TUNEL VPN EN UN ROUTER CISCO PUNTO A PUNTO Y ROAD WARRIOR EN GNS3
DANIEL PALACIO VÈLEZ
NETWORKINGROUP
ADMINISTRACION DE REDES MAURICIO ORTIZ
CENTRO DE SERVICIOS Y GESTIONS EMPRESARIAL SENA 2010
INTRODUCCION
Las VPN nos garantiza confidencialidad y la integridad de los datos ya que la internet es un medio inseguro como esta todo al aire libre por así decirlo, la VPN es un túnel privado seguro donde por un medio inseguro mandamos todo sin ninguna preocupación.
MARCO TEORICO
VPN Las redes de área local (LAN) son las redes internas de las organizaciones, es decir las conexiones entre los equipos de una organización particular. Estas redes se conectan cada vez con más frecuencia a Internet mediante un equipo de interconexión. Muchas veces, las empresas necesitan comunicarse por Internet con filiales, clientes o incluso con el personal que puede estar alejado geográficamente. Sin embargo, los datos transmitidos a través de Internet son mucho más vulnerables que cuando viajan por una red interna de la organización, ya que la ruta tomada no está definida por anticipado, lo que significa que los datos deben atravesar una infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es posible que a lo largo de la línea, un usuario entrometido, escuche la red o incluso secuestre la señal. Por lo tanto, la información confidencial de una organización o empresa no debe ser enviada bajo tales condiciones SDM Muchas personas no están familiarizadas con los comandos de los routers Cisco y los entiendo por que para mi también fue difícil en los primeros años pero para dichas personas existen soluciones como esta, el cual es un software diseñado para simplificarnos la vida al utilizar una interfaz gráfica de JAVA para administrar vía WEB los routers Cisco sin tener que aprendernos todos los comandos que deberíamos ejecutar GNS3 Los routers son dispositivos costosos y al ser una practica de laboratorio contamos con herramientas libres como GNS3 para emular un router, según Wikipedia GNS3 es un "simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos". Para permitir completar simulaciones, GNS3 está estrechamente vinculada con: Dynamips, un emulador de IOS que permite a los usuarios ejecutar binarios imágenes IOS de Cisco Systems. Dynagen, un front-end basado en texto para Dynamips Qemu, un emulador de PIX.GNS3 es una excelente herramienta complementaria a los verdaderos Laboratorios para los administradores de redes de Cisco o las personas que quieren pasar sus CCNA, CCNP, CCIE DAC o certificaciones.
En si GNS3 es un software diseñado para emular realmente una topología de red completa como si tuvieras en realidad un router, enrutando paquetes desde tus maquinas virtuales de VirtualBox hacia Internet u otras subredes según lo que quieras diseñar. VirtualBox Este es muy conocido, es un emulador de maquinas o de sistemas operativos, Es como tener varios PC dentro de tu PC.
Con esta topología es la que vamos a trabajar donde tenemos 2 router que se conectaran por un tunel (VPN) 2 Redes LAN
Configuramos las interfaces con una ip estática
También configuramos el serial y le colocaremos clock rate
Permitimos el acceso HTTP y HTTPS y la autenticación local y permitimos la entrada telnet y ssh
Para que funcione correctamente el SDM debemos descargar internet Explorer 9
Procedemos a descargar JAVA desde la página oficial
Damos siguientes para la instalación
Aceptamos el acuerdo de licencia
Le especificamos al que la instalación va hacer local
La ruta donde quedara guardado el SDM
Y le damos instalar
Y finalizamos
La dirección ip de la de la interfaz del router que es por donde vamos administrar
Permitimos contenidos bloqueados
Ingresamos el usuario y la contraseña que lo pusimos al router
Permitimos contenido bloqueado
Verificamos la firma de digital del JAVA
Usuario y contraseña del router para la autenticación de JAVA
Este es el inicio del SDM
Para configurar el túnel VPN vamos a la pestaña Configurar, VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada
Elegimos el modo de configuración del túnel VPN, lo haremos por pasos para que sea mas sencillo y nos muestre más detalladamente los parámetros
Ingresamos la interfaz que será configurada como el primer extremo del túnel VPN, el direccionamiento y la IP del otro túnel y el tipo de autenticación que usara el túnel que será llaves precompartidas
Especificamos Especificamos el algoritmo de cifrado y el tipo de autenticación
Damos agregar para agregar un conjunto de transformación
Agregamos el conjunto de transformación
Especificamos el tráfico a proteger, en este caso vamos a proteger todo el tráfico en los dos extremos.
El resumen de la configuración, verificamos si la información es correcta, recordemos que este procedimiento lo aplicamos en los 2 routers
Aplicando todos los comandos realizados
Ahora probaremos el función del túnel VPN
Un alerta del SDM que permitirá todas las depuraciones del router
Especificamos una IP de destino hacia la cual generar el trafico de prueba del túnel
El túnel VPN está activo
Probamos dándole un ping (ICMP) de router a router y podemos ver que es exitoso
También hacemos una captura del trafico con wireshark con cualquier protocolo ya sea un ping una petición web y el protocolo a y deberá aparecer el protocolo ESP
CONFIGURACION DE UNA VPN ROAD WARRIOR
Con esta topología es la que trabajaremos
Colocamos la interfaz por DHCP para que podamos tener internet por esa interfaz
Nos dirigimos a la pestaña Configurar, VPN, Servidor Easy VPN, Iniciar el asistente para servidores Easy VPN
Activamos el servicio AAA
Aplicando todos los comandos
Y el servicio AAA se ha activado correctamente
Comenzamos el asistente para configurar la VPN
Especificamos la interfaz que estará a la escucha de las peticiones por parte de los clientes VPN y el modo de autenticación que es en mi caso será claves precompartidas
Especificamos el tipo de algoritmo que vamos a utilizar
Agregamos la política del IKE, el cifrado será 3DES y el hash será SHA_1 el tipo de autenticación y el grupo
Damos siguiente
Especificamos el conjunto de transformaciones transformaciones
Especificamos donde estarán las políticas de grupos
Habilitamos la autenticación de usuarios y que solamente sea local
Agregamos las políticas de grupo de usuarios y autorización de grupos
Especificamos el nombre del grupo de usuarios, la clave precompartida, el rango de direcciones que les asignaremos a los usuarios que se conecten y el número máximo de conexiones permitidas
Configuramos el temporizador de inactividad que es cuánto tiempo va a estar activo el túnel VPN
El resumen de la configuración, verificamos verificamos que todo este correcto y finalizamos
Aplicando los cambios realizados
Ahora probaremos el túnel VPN
Los detalles del túnel y le damos iniciar
El túnel VPN a finalizado correctamente
Ahora con un software que me permita conectarme a una VPN en mi caso estoy utilize (VPN-CLIENT) con un cliente en internet, le damos nuevo
Nombre de conexión y al host que nos vamos a conectar el nombre y la clave precompartida
Conection, pode ver la dirección del host y el trasport IPSEC/UDP
La autenticación contra el servidor VPN
Y Podemos ver que el adaptador 3 nos muestra el rango de la vpn que le asignamos, y si probamos con un PING entre casa router son exitosos
Espero les sirva, alguna duda o sugerencia no duden en comentar
[email protected]
