cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Ask Me Anything - Webex Bots
622
Visitas
20
ÚTIL
8
Respuestas
Johan_Grale
Beginner

VPN Site-to-site

Hola, espero que se encuentren bien y de ante mano disculpas si mi duda es algo obvia, soy nuevo en esto de las redes.

Actualmente estoy en proceso de implementación de una VPN site-to-site para generar conexión a través de internet desde la empresa donde me encuentro con otra sucursal de la misma en otra ciudad. El router con el que cuento en este lugar es un Cisco ISR4221 el cual posee interfaz gráfica en la cual puedo configurar algunos parámetros entre los que se encuentra lo que deseo realizar.

Mi duda recae en si con los parámetros que se me dan a través de esta interfaz gráfica son suficiente para poder levantar la VPN o tendré que realizar también configuraciones a través de la CLI. Cabe resaltar que a través de la interfaz gráfica puedo configurar los parámetros básicos de un túnel, como lo son la interfaz de salida, la IP outside, el remote peer, la pre-shared key, configuraciones del protocolo IKEv2 como los algoritmos de encriptación e integridad de datos al igual que los algoritmos DH. También las configuraciones de IPSec de encriptación, integridad y cabecera de autenticación. 

Y por último, al realizar estas configuraciones, ¿tendré intermitencias o caída total en el servicio de internet? 

De ante mano gracias y espero recibir una propuesta oportuna, saludos.

8 RESPUESTAS 8
Julio E. Moisa
VIP Mentor

Buenos días

Deberían ser suficientes para la configuración, yo acostrumbro crear las VPNs via CLI, por lo general las VPNs son configuradas con IKEv1 pero si es requerido se puede utilizar IKEv2.

Ahora bien, se utilizan ACL's para especificar el trafico que sera enviado a traves de la VPN, el trafico restante no se ve afectado. Con esto quiero decir que solo el trafico especificado a traves de la VPN se podria ver afectado, el resto que fluye a traves de Internet no se vera afectado. 

 

Si la VPN no es configurada correctamente la comunicacion especificada dentro de la ACL puede verse afectada. 

Me imagino que la configuración se realizara con PSK entonces tu configuración podria ser en CLI:

 

Ejemplo VPN IKEv1

 

crypto isakmp policy 1

authentication pre-shared-key

encryption <colocas la encriptacion ejemplo 3des, des, etc>

hash <md5 o sha>

group <por defecto es el 1, pero hay otros grupos>

 

crypto iskamp key <llave o contraseña a utilizar> address <la direccion IP del equipo remoto>

* La pre shared key debe ser la misma en ambos router para que se complete la fase 1. 

 

crypto ipsec transform <nombre del transform> <encriptacion> <autenticacion>

 

ip access-list extended <nombre de ACL>

permit <origen> <destino>

ejemplo: permit ip host 1.1.1.1 host 2.2.2.2

              permit tcp 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 22

 

crypto map <nombre del map> <secuencia> ipsec-isakmp

match address <nombre de la ACL>

set peer <direccion IP del dispositivo remoto>

set transform <nombre del transform>

 

interface gx/x

crypto map <nombre del map>

 

Espero te sea util

:-)

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Muchas gracias Julio por tomarte el tiempo de responder y ayudarme, ha sido de gran ayuda para entender un poco más como va el asunto.

 

Ahora una nueva duda recae en mí, el router en la otra sede es otro modelo Cisco, que en teoría debería ser configurado de la misma manera tan solo invirtiendo el orden de direcciones de origen y destino, ¿verdad? Y de igual manera, para hacer el uso de este túnel ¿tendré que crear otra ACL (extendida) como se muestra en el ejemplo o con la que ya cuento es suficiente?. La ACL que se encuentra creada es standard, así que creo que eso será problema.

 

De ante mano gracias y buen resto de día.

Hola,

Es correcto, en el router remoto se deben invertir origen y destino dentro de la ACL. Es correcto una ACL estandar no funcionara, debe ser extendida.

Una vez creada la VPN debes generar trafico interesante, esto lo puedes hacer con ping desde las redes que estas permitiendo en la ACL. En la segunda linea podras observar los paquetes que son encriptados y desencriptados si todo va bien. 

 

Los comandos para verificar que todo esta bien:

Fase 1: show crypto isakmp sa

Fase 2: show crypto ipsec sa

 

Si no observas nada en la primera linea de comando (show crypto isakmp sa) es porque algo no esta configurado correctamente. 

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Muchas gracias nuevamente y unas últimas dos dudas, ¿el tener dos ACL creadas con el mismo segmento de red no generará algún tipo de conflicto? y ¿al implementar este procedimiento habrá posibilidades de que el servicio de internet tenga intermitencias o se corte de golpe?

Por favor corregirme si entiendo mal...¿el tener dos ACL creadas con el mismo segmento de red no generará algún tipo de conflicto? Es la misma red en ambos sitios? Si es asi, te recomiendo usar un NAT y luego crear la VPN, el procedimiento es similar pero lleva un par de lineas mas. 

 

¿al implementar este procedimiento habrá posibilidades de que el servicio de internet tenga intermitencias o se corte de golpe? No, lo unico que se vera afectado si no se encuentra configurado correctamente es el trafico incluido dentro de la ACL, el resto fluira normal. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Creo que me expliqué mal, perdona. A lo que me refería es si al tener la ACL standard y la extendida bajo la misma (¿red?) Ej: 192.168.1.0 (suponiendo que es la dirección interna de la ciudad donde me encuentro), ¿no habrá ningún tipo de conflicto? Porque en si el tráfico de red de ambas sedes ya anda con su respectivo NAT e IPs públicas configuradas.

Hola

Entendido, no no generara ningun conflicto, debido a que la ACL standard esta siendo utilizada para NAT, mas que todo para accesos a Internte, mientas que la ACL extendida es especificada desde un origen conocido a un destino conocido. Ejemplo: access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255.

Si algo no estuviera bien configurado en la VPN solo se veria afectado el trafico de la red 192.168.1.0/24 hacia la red 192.168.2.0/24 y viceversa. 

El trafico digamos desde la red 192.168.1.0/24 hacia www.cisco.com u otra red publica no se veria afectada.

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Solo agregar de mi parte que puedes levantar VPN cruzados con otras marcas, con IPsec he podido levantar túneles Cisco RV042 vs WatchGuard y Cisco RV042 vs Monowall, el principio es el mismo porque están basado en estándares, lo que cambia es la interfaz gráfica de cada uno, por ejemplo el WatchGuard no es muy intuitivo que digamos. Una vez creado un lado del túnel te trasladas fisicamente al otro lado, cuando levantes la VPN al menos yo tuve que reiniciar los pc para que reconociera la red privada remota como local.

Crear
Reconozca a un colega
Content for Community-Ad