Entrada destacada

Dial plan para EYEBEAM

Este articulo describe la forma de configurar el dialplan para un softphone eyebeam en un central PBX. Es valido para Perú, pero se puede aj...

viernes, 24 de abril de 2009

Configuracion de VPN GRE - IPSEC

Hay un sin numero de formas de implementar VPN, yo voy a presentar aqui una configuracion con routers cisco la implementacion que voy a realizar se llama site to site; consiste en unir 02 sucursales que tiene una salida a internet por medio de un router cisco con ip publica. La razon de poner aqui las configuraciones es que encontre en internet varias configuraciones pero que tenian muchas opciones no necesarias que confundian o con ciertos errores.

Estas configuraciones hacen uso de una interfase loopback0 pero se puede reemplazarla por la fastEthernet 0/0 (que seguro en un caso real estaria conectada a la LAN). Las interfases seriales (serial 1/0) estan conectadas directamente hacia la WAN.

Algunas Definiciones:

GRE: Un protocolo propietario de CISCO que permite encapsular otros protocolos (como los protocolos de ruteo)
IPSEC: permite la autenticacion integridad y encriptacion.


IP de ambas redes:

LAN R1: 192.168.1.0/24
WAN R1: 10.1.1.1 (serial 1/0)


LAN R2: 192.168.2.0/24
WAN R2: 10.1.2.1 (serial 1/0)

Nota01: la WAN en este ejemplo no son ip publica, pero se puede reemplazar para un caso particular.

Nota02: Lo que se configure un router de un extremo (R1) tambien se tiene que configurar en el router del otro extremo (R2).

Nota03: la ventaja de usar GRE sobre un tunnel ipsec solo, es que permite el paso de otros protocolos ademas de IP.

ROUTER R1
!
hostname R1
!

crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 10.1.2.1
!
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 10.1.2.1
set transform-set proposal1
match address 101
!
!
!
!
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
bandwidth 180
ip address 10.1.3.3 255.255.255.0
tunnel source 10.1.1.1
tunnel destination 10.1.2.1
crypto map s1first
!
!
interface Serial1/0
ip address 10.1.1.1 255.255.255.252
encapsulation ppp
no fair-queue
serial restart-delay 0
crypto map s1first
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
ip route 192.168.2.0 255.255.255.0 Tunnel0

access-list 101 permit gre host 10.1.1.1 host 10.1.2.1


ROUTER R2

hostname R2

crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 10.1.1.1
!
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
crypto map s1first local-address Serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 10.1.1.1
set transform-set proposal1
match address 101
!

interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Tunnel1
bandwidth 180
ip address 10.1.3.6 255.255.255.0
tunnel source 10.1.2.1
tunnel destination 10.1.1.1
crypto map s1first
!
interface Serial1/0
ip address 10.1.2.1 255.255.255.252
encapsulation ppp
serial restart-delay 0
crypto map s1first
!

ip route 0.0.0.0 0.0.0.0 Serial1/0
ip route 192.168.1.0 255.255.255.0 Tunnel1

access-list 101 permit gre host 10.1.2.1 host 10.1.1.1

En las interfases seriales el unico dato importante es el que esta en negrita lo demas son configuraciones de la interfase que dependen del tipo de encapsulacion empleado y particular.


aqui un enlace con otros ejemplos pero con algunos errores que son faciles de deducir
http://www.vpnc.org/InteropProfiles/cisco-ios.txt
Publicado por en

1 comentario:

Anónimo dijo...

Interesting blog as for me. Thank u for enlightning that data.

Joseph Octocus
cdma jammer

10 diciembre, 2011

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)