VPN Tnel Virtual en Router Cisco (GNS3)

Trabajo realizado por Yonatan Gallego Durango

Administracin de Redes Sena (Antioquia)

Tutor Mauricio Ortiz

2011

Introduccin Conociendo la importancia de las redes a nivel tecnolgico e informtico pienso que no es de sobra un aporte mas en configuracin de un tema que nos proporciona seguridad. A medida que evolucionan los sistemas de red, se ve la necesidad de innovar y concienciar que las herramientas que a menudo tenemos para la configuracin y administracin de redes son muchsimas y cada vez crecen mas. En este manual utilizare algunas de ellas para configurar un tnel virtual seguro o tambin llamado as una VPN. De igual manera el uso de estas herramientas es orientado solo a la configuracin de dicho manual por tanto ser objetivo y puntual en el tema especificado VPN.

Objetivos -Reforzar un poco acerca del tema expuesto en dicho manual -Exponer de forma objetiva el tema de VPN (Red Privada Virtual) con la intencin de familiarizar ms el tema para todos aquellos que conocen muy poco o no lo conocen -Dar a conocer cada una de las herramientas utilizadas para dicho procedimiento -Afianzar mi conocimiento sobre el tema para ser recordado con posterioridad -Cumplir con el currculo y gua acadmica para la institucin.

Conceptos VPN
Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo internet. Se clasifica en dos tipos de conexin VPN-Punto a Punto y VPN-RoadWarrior la primera esta basada en una conexin entre dos extremos conocidos cifrando el tnel o canal ente ambos mientras que la otra se basa en una conexin desde cualquier equipo que funciona como cliente y pasara atravez de una red insegura hacia un punto fijo que sera el servidor VPN.

GNS3
es un simulador grfico de red que te permite disear topologas de red complejas y poner en marcha simulaciones sobre ellos.

SDM
Security Device Manager, Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador mediante la cual vamos a poder remplazar el CLI (linea de comandos) de cisco por una interfaz grfica mediante HTTP mas amigable y sencilla.

WIRESHARK es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, como una herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de un analizador de protocolos.

Se encuentra desarrollada la siguiente topologa donde el serial desde la 192.168.100.1 a la 192.168.100.2 sera el canal donde se implementara el tnel VPN-Punto a Punto. Las 2 nubes sern dos maquinas Windows XP que simularan 2 LAN diferentes.

Para la instalacin del SDM es necesario tener un navegador actualizado como el internet explorer8 o 9, la versin de java 5.0, es necesario que se implementen antes de instalar el SDM. Descargamos e instalamos el explorador internet explorer8

al instalar el SDM y conectarnos con el router, obtendremos esta ventana donde administraremos el router grficamente. Nos paramos en VPN, VPN sitio a sitio

seleccionamos el asistente por pasos

seleccionamos el serial en donde se implementara el tnel, el par remoto que es el otro extremo, y la autenticacin la hacemos mediante claves precompartidas (contrasea)

en agregar para definir la clase de cifrado e integridad que tendr el tnel.

especificamos las subredes desde la que se origina el trafico hacia la de destino

finalizamos el asistente

ha sido creada la configuracin para el tnel VPN de un extremo. La configuracin para el otro extremo osea el otro router es la misma solo intercambiando el origen y el destino de las direcciones de red. Para el otro extremo se podra instalar el SDM en la otra maquina XP que simula la otra LAN o as mismo podra ser administrado desde el SDM ya instalado en la LAN del primer extremo. Al finalizar el asistente para configuracin de VPN-punto a punto en ambos routers probamos el tnel.

Probando tnel 192.168.100.1 a 192.168.100.2

seleccionamos la primera opcin y aadimos una direccin puede ser que este dentro de la red de destino o as mismo el par remoto de la conexin VPN

El tnel VPN ha sido activado

Cuando el estado es Hacia arriba significa que la actividad del Tnel esta activada

podemos capturar un paquete enviado un ping de un extremo al otro de la conexin para esto utilizaremos el capturador de trafico WIRESHARK que esta incrustado por defecto en el GNS3. Nos paramos sobre el serial, del tunel VPN, click derecho y capturar. Escojemos encapsulacin PPP

Mandamos un ping

o viceversa

al capturar el trafico el protocolo se muestra como ESP mas no como ICMP que es el del ping normalmente. Esto significa que la conexin ha sido cifrada

Configurando VPN-RoadWarrior
para este tipo de conexin se agregara una red en la simulacin que sera la WAN donde estara el equipo cliente que puede ser cualquiera y en este caso no conocemos su direccin IP y se conectara al servidor establecido de VPN.

En la administracin del router por la interface f0/0 creamos la conexin roadwarrior mediante Servidor Easy VPN

activamos la autenticacin AAA

Seleccionamos la fastEthernet0/1 que esta conectada a la WAN, seleccionamos claves compartidas

seleccionamos el modo de autenticacin, cifrado y Hash o resumen, un grupo y damos una prioridad

para los grupos locales

agregar para aadir una poltica de grupo

especificamos un nombre de grupo y una contrasea que seran utilizados posteriomente para la conexin desde el cliente y especificamos un rango de IP del cual se le asignara una direccin al cliente en el momento de conectarse con el servidor VPN.

Ha sido creada la conexin VPN-RoadWarrior en el servidor, faltara configurar el cliente VPN podemos probar el servidor con el boton de la parte inferior derecha Probar servidor VPN

podemos comprobar la fase de resolucin de problemas

instalamos en el cliente VPN Client, este es un software que acta como cliente VPN y creamos una conexin

especificamos un nombre para la conexin entrante, una descripcin y el host remoto al que nos conectaremos, en la parte de autenticacin digitamos el grupo con la contrasea creado anteriormente en el servidor.

Nos logiamos con el usuario con el que nos conectamos con el SDM

damos en conectar

si la conexin se realiza con xito nos debe aparecer este candado amarillo en la barra edl escritorio

si observamos la direccin ip mediante la consola nos encontramos con 2 IP que son la publica original y la que fue proporcionada por el servidor VPN que seria la de abajo, con esto nos damos cuenta que realmente se estableci un tnel y el cliente esta haciendo presencia virtual dentro de la LAN por una conexin segura.

Si le hiciramos un ping a un equipo dentro de la LAN sera respondido

eso es todo..