Redes Privadas Virtuales

Luis Alfonso Snchez Brazales
REDES PRIVADAS VIRTUALES (VPN)

VPN sitio a sitio
a) Simulacin VPN sitio a sitio, utilizando Packet Tracer.
b) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio
- Realizar en el laboratorio virtual (GNS3) individualmente.

Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la
consola del router 1

Con el primer comando lo que vamos a hacer es crear una nueva poltica IKE, cada poltica se
identifica por su nmero de prioridad, en nuestro caso vamos a ponerle la prioridad ms alta
que es 1.
Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a
utilizar
El tercer comando elegimos el algoritmo de hash que vamos a usar
El cuarto comando determina el mtodo de autenticacin
El quinto comando se especifica el identificador de grupo diffie-hellman
El sexto comando determinamos el tiempo de vida de la asociacin de seguridad
Con el sptimo comando salimos para volver al modo de configuracin global
El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las
negociaciones IKE, pero este comando como podemos ver en la imagen no funciona y ya no
podemos continuar realizando la vpn de sitio a sitio


Realizar en el laboratorio fsico por grupos de alumnos.
Hicimos esta prctica siguiendo el manual
Configuraremos 1 los parametros de enrutamiento e interfaces para establecer la
conectividad:
R1:

Realizamos los mismos pasos de configuracin de la red en los dems routers, de acuerdo con
el escenario en concreto.
Bien ahora comprobamos la conectividad:


La eleccin de un algoritmo de cifrado determina la confidencialidad del canal de control entre
los extremos es. El algoritmo de control controla la integridad de los datos, garantizando que
los datos recibidos de un par no ha sido alterado en el trnsito. El tipo de autenticacin
garantiza que el paquete fue enviado en efecto y firmada por el par remoto. El grupo de Diffie-
Hellman se utiliza para crear una clave secreta compartida por los pares que no ha sido
enviado a travs de la red.
una. Configurar un tipo de autenticacin de claves pre-compartidas. El uso de encriptacin AES
256, SHA como su algoritmo de hash, y Diffie-Hellman de intercambio de claves grupo 5 de
esta poltica IKE.
b. Dar la poltica de un tiempo de vida de 3600 segundos (una hora). Configure la misma
poltica en R3. Las versiones anteriores de Cisco IOS no admiten el cifrado AES 256 y SHA como
algoritmo de hash. Sustituya cualquier algoritmo de cifrado y hashing su router soporta.
Asegrese de que los mismos cambios se realizan en el otro extremo de VPN para que estn
en sincrona.

Verifique la poltica IKE con el comando show crypto ISAKMP policy

Cada direccin IP que se utiliza para configurar los equivalentes de IKE tambin se conoce
como la direccin IP del extremo remoto VPN. Configurar la clave pre-compartida de cisco123
en el router R1 mediante el comando siguiente. Redes de produccin deben utilizar una clave
compleja. Este comando apunta a la direccin IP remota pares R3 S0/0/1


En R1 y R3, cree un conjunto de transformacin con la etiqueta 50 y utiliza un
protocolo de seguridad de encapsulacin (ESP) transformar con un cifrado AES 256 con
ESP y la funcin SHA hash. Los conjuntos de transformacin debe coincidir.

En R1 y R3, configure la seguridad de IPsec asociacin de por vida a 30 minutos, o segundos
1800.

Configure la VPN IPsec interesante trfico ACL en el R1.

Cree el mapa crypto en R1, el nombre de CMAP, y utilizar 10 como el nmero de
secuencia. Aparecer un mensaje despus de que el comando se emite.

Usa el comando match address access-list para especificar qu lista de acceso define
el trfico que va a cifrar.

Setting a peer IP or host name is required, so set it to R3s remote VPN endpoint interface using the
following command.


Codificar el conjunto de transformacin que se utilizar a este mismo nivel, utilizando
el conjunto de transfor-mando conjunto de etiquetas. Ajuste el tipo de desvo secreto
perfecto con el comando set pfs tipo, y tambin modificar el valor por defecto de
seguridad IPsec tiempo de vida con el comando set security-association
lifetime seconds seconds:

Aplicar los mapas de las interfaces de Cifrado prr adecuadas en R1Apply los mapas de cifrado
para las interfaces adecuadas en R1

Anteriormente has usado el comando show crypto isakmp policy Aplicar las interfaces
de los mapas de las Cifrado adecuadas en R1 Apply los mapas de las interfaces de
Cifrado adecuadas en R1, show crypto ipsec transform-set command muestra las
polticas IPsec configuradas en la forma de los conjuntos de transformacin.

