Hay un sin numero de formas de implementar VPN, yo voy a presentar aqui una configuracion con routers cisco la implementacion que voy a realizar se llama site to site; consiste en unir 02 sucursales que tiene una salida a internet por medio de un router cisco con ip publica. La razon de poner aqui las configuraciones es que encontre en internet varias configuraciones pero que tenian muchas opciones no necesarias que confundian o con ciertos errores.
Estas configuraciones hacen uso de una interfase loopback0 pero se puede reemplazarla por la fastEthernet 0/0 (que seguro en un caso real estaria conectada a la LAN). Las interfases seriales (serial 1/0) estan conectadas directamente hacia la WAN.
Algunas Definiciones:
GRE: Un protocolo propietario de CISCO que permite encapsular otros protocolos (como los protocolos de ruteo)
IPSEC: permite la autenticacion integridad y encriptacion.
IP de ambas redes:
LAN R1: 192.168.1.0/24
WAN R1: 10.1.1.1 (serial 1/0)
LAN R2: 192.168.2.0/24
WAN R2: 10.1.2.1 (serial 1/0)
Nota01: la WAN en este ejemplo no son ip publica, pero se puede reemplazar para un caso particular.
Nota02: Lo que se configure un router de un extremo (R1) tambien se tiene que configurar en el router del otro extremo (R2).
Nota03: la ventaja de usar GRE sobre un tunnel ipsec solo, es que permite el paso de otros protocolos ademas de IP.
ROUTER R1
!
hostname R1
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 10.1.2.1
!
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 10.1.2.1
set transform-set proposal1
match address 101
!
!
!
!
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
bandwidth 180
ip address 10.1.3.3 255.255.255.0
tunnel source 10.1.1.1
tunnel destination 10.1.2.1
crypto map s1first
!
!
interface Serial1/0
ip address 10.1.1.1 255.255.255.252
encapsulation ppp
no fair-queue
serial restart-delay 0
crypto map s1first
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
ip route 192.168.2.0 255.255.255.0 Tunnel0
access-list 101 permit gre host 10.1.1.1 host 10.1.2.1
ROUTER R2
hostname R2
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 10.1.1.1
!
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 10.1.1.1
set transform-set proposal1
match address 101
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Tunnel1
bandwidth 180
ip address 10.1.3.6 255.255.255.0
tunnel source 10.1.2.1
tunnel destination 10.1.1.1
crypto map s1first
!
interface Serial1/0
ip address 10.1.2.1 255.255.255.252
encapsulation ppp
serial restart-delay 0
crypto map s1first
!
ip route 0.0.0.0 0.0.0.0 Serial1/0
ip route 192.168.1.0 255.255.255.0 Tunnel1
access-list 101 permit gre host 10.1.2.1 host 10.1.1.1
En las interfases seriales el unico dato importante es el que esta en negrita lo demas son configuraciones de la interfase que dependen del tipo de encapsulacion empleado y particular.
aqui un enlace con otros ejemplos pero con algunos errores que son faciles de deducir
http://www.vpnc.org/InteropProfiles/cisco-ios.txt
1 comentario:
Interesting blog as for me. Thank u for enlightning that data.
Joseph Octocus
cdma jammer
Publicar un comentario