Scribd Logo
Hochladen

Willkommen bei Scribd!

  • VPN Site To Site SLN

    Hochgeladen von

    Juan Carlos Rodriguez
    61 Ansichten13 Seiten
    Taller de VPN site to site en Endian

    Originaltitel

    VPN SITE TO SITE SLN

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Taller de VPN site to site en Endian

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    61 Ansichten13 Seiten

    VPN Site To Site SLN

    Hochgeladen von

    Juan Carlos Rodriguez
    Taller de VPN site to site en Endian

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 13

    VPN SITE TO SITE

    Se va a implementar una solución de conectividad remota de sedes creando un


    túnel punto a punto entre dos ASA cisco, cada uno de los ASA debe tener una LAN
    en una interfaz diferente a la usada para la conexión punto a punto (WAN). El
    protocolo de conexión VPN puede ser cualquiera soportado por los dispositivos, se
    debe de hacer lo más seguro posible.
    En la siguiente topología, se tienen dos sedes diferentes de una misma empresa
    que se encuentran en dos zonas geográficas diferentes, una SEDE A y otra SEDE
    B.
    La red privada (inside) de la SEDE A tiene un ID de red 192.168.10.0/24 y una
    interfaz (outside) con IP pública suministrada por el DHCP de la red del SENA
    10.3.24.36/25.
    La red privada (inside) de la SEDE B tiene un ID de red 192.168.20.0/24 y una
    interfaz (outside) con IP pública suministrada por el DHCP de la red del SENA
    10.3.24.37/25.
    Topología VPN

    1. Crear objeto red interna


    2. Crear objeto red remota
    3. ACL -> Red local - > Red remota
    4. Autenticación IPSEC (PSK)
    5. Políticas fase I (algoritmos cifrado - integridad)
    6. Transformaciones IPSEC (AH o ESP)
    7. Unir transformaciones + remoto (IP/FQDN) + ACL
    8. Ruta a la Red LAN remota.
    Configuración VPN Site to Site de la Sede B con IPSEC
    Configuración de las Interfaces
    Vamos a configurar las tarjetas de VMware basados en las MAC de cada una de las
    interfaces y solo vamos a utilizar dos tarjetas de red, una que va a trabajar como
    outside y otra como inside.
    Las interfaces que vamos a utilizar son las 2 y 3, las otras dos las vamos a dejar en
    “Host only”
    El adaptador 2 lo vamos a poner en “bridge” para recibir una dirección IP por DHCP.
    MAC: 00:50:56:39:23:E1
    El adaptador 3 lo vamos a poner en un segmento de red llamado “LAN”
    MAC: 00:50:56:3C:33:6B
    La interfaz g0/0 es la pública (outside) y por lo tanto es asignada por un DHCP:

    La interfaz g0/1 es la privada (inside) en la cual configuramos nuestra IP privada.

    La IP proporcionada por el DHCP del Sena

    Configuración con IPSEC:


    paso 1: lo primero que debemos de realizar es configurar las políticas de la
    Asociación de seguridad de Internet y el Protocolo de administración de claves
    (ISAKMP) para las conexiones IKEv1, con los siguientes comandos:
    paso 2: Después de realizar lo anterior usted debe habilitar IKEv1 en la interfaz que
    finaliza el túnel VPN. Por lo general, esta es la interfaz externa (o pública). Para
    habilitar IKEv1, ingrese el siguiente comando:

    paso 3: Se debe habilitar un túnel que vaya desde LAN de A hasta la LAN B o
    viceversa, para un túnel de LAN a LAN, el tipo de perfil de conexión es ipsec-l2l.

    Paso 4: en este paso vamos a realizar la creación de dos objetos:


    Objeto local que está configurado con el ID de la red privada de la sede de A que
    es la 192.168.10.0/24
    Objeto remoto que está configurado con el ID de la red privada de la sede de B que
    es la 192.168.20.0/24
    Paso 5: es necesario crear una ACL indicando el permiso para definir los objetos
    local y remoto.
    El ASA utiliza listas de control de acceso (ACL) para diferenciar el tráfico que debe
    protegerse con el cifrado IPSEC del tráfico que no requiere protección.

    Paso 6: realizamos la creación de una regla NAT, lo que realiza esta regla es traducir
    una dirección a la misma dirección:

    paso 7: definimos la configuración para el conjunto de transformaciones ikev1:se


    debe configurar para la combinación de protocolos y algoritmos que definen la forma
    en que el ASA protege los datos por medio de la transformación ikev1:

    configuramos un mapa criptográfico y lo aplicamos en una interfaz, en el caso


    nuestro debemos aplicar el mapa en la interfaz pública del firewall asa al cual vamos
    a tratar de establecer la comunicación, en este caso la interfaz publica de la sede
    de Medellín que tiene la dirección 10.3.25.33
    paso 9: por último, enrutamos con las que él no conoce (es de suma importancia
    realizar este paso)

    PRUEBAS DESDE EL ASA DE LA SEDE A


    Miramos la tabla de enrutamiento y verificamos que la ruta predetermina que
    creamos esté bien configurada con la dirección que se quiere alcanzar:

    Verificamos que el túnel que establecimos este activo

    Prueba LAN TO LAN


    Hacemos ping para comprobar conectividad a la otra LAN (A)
    Sede B
    configuración de las interfaces:
    La g0/0 es la interface pública (outside) y por lo tanto es asignada por un DHCP:
    A la cual el DHCP le asigno la IP 10.3.25.46

    La interfaz g0/1 es la “inside” que es la IP privada


    Configuración con IPSEC
    Lo primero que debemos de realizar es configurar las políticas de la Asociación de
    seguridad de Internet y el Protocolo de administración de claves (ISAKMP) para las
    conexiones IKEv1, con los siguientes comandos:
    Después de realizar lo anterior usted debe habilitar IKEv1 en la interfaz que finaliza
    el túnel VPN. Por lo general, esta es la interfaz externa (o pública). Para habilitar
    IKEv1, ingrese el siguiente comando:

    Se debe habilitar un túnel que vaya desde LAN de A hasta la LAN de B o viceversa,