VPN - Sitio a Sitio con Cryto maps

Autor: Julio Moisa - CCIE R&S #52536
Email: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. 

                                                                                                                       
                                                            VPN SITE SITE                                                       

Que es una VPN (Virtual Private Network), básicamente una VPN es una conexión entre 2 puntos no necesariamente conectados directamente, la información que pasa a través es encriptada para proveer protección. Existen varios tipos de VPN, pero los más comunes son: VPN Sitio a Sitio o también conocido como LAN a LAN, VPN Remote Access, Firewall VPN y VPN Usuario a Usuario. 

En este artículo aprenderemos a configurar una VPN Sitio a Sitio en Routers, pero antes de conocer el procedimiento, debemos conocer cierta terminología y protocolos con el fin de familiarizarnos:

Modo Transport: Es un tipo de encapsulamiento, donde el paquete IP original es visible a menos que se aplique encriptación. Este tipo de encapsulamiento es más utilizado entre conexión host a host o de un host a un gateway VPN. Entre sus características podemos encontrar: Mayor MTU, seguridad de punto a punto. Desventajas: no es muy escalable e inconvenientes con NAT-T.

 Modo Túnel: Es otro tipo de encapsulamiento y es mucho más compatible con los tipos de VPN Gateway, el paquete IP es encapsulado dentro de otro paquete para protegerlo. Desventajas: 

 ISAKMP: Es un procedimiento establecer el mecanismo de intercambio de llaves y definir el formato de los mensajes, los cuales serán utilizados para las asociaciones de seguridad. 

IKE: Encargado de definir la creación y administración de las llaves para usarlas con los métodos de protección.

Grupo Diffie Hellman: Es utilizado para determinar el tamaño de la llave compartida entre ambos equipos. Cada grupo tiene de Diffie Hellman (DH) representa cierta cantidad de bits, y los grupos van del 1 al 5, 7, 14 y 15. No todos los equipos soportan todos los grupos. 

IPSec: IP Security, fue creado para proveer protección a los datos por medio de encriptación, Los algoritmos de encriptación soportados por IPSec son: DES, 3DES, AES. IPSec soporta 1 o 2 tipos de protocolos de seguridad ESP (Puerto 51) y AH (Puerto 50).

Pre Shared key: Permite la autenticación de IKE usando una llave compartida. 

Algoritmo Hash: Representa el método de criptografía, el cual puede ser SHA-1 o MD5.

Crypto Map: Mecanismo utilizado para asociar ACLs y los parámetros de IPSec, configurado durante la Fase 2.

Fase 1: También conocido como ISAKMP/IKE Fase 1, es básicamente el proceso de administración de la VPN donde se verifica que se coincida el tipo de autenticación, grupo DH, algoritmo de encriptación, el hash, lifetime, etc. en los peers de VPN. En esta fase no se transmite ningún tipo de tráfico de usuarios. 

Aquí es donde se define la el perfil y la llave. 

Fase 2: También conocido como ISAKMP/IKE Fase 2, es básicamente utilizado para negociar y establecer un túnel IPSec, una vez establecido el tráfico de los usuarios fluye a través de la VPN.

PASOS PARA CREAR UNA VPN SITIO A SITIO

Nota: RIP es utilizado para simular Internet.

Antes de proceder, en los router R1 y R4 que son nuestros routers de borde, crearemos una ruta por defecto apuntando los proveedores de servicio, luego advertiremos dicha ruta por defecto a los routers R5 y R6 cuáles son nuestros routers internos.

ENRUTAMIENTO VPNSTS

Verificamos la tabla de enrutamiento de R5 y R6.

TABLAENRUTVPN

A pesar que ya tenemos configurada una ruta por defecto, no somos capaces de hacer ping entre las direcciones loopbacks, esto debido a que no estamos realizando mutual redistribución entre RIP con EIGRP, y RIP con OSPF.  Desde que RIP es utilizado para simular Internet, podemos obviar ese paso.  

vpnfailedping

  

Fase 1

Basados en el diagrama mostrado anteriormente, procederemos a crear la fase 1:

  • Creamos un perfil ISAKMP en los router R1 y R4

   POLICY ISAKMP

  • Creamos la llave y asignamos la direccion IP del peer con el cual se compartira, podemos colocar 0.0.0.0 en la dirección, el cual representa que se puede intercambiar con cualquier peer.

isakmp key 

 

Fase 2

Una vez finalizada la configuración para la Fase 1 procederemos con la configuración de la Fase 2, esta involucra:

- Creación de las ACLs para habilitar la comunicación necesaria.
- Configurar los parámetros de encriptación y encapsulamiento de IPSec.
- Creamos un crypto map para asociar la información de IPSec y la ACL. 

       ACL CM 

Si estudiamos la imagen, podemos observar que solo estamos permitiendo tráfico que nosotros deseamos.

Configuramos los parámetros de IPSec:

ipsec vpnsts

 Ahora creamos el crypto map para asociar nuestros parámetros de la Fase 2:

cryptomaps 1

 En el caso que se tengan multiples proveedores, se puede utilizar el comando crypto map <nombre del crypto map> local-address <usualmente una direccion publica o en ciertos casos loopbacks>, en nuestro caso no utilizaremos el comando ya que no tenemos multiples conexiones.

Una vez creado los crypto maps los asociamos a las interfaces que conectan a nuestros proveedores, utlizando el comando crypto map <nombre del crypto map> 

 applicando CM

 cryptomap enabled

Ok, hemos finalizado la configuración de la VPN, pero solo podremos observar el funcionamiento si existe trafico interesante (interesting traffic en inglés), esto significa que debemos generar tráfico, lo más fácil es haciendo ping entre loopbacks. 

Los comandos para verificar la fase 1 y 2 son respectivamente:

show crypto isakmp sa

show crypto ipsec sa

cryp SA nada

Como no hemos generado tráfico, no se observan asociaciones de seguridad. Observemos que sucede si ejecutamos un ping desde R5 hacia las loopbacks de R6.

VPN PING SATISFACTORIO STS

El ping es satisfactorio, verifiquemos cada una de las fases:

 crypto fase 1 up

La fase 1 ya se encuentra funcionando correctamente. Revisemos la fase 2:

crypto fase 2 up parte 1

La fase 2 ya se encuentra funcionando y permitiendo el tráfico entre las redes permitidas en la ACL, como veremos a continuación:

crypto fase 2 up parte 2

crypto fase 2 up parte 3

Se observan los paquetes son recibidos, encapsulados y desencapsulados lo que indica que nuestra VPN funciona correctamente. 

 

 

Registrate para comentar.

Visitas del artículo
95738