 5
crypto isakmp key 0 cisco address 2.2.2.1

Configuramos la clave de autenticación para el peer, el otro extremos tiene la dirección IP 2.2.2.1 y la clave sera cisco, todo un clásico.

Pasamos ahora a la parte de IPSEC: ACL, Transform, CryptoMAP y aplicar la config a la interfaz de salida.

Crear la ACL de la LAN del site1 contra la del site2

1 – ACL

ip access-list extended VPN-L2L
permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

2- IPSEC Transform (Policy de la fase 2)

crypto ipsec transform-set TSET esp-aes esp-sha-hmac

Como en la política anterior de la fase 1 definimos los algoritmos de cifrado y hashing

  • ESP-AES como método de encriptación
  • SHA-HMAC como hashing.

3- Crypto MAP: Conectamos todo en el CryptoMAP

crypto map CMAP 10 ipsec-isakmp 
 set peer 2.2.2.1
 set transform-set TSET 
 match address VPN-L2L

4 – Aplicarlo a la interfaz de salida:

int e0/0
crypto map CMAP

Ahora simplemente repetimos todo el proceso en el otro extremo solamente cambiando la ip del peer donde corresponda:

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 5

crypto isakmp key cisco address 1.1.1.1


ip access-list extended VPN-L2L
 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

crypto ipsec transform-set TSET esp-aes esp-sha-hmac 

crypto map CMAP 10 ipsec-isakmp 
 set peer 1.1.1.1
 set transform-set TSET 
 match address VPN-L2L

int e0/0
crypto map CMAP

Con esto, si cursamos tráfico con origen LAN site1 destino LAN site2 el tunel se levantará, para ello definimos dos Loopback en ambos routers y evitamos así tener que conectar equipos:

En site1:

int loopback0
ip address 10.10.10.1 255.255.255.255


En site2:

int loopback0
ip address 20.20.20.1 255.255.255.255

Podemos lanzar un ping desde el router del site 1 con origen esa Loopback0 para ver si alcanzamos el sitio remoto 2 y al contrario:

Con esto terndríamos el tunel funcionado entre ambas sedes:

site1#show crypto session
Crypto session current status

Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 2.2.2.1 port 500
Session ID: 0
IKEv1 SA: local 1.1.1.1/500 remote 2.2.2.1/500 Active
IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
Active SAs: 2, origin: crypto map
site1#show crypto ipsec sa 

interface: Ethernet0/0
    Crypto map tag: CMAP, local addr 1.1.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (20.20.20.0/255.255.255.0/0/0)
   current_peer 2.2.2.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 34, #pkts encrypt: 34, #pkts digest: 34
    #pkts decaps: 34, #pkts decrypt: 34, #pkts verify: 34
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

Vemos como encapsula el tráfico y lo cifra y descifra.

En próximas entradas, iremos complicando más la configuración.

Saludos.

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image