Utilice el comando show crypto map para visualizar los mapas criptogrficos que se aplicarn
al router
.


El comando show crypto ipsec sa muestra la SA no utilizada SA entre R1 y R3. Anote el
nmero de paquetes enviados a travs y la falta de asociaciones de seguridad que figuran en la
parte inferior de la salida. La salida de R1 se muestra aqu.

Bien, tras realizar esto, compartiremos una carpeta en el equipo 192.168.1.3:


Bien ahora accedemos con el otro equipo el 192.168.3.3 y comprobamos que se envian los
protocolos TCP de la conexin, (nota: no capturamos el protocolo IPsec ya que Wireshark no
permite capturarlo)

Comprobamos que accedemos a la carpeta compartida.


VPN de acceso remoto
CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto
Realizar en el laboratorio fsico por grupos de alumnos.


Click the Configure button at the top of the CCP screen, and choose Security >Firewall > Firewall

Choose Basic Firewall and click the Launch the selected task button. On the Basic Firewall Configuration
wizard screen, click Next.
c. Check the Inside (Trusted) check box for FastEthernet0/1 and the Outside (Untrusted) check box for
Serial0/0/1. Click Next. Click OK when the CCP launch warning for Serial0/0/1 is displayed.


In the next window, select Low Security for the security level and click Next.
e. In the Summary window, click Finish.
f. Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window.
Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below.

Click Deliver to send the commands to the router. Click OK in the Commands Delivery Status window.
Click OK on the Information window. You are returned to the Edit Firewall Policy tab as shown below


firewall functionality.
a. From PC-C, ping the R2 interface S0/0/1 at IP address 10.2.2.2.

Click the Configure button at the top of the CCP home screen. Choose Security > VPN > Easy VPN
Server.
b. Click on the Launch Easy VPN Server Wizard button.


Now we select deliver:

Select the interface on which the client connections terminate. Click the Unnumbered to radio button
and select the Serial0/0/1 interface from the pull-down menu.
b. Choose Pre-shared Keys for the authentication type and click Nextto continue.


In the IKE Proposals window, the default IKE proposal is used for R3.

Click Next to accept the default transform set.


In the Group Authorization and Group Policy Lookup window, choose the Local option

In the User Authentication (XAuth) window, you can select where user credentials will be configured.
You can select an external server, such as a RADIUS server, a local database, or both. Check the Enable
User Authentication check box and accept the default of Local Only


In the User Accounts window, click the Add button to add another user. Enter the username VPNuser1
with a password of VPNuser1pass. Select the check box for encrypting the password using the MD5
hash algorithm. Leavetheprivilegelevel at 1.

Click Add to create a group policy.
c. In the Add Group Policy window, enter VPN-Access as the name of this group. Enter a new pre-shared
key of cisco12345 and then re-enter it.
d. Leave the Pool Information box checked and enter a starting address of 192.168.3.100, an ending
address of 192.168.3.150, and a subnet mask of 255.255.255.0.
e. Enter 50 for the Maximum Connections Allowed.
f. Click OK to accept the entries


When you return to the Group Authorization window, check the Configure Idle Timer check box and
enter one hour (1). This disconnects idle users if there is no activity for one hour and allows others to
connect. Click Next to continue.
i. When the Cisco Tunneling Control Protocol (cTCP) window displays, do not enable cTCP.
ClickNexttocontinue.

No check


When the Easy VPN Server Passthrough Configuration window displays, make sure that the Action
Modify check box is checked. This option allows CCP to modify the firewall on S0/0/1 to allow IPsec VPN
traffic to reach the internal LAN. ClickOK tocontinue

Scroll through the commands that CCP will send to the router. Do not check the check box to test the
VPN. Click Finish.
b. When prompted to deliver the configuration to the router, click Deliver.


You are returned to the main VPN window with the Edit Easy VPN Server tab selected. Click the Test
VPN Server button in the lower right corner of the screen.
b. In the VPN Troubleshooting window, click the Start button.
Your screen should look similar to the one below. Click OK to close the information window.
ClickClosetoexitthe VPN Troubleshootingwindow.


CLIENTE


Start the Cisco VPN Client and choose Connection Entries > New, or click the New icon with the red plus
sign (+) on it.

Enter the following information to define the new connection entry. Click Save when you are finished.
Connection Entry: VPN-R3
Description: Connection to R3 internal network
Host: 10.2.2.1 (IP address of the R3 S0/0/1 interface)
Group Authentication Name: VPN-Access (defines the address pool configured in Task 2)
Password: cisco12345 (pre-shared key configured in Task 2)
Confirm Password: cisco12345


Select the newly created connection VPN-R3 and click the Connect icon. You can also double-click the
connection entry.

Enter the previously created username VPNuser1 in the VPN Client User Authentication dialog box and
enter the password VPNuser1pass. Click OK to continue. The VPN Client window minimizes to a lock
icon in the tools tray of the taskbar. When the lock is closed, the VPN tunnel is up. When it is open, the
VPN connection is down.

Comprobamos la conectividad


Nos conectamos al cliente

Accedemos a sus carpetas compartidas.


VPN sobre red local
a) Instalacin de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server.
Windows 2003 Server
Aadimos 2 tarjetas de red, una en modo puente y otra en en red interna.
Modo puente

Red interna


Creamos la conexin VPN





Windows XP
En conexiones de red, creamos una nueva conexin de red.

Elegimos configuracin avanzada


Aceptamos conexiones entrantes

Pulsamos siguiente


Marcamos permitir conexiones privadas virtuales

Permitimos al administrador la conexin VPN


Abrimos la propiedades del protocolo TCP/IP

Establecemos un rango de direcciones


Finalizamos el asistente

Ya tenemos creada nuestra conexin VPN en Windows XP


b) Instalacin de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,).

Instalamos el servidor VPN

Editamos el fichero /etc/pptpd.conf y descomentamos la lnea sealada.

En el mismo fichero configuramos el rango de direcciones


Abrimos el fichero /etc/ppp/pptpd-options
Configuramos la parte de autentificacin de la siguiente manera

Configuramos el fichero /etc/ppp/chap-secrets. Donde usuario es el nombre del usuario,
Ubuntu es el nombre del servidor VPN, clave es la contrasea del usuario y el * significa que
admite todas las direcciones IP.

Reiniciamos el servicio VPN


Configuramos los interfaces de red

Reiniciamos los interfaces de red

Conexin desde un cliente Windows y GNU/Linux VPN a un servidor VPN.
Windows




Comprobamos como se conecta

LINUX
Abrimos conexiones de red, VPN y aadir.


Crear

Configuramos la conexin VPN


d) Configurar el router Linksys RV200 como un servidor VPN sobre red local.
Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm
Nos vamos a la pestaa vpn client Access ponemos el nombre de usuario y la contrasea,
le damos add/save

Nos saldr esta pantalla y pondremos la direccin ip y la submascara y le daremos a save
settings para guardar los cambios
Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para
poder conectarnos


Configurar el router Linksys RV042 como un servidor VPN sobre red local.
Utiliza primero el simulador para practicar:
http://ui.linksys.com/files/RV042/1.2.3/home.htm
Nos vamos a vpn y le damos a client to Gateway, marcamos la opcin de tunnel y le ponemos
un nombre como vemos en la imagen y en la interface le dejamos la WAN1

En el desplegable vamos a seleccionar la opcin de solo ip y nos saldr la direccin ip que
tengamos configurada en nuestro router, luego pondremos la direccin ip con la que va a
tener nuestra subred y la mscara, luego volvemos a seleccionar solo ip y ponemos la direccin
ip del equipo con el que vamos a hacer la vpn


En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos
como vienen en la imagen y le daremos a save settings para guardar los cambios.
Ahora nos iremos al cliente y configuraremos el software necesario para podernos
conectar.

Redes Privadas Virtuales

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Redes Privadas Virtuales

Cargado por

Copyright:

Formatos disponibles

Luis Alfonso Snchez Brazales

REDES PRIVADAS VIRTUALES (VPN)

También podría gustarte