VPN SITIO A SITIO

Mapa Topología:

Configuración Router Sitio 1:

Configuración Básica

Site1>enable
Site1#configure terminal
Site1(config)#interface serial 0/0
Site1(config-if)#ip address 11.0.0.5 255.255.255.252
Site1(config-if)#no shutdown
Site1(config-if)#clock rate 64000
Site1(config-if)#exit
Site1(config)#interface fastEthernet 0/0
Site1(config-if)#ip address 172.16.10.1 255.255.255.0
Site1(config-if)#no shutdown
Site1(config-if)#exit
Site1(config)#ip dhcp pool Site1
Site1(dhcp-config)#network 172.16.10.0 255.255.255.0
Site1(dhcp-config)#default-router 172.16.10.1
Site1(dhcp-config)#exit
Site1(config)#do wr
Site1(config)#end
Site1#ping 172.16.10.2
Site1#

Configuración de VPN

Site1#
Site1#configure terminal

Crypto Policy
El cifrado de políticas permite definir lo que la configuración de seguridad ISAKMP que estará
entre estos los 2 peers. En nuestro ejemplo, se establece la política de utilizar IPSEC (con el cifrado
AES) y la autenticación se establece con clave pre-compartida.

Site1(config)#crypto isakmp policy 1: Define la política IKE (Internet Key Exchange), Una política
IKE define una combinación de parámetros de seguridad (cifrado, hash, autenticación y DH) que
serán usados durante la negociación IKE. Se puede establecer la prioridad de protección del
conjunto en el rango (1-10000) siendo 1 la prioridad más alta. En ambos nodos deben crearse
políticas (tantas como se quieran ordenadas por prioridad) y, al menos, debe existir una igual en
los 2 extremo para poder autenticar el enlace.
Site1(config-isakmp)#authentication pre-share: Utiliza el método de Autenticación de clave
compartida. Tambien puede utilizarse el método de encriptación Rivest-Shamir-Adleman
Encryption o Rivest-Shamir-Adleman Signature. RSA signatures: hay que configurar ambos nodos
para obtener los certificados de una CA. RSA encrypted nonces: cada nodo debe tener en su poder
la clave pública del otro nodo. Pre-Shared keys: a. Establecer la identidad ISAKMP de cada nodo
(nombre o IP). b. Establecer el secreto compartido en cada nodo.
Site1(config-isakmp)#hash sha: Elige el algoritmo sha (Secure Hash Algorithm) como el algoritmo
de hash a utilizar para la integridad y autenticidad de la información. Puede utilizar también el
algoritmo MD5 (Message Digest 5).
Site1(config-isakmp)#encryption aes 256: Especifica 256 bits de AES (Advanced Encryption
Standard) como el algoritmo de cifrado dentro de laa política IKE que definimos con anterioridad.
Puede utilizarse DES o 3DES (Data Encryption Standard).
Site1(config-isakmp)#group 2: Especifica el identificador de Diffi-Hellman a utilizar. Este es un
protocolo de establecimiento de claves entre partes que no han tenido contacto previo, utilizando
un canal inseguro, y de manera anónima (no autenticada). Se emplea generalmente como medio
para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave
de sesión). Siendo no autenticado, sin embargo, provee las bases para varios protocolos
autenticados.
Site1(config-isakmp)#lifetime 86400: Especifica el tiempo de vida que tendrá la conexión antes de
que se vuelva a reiniciar y se renueven las claves compartidas entre los enrutadores es decir la
asociación de seguridad (AS). Es indispensable preservar el máximo tiempo para que no se reinicie
muy periódicamente la conexión de la VPN sitio a sitio.
Site1(config-isakmp)#exit

Crypto Key:
Se utiliza una clave pre-compartida entre los dos Routers formando una VPN IPSec (Internet
Protocol Security)

Site1(config)#crypto isakmp key cisco address 11.0.0.6: Indica que va la clave es cisco y que la va a
compartir con el Router remoto que tiene asignada la IP 11.0.0.6.
Site1(config)#crypto ipsec security-association lifetime seconds 86400: Especifica el tiempo de
vida que tendrá el túnel IPSEC entre los enrutadores.

IPSec Transform-set:
Se usa para configurar las opciones del cifrado IPSec entre los 2 Routers que forman la VPN IPSec.

Site1(config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac: Establece las políticas de

seguridad (cifrado y autenticación) IPSec que se usarán en las comunicaciones, eligiendo el modo
transporte (Authentication Header AH) o túnel (Encapsulated Security Payload ESP). Esp-aes para
el cifrado y esp-sha-hmac para la autenticación e integridad por (Secure Hash Algoritm y (Hash-
Based Message Authentication Code).
Site1(cfg-crypto-trans)#exit

Access-list:
La lista de acceso es muy importante, puesto que define que trafico viaja y no viaja encriptado
entre los 2 enrutadores. Si el tráfico no está permitido en la ACL, el tráfico no se encripta.

Site1(config)#access-list 101 permit ip 172.16.10.0 0.0.0.255 192.168.50.0 0.0.0.255: Esta lista de

acceso define la o las redes que viajaran con tráfico cifrado a través de la VPN. Nunca olvide que es
necesario crear una lista de acceso que permita el envío de la política IPSec ISAKMP hacia internet
a través del puerto UDP 500 y también el cifrado de la información esp. Por ej: access-list 150
permit udp host 1.1.1.1 any eq isakmp. access-list 150 permit esp host 1.1.1.1 any.

