Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tuneles de GRE Sobre IPSEC Con EIGRP

    Cargado por

    Oso Cariñoso
    269 vistas4 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    269 vistas4 páginas

    Tuneles de GRE Sobre IPSEC Con EIGRP

    Cargado por

    Oso Cariñoso

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Tuneles de GRE sobre IPSEC con EIGRP

    En Mexico es muy comun que casi cualquier empresa contrate un servicio de internet utilizando la tecnologia ADSL (en mexico llamado Infinitum), sin embargo este servicio no deja de ser inseguro y riesgoso puesto que esta expuesto a cualquier ataque ademas de pasar los datos en texto plano. Una forma interesante, sencilla y mas segura de realizar una comunicacion entre dos o mas entidades es a traves de VPNs que usan tuneles de gre sobre IPsec. A continuacion describo el procedimiento para realizar una vpn utilizando esta tecnica, El objetivo de esta configuracion es que el host 172.16.1.9 miembro de la red 172.16.1.0 cuyo Default Gateway es el router 1 tenga comunicacion con el host 172.16.2.15 miembro de la red 172.16.2.0 cuyo default Gateway es el router 2 a traves de un tunel de GRE sobre IPSEC utilizando el protocolo de ruteo EIGRP. Evitare las lineas de configuracion basica, como ruta default, DG, nats y pats y configuracion de las interfaces ethernet y/o Dialer1 (si fuese adsl). Arquitectura utilizada: - 2 routers CISCO - 1 enlace de internet Veamos el diagrama:

    Nota: por cuestiones de poner solo un identificador puse esas ips publicas en las interfaces de los routers. (inexistentes por cierto), en en la configuracion de abajo se les denomina como IP PUBLICA DEL PEER y IP PUBLICA LOCAL En el router 1 pondremos la siguiente configuracion: router1(config)#crypto isakmp policy 10 router1(config-isakmp)#encr 3des router1(config-isakmp)#hash md5 router1(config-isakmp)#authentication pre-share ! router1(config)#crypto isakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des router1(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des espmd5-hmac mode transport router1(config)#crypto map gretunnel 100 router1(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER router1(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET router1(config-crypto-map)#match address NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL ! router1(config)#interface Tunnel100 router1(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL router1(config-int)#tunnel source IP.PUBLICA.LOCAL router1(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER router1(config-int)#crypto map gretunnel ! router1(config)#router eigrp 1 router1(config-router)#network 172.16.1.0 -->(La lan es una clase b)

    router1(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre) ! router1(config)#ip access-list extended NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL router1(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 router1(config-ext-nacl)#deny ip any any En el router 2 pondremos la siguiente configuracion: router2(config)#crypto isakmp policy 10 router2(config-isakmp)#encr 3des router2(config-isakmp)#hash md5 router2(config-isakmp)#authentication pre-share ! router2(config)#crypto isakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des ---> (Misma que en router1) router2(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des espmd5-hmac mode transport router2(config)#crypto map gretunnel 100 router2(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER router2(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET router2(config-crypto-map)#match address NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL ! router2(config)#interface Tunnel100 router2(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL (debe ser del mismo segmento q la seleccionada para la interface de tunnel de router1) router2(config-int)#tunnel source IP.PUBLICA.LOCAL router2(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER router2(config-int)#crypto map gretunnel ! router2(config)#router eigrp 1 router2(config-router)#network 172.16.2.0 -->(La lan es una clase b) router2(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre) ! router2(config)#ip access-list extended NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL router2(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 router2(config-ext-nacl)#deny ip any any

    Con esta configuracion en ambos routers obtendremos levantar un tunel que simulara un enlace WAN hacia el otro destino, de forma que si necesitamos realizar la comunicacion de un site a otro site (vpn site to site) esta se llevara a cabo. Nota importante: Recuerden que para que el tunel se levante debe de haber trafico interesante que cruze las interfaces por lo que a la hora de las pruebas despues de la configuracion deben de mandar un ping extendido de forma que el trafico sea originado en la interface inside y enviado hacia la interface inside del router del otro lado, de esta forma se cumple la condicion de la lista de acceso que establece el tunel. Ej. router2#ping Protocol [ip]:

    Target IP address: 172.16.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 172.16.2.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: Packet sent with a source address of 172.16.1.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/28/36 ms

    En el ejemplo se consider que la Lan es una clase b, (172.16.0.0) y la wan una clase C (192.168.1.0) pero en realidad se puede considerar cualquier otro direccionamiento, dependiendo de la necesidad de cada quien. Se recomienda utilizar mascara 30 bits para de esta forma evitar el gasto de ips innecesariamente. Una vez configurado lo anterior debemos confirmar que nuestros tuneles de crypto estan arriba, esto lo conseguimos con el comando show crypto isakmp sa , tendremos una salida como esta: router2#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 66.55.44.33 44.55.66.77 QM_IDLE 4099 0 ACTIVE IPv6 Crypto ISAKMP SA Acto seguido revisar que el tunnel de GRE tambien esta arriba, esto lo conseguimos con un show ip int br router2#show ip int br Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 172.16.2.1 YES NVRAM up up GigabitEthernet0/1 44.55.66.77 YES NVRAM up up Tunnel100 192.168.1.2 YES NVRAM up up Por ultimo confirmar que el router1 se encuentre registrado como vecino de EIGRP, esto lo conseguimos con un show ip eigrp neighbors router2#show ip eigrp neighbors IP-EIGRP neighbors for process 1 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 7 192.168.1.1 Tu100 13 16:23:42 47 5000 0 47911

    También podría gustarte