07-06-2020 06:07 PM - editado 07-06-2020 06:09 PM
Hola buenas tardes a toda la comunidad, tengo muchas dudas sobre cómo habilitar una VPN, quise usar el IPSec pero mis conocimientos sobre ese protocolo no son suficientes, quisiera saber si alguien me podria ayudar por favor.
Mi topología está compuesta por OSPF, sub interfaces y DHCP.
Quisiera saber si el OSPF está bien para una VPN o es necesario utilizar ACL por favor.
¡Resuelto! Ir a solución.
07-06-2020 07:29 PM - editado 07-06-2020 07:30 PM
Hola
La VPN sitio a sitio no es complejo de configurar, pero si deben conocer sintaxis y conceptos requeridos, a continuacion te voy a compartir la sintaxis de una configuracion de VPN en routers Cisco:
Una VPN esta compuesta de 2 Fases: 1 y 2
FASE 1
Paso 1) Crear una politica
crypto isakmp policy <una secuencia, numero entero>
authentication pre-share (porque utilizaras una llave, pero puedes utilizar certificados digitales con RSA-SIG)
group (grupo de Diffe Hellman)
hash (sha1 o md5, depende de ti)
encryption (que tipo de algoritmo de encriptacion aplicara, ejemplo: 3des)
Paso 2) Aplicar la llave (PSK) que se intercambiara entre los dispositivos en la fase 1
crypto isakmp key <la llave, coloca cualquier nombre> address <aqui indicas la IP del equipo remoto que se conectara a la VPN, osea la IP de la interface del otro router>
FASE 2
Paso 3) crea una lista de acceso para indicar que trafico se permitira entre los sitios remotos, siempre se utiliza una ACL extendida y utilizando IP, ejemplo:
access-list 100 permit IP <ip o red de origen> <wildcard de origen> <ip o red de desitno> <wildcard de destino>
Paso 4) Configurar el metodo de proteccion para los datos que pasaran a traves de la VPN
crypto ipsec transform <nombre cualquiera de IPSEC> <encriptacion> <hashing>
ejemplo:
crypto ipsec transfor HOLA esp-aes esp-md5-hmac
Paso 5)
Crear un crypto map, el cual sera aplicado a una interface fisica de salida (interface que conecta con otro router o Internet)
crypto map <nombre del map> <secuencia> ipsec-isakmp
set transform <nombre del IPSEC, paso 4>
set peer <IP de la interface del router remoto, con quien haras la vpn>
match address <lista de acceso del paso 3>
Paso 6)
Aplicar el cripto map en la interface de salida que conecta con otro router o internet.
Ejemplo:
interface g0/0
crypto map <nombre del map>
** OJO lo especificando en la ACL tiene que ser identico en cada router, ejemplo:
Router 1
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Router 2
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
** el ID de la ACL puede ser cualquiera, pero fijate como colocas tu origen y destino.
Por ultimo para verificar, utiliza los siguientes comandos:
crypto isakmp sa (para ver si la fase 1 levanto)
crypto ipsec sa (para ver si el trafico de la fase 2 se encripta)
Adicional te comparto un link de un video que subi hace ya un tiempo, este es sobre una VPN entre un ASA y un router, fijate en la parte del router.
https://www.youtube.com/watch?v=woR6I3rmBFI&t=4s
Espero haya contestado tu pregunta.
Saludos.
07-06-2020 07:29 PM - editado 07-06-2020 07:30 PM
Hola
La VPN sitio a sitio no es complejo de configurar, pero si deben conocer sintaxis y conceptos requeridos, a continuacion te voy a compartir la sintaxis de una configuracion de VPN en routers Cisco:
Una VPN esta compuesta de 2 Fases: 1 y 2
FASE 1
Paso 1) Crear una politica
crypto isakmp policy <una secuencia, numero entero>
authentication pre-share (porque utilizaras una llave, pero puedes utilizar certificados digitales con RSA-SIG)
group (grupo de Diffe Hellman)
hash (sha1 o md5, depende de ti)
encryption (que tipo de algoritmo de encriptacion aplicara, ejemplo: 3des)
Paso 2) Aplicar la llave (PSK) que se intercambiara entre los dispositivos en la fase 1
crypto isakmp key <la llave, coloca cualquier nombre> address <aqui indicas la IP del equipo remoto que se conectara a la VPN, osea la IP de la interface del otro router>
FASE 2
Paso 3) crea una lista de acceso para indicar que trafico se permitira entre los sitios remotos, siempre se utiliza una ACL extendida y utilizando IP, ejemplo:
access-list 100 permit IP <ip o red de origen> <wildcard de origen> <ip o red de desitno> <wildcard de destino>
Paso 4) Configurar el metodo de proteccion para los datos que pasaran a traves de la VPN
crypto ipsec transform <nombre cualquiera de IPSEC> <encriptacion> <hashing>
ejemplo:
crypto ipsec transfor HOLA esp-aes esp-md5-hmac
Paso 5)
Crear un crypto map, el cual sera aplicado a una interface fisica de salida (interface que conecta con otro router o Internet)
crypto map <nombre del map> <secuencia> ipsec-isakmp
set transform <nombre del IPSEC, paso 4>
set peer <IP de la interface del router remoto, con quien haras la vpn>
match address <lista de acceso del paso 3>
Paso 6)
Aplicar el cripto map en la interface de salida que conecta con otro router o internet.
Ejemplo:
interface g0/0
crypto map <nombre del map>
** OJO lo especificando en la ACL tiene que ser identico en cada router, ejemplo:
Router 1
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Router 2
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
** el ID de la ACL puede ser cualquiera, pero fijate como colocas tu origen y destino.
Por ultimo para verificar, utiliza los siguientes comandos:
crypto isakmp sa (para ver si la fase 1 levanto)
crypto ipsec sa (para ver si el trafico de la fase 2 se encripta)
Adicional te comparto un link de un video que subi hace ya un tiempo, este es sobre una VPN entre un ASA y un router, fijate en la parte del router.
https://www.youtube.com/watch?v=woR6I3rmBFI&t=4s
Espero haya contestado tu pregunta.
Saludos.
el 07-07-2020 10:47 AM
el 07-07-2020 05:30 PM
Me alegra mucho saberlo, fue todo un gusto.
Saludos.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad