Conceptos y configuracion de una IPSEC-VPN de tipo Site to Site

Publicado el Jueves, 20 Diciembre 2012 08:38 Escrito por Juan J. Ponce Las VPNs de tipo IPSEC site to site se utilizan para proteger la informacion que viaja a traves de dispositivos de comunicaciones no confiables como puede ser internet. Las VPNs de tipo site to site son como su nombre lo dice son VPNs que son configuradas desde un punto a otro punto y que pueden estar geograficamente muy distantes. Para el laboratorio utilizaremos la siguiente topologa:

Para configurar las VPNs con el IOS de cisco necesitamos tener claros los conceptos ya que pueden llegar a confundirnos. En la elaboracion de la VPN debemos de tener en cuenta los siguientes parametros (los de negritas son por default y los que no se deben de configurar de manera explicita).

IPSEC FASE 1
Parametros Key distribution method Encryption Algoritm Hash Algorithm Authentication Method Key Exchange IKE SA Lifetime Manual or ISAKMP DES, 3DES, or AES MD5 or SHA1 Pre-shared or RSA DH Group 1,2, or 5 86400 seconds or less R1 ISAKMP AES SHA1 Preshare DH2 86400 R3 ISAKMP AES SHA1 Preshare DH2 86400

IPSEC FASE 2
Parameters Transform Set Peer Hostname Peer IP Address Network to be encrypted Crypto-Map name SA Estrablishment R1 VPN-SET R3 10.2.2.2 192.168.1.0/24 VPN-MAP Ipsec-isakmp R3 VPN-SET R1 10.1.1.2 192.168.3.0/24 VPN-MAP Ipsec-isakmp

1. Configurar el trafico de inters para ser encriptado. Dicha ACL ser el triger para que la IPSEC VPN encripte el trafico. Todo el trafico que no este incluida en esta ACL no ser encriptado y enviado a travez del tnel de VPN. ?
R1(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0

10.0.0.25 2R3(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

0.0.0.25

2. Configuramos la poltica de ISAKMP FASE 1 en R1, esta poltica ser ira comparando con la configurada en R2 hasta que exista una con los mismos parmetros.

En R1: ? 1 crypto isakmp policy 10 2 encryption des 3 hash sha 4 authentication pre-share 5 group 2 6 lifetime 86400 ! 7crypto isakmp key vpnpa55 address 10.2.2.2 8 En R3 ? 1 crypto isakmp policy 10 2 encryption des 3 hash sha 4 authentication pre-share 5 group 2 6 lifetime 86400 ! 7crypto isakmp key vpnpa55 address 10.1.1.2 8

3. Seleccionamos la fase 2, primero creamos el transform-set y despus el MAP que juntara nuestra fase 1 de la 2. En R1 ? 1R1(config)#crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac 2R1(config)#crypto map VPN-MAP 10 ipsec-isakmp 3R1(config-crypto-map)#set peer 10.2.2.2 4R1(config-crypto-map)#match address 110 5R1(config-crypto-map)#set transform-set VPN-SET En R3 ? 1R3(config)#crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac 2R3(config)#crypto map VPN-MAP 10 ipsec-isakmp 3R3(config-crypto-map)#set peer 10.1.1.2 4R3(config-crypto-map)#match address 110 5R3(config-crypto-map)#set transform-set VPN-SET

4.Se configura en la interfaz de salida el MAP de la VPN. En R1 ? 1R1(config)#interface serial 0/0/0 2R1(config-if)#crypto map VPN-MAP 3*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON En R3 ? 1R3(config)#interface serial 0/0/1 2R3(config-if)#crypto map VPN-MAP 3*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON 5. Para verificar el funcionamiento de nuestra VPN podemos hacer un ping al host remoto e ir viendo como incrementan nuestros paquetes. ? 1R1#sh crypto ipsec sa