Crypto Map:
El mapa de cifrado es la función que trae la asociación entre la política aplicada, la clave, el
transform-set y la lista de acceso de manera que todo se integra. Se puede definir un nombre para
el crypto-map y el mismo nombre será utilizado para aplicar el crypto-map a una interfaz.
Cuando el enrutador se inicializa, la VPN está apagada. El túnel encriptado es formado cuando el
primer paquete es enviado y coincide con el criterio de la lista de acceso de manera que esta se le
aplica, esto se conoce como emparejamiento o match. Se puede utilizar el comando show crypto
map para ver la información del mapa de cifrado en la configuración actual.

Site1(config)#crypto map site1_to_site2 10 ipsec-isakmp: Define el nombre del Crypto map

“site1_to_site2” que utilizará IKE para establecer las asociaciones de seguridad (SA). Los mapas de
cifrado pueden tener muchas líneas, observe el 10 en el comando a configurar, esto significa que
se está configurando la línea 10 de un rango de 1-65535 líneas. A partir de ahí, habría que agregar
las siguientes líneas 20, 30 y así sucesivamente.
Site1(config-crypto-map)#set peer 11.0.0.6: Se especifica la dirección IP del Router peer o de
conexión donde se encontrará el otro extremo del túnel y con el cual se negociarán las políticas de
la VPN y se cifrará o de descifrará la información. El enrutador remoto al que se conecta el otro
extremo del túnel, deberá tener la misma configuración excepto el direccionamiento IP puesto
que este se invierte, lo anterior principalmente en la ACL definida para el tráfico de las redes que
debe ser cifrado.

Site1(config-crypto-map)#set pfs group2: Establece las configuraciones de PFS (Perfect Forward

Secrecy) que es una propiedad de un sistema de cifrado que nos garantiza que las claves usadas
hoy no se verán descubiertas si el día de mañana se revela alguna información secreta relacionada
con dichas claves. Se conoce como secreto perfecto y hace uso del algoritmo asimétrico de diffie-
hellman que genera dos claves, una privada y una pública a partir de 2 números, un generador y
un módulo. El grupo diffie-hellman 2 se considera el grupo más seguro de acuerdo a los Gurús de
las redes.
Site1(config-crypto-map)#set security-association lifetime seconds 86400: Especifica el tiempo de
vida que tendrá la entrada en el mapa de cifrado creado, antes de volver a renovarse.
Site1(config-crypto-map)#match address 101: Empareja los paquetes que se van a enviar por la
interface donde se aplicará el mapa criptográfico, comparándolos con los paquetes que están
permitidos en la lista de acceso 101. Esto especifica qué tráfico debe ser protegido por IPSec, es
decir únicamente se cifrarán los paquetes que cumplan con la ACL 101 o la etiqueta de la lista en
caso de usar una lista nombrada.
Site1(config-crypto-map)#set transform-set myset: Especifica que transform set está permitido
para esta entrada en el mapa de cifrado.
Site1(config-crypto-map)#end
Site1#configure terminal
Site1(config)#interface s0/0
Site1(config-if)#crypto map site1_to_site2: El crypto-map definido se aplica en la interfaz Serial
0/0. Este es el último comando que se debe agregar a la configuración de la VPN, para que de esta
manera el túnel de VPN se aplique efectivamente permitiendo el funcionamiento del mismo.
Recuerde que para este ejemplo, el mapa de cifrado se llamo site1_to_site2.
Site1(config-if)#exit
Site1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
Site1(config)#exit
Site1#wr
Site1#

Configuración Router Sitio 2:

Configuración Básica

Site2>enable
Site2#configure terminal
Site2(config)#interface serial 0/0
Site2(config-if)#ip address 11.0.0.6 255.255.255.252
Site2(config-if)#no shutdown
Site2(config-if)#clock rate 64000
Site2(config-if)#exit
Site2(config)#interface fastEthernet 0/0
Site2(config-if)#ip address 192.168.50.1 255.255.255.0
Site2(config-if)#no shutdown
Site2(config-if)#exit
Site2(config)#ip dhcp pool Site2
Site2(dhcp-config)#network 192.168.50.0 255.255.255.0
Site2(dhcp-config)#default-router 192.168.50.1
Site2(dhcp-config)#exit
Site2(config)#do wr
Site2(config)#end
Site2#ping 192.168.50.2
Site2#

Configuración VPN

Site2#
Site2#configure terminal
Site2(config)#crypto isakmp policy 1
Site2(config-isakmp)#authentication pre-share
Site2(config-isakmp)#hash sha
Site2(config-isakmp)#encryption aes 256
Site2(config-isakmp)#group 2
Site2(config-isakmp)#lifetime 86400
Site2(config-isakmp)#exit
Site2(config)#crypto isakmp key cisco address 11.0.0.5
Site2(config)#crypto ipsec security-association lifetime seconds 86400
Site2(config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
Site2(cfg-crypto-trans)#exit
Site2(config)#access-list 101 permit ip 192.168.50.0 0.0.0.255 172.16.10.0 0.0.0.255
Site2(config)#crypto map site2_to_site1 10 ipsec-isakmp
Site2(config-crypto-map)#set peer 11.0.0.5
Site2(config-crypto-map)#set pfs group2
Site2(config-crypto-map)#set security-association lifetime seconds 86400
Site2(config-crypto-map)#match address 101
Site2(config-crypto-map)#set transform-set myset
Site2(config-crypto-map)#end
Site2#configure terminal
Site2(config)#interface serial 0/0
Site2(config-if)#crypto map site2_to_site1
Site2(config-if)#exit
Site2(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
Site2(config)#exit
Site2#wr
Site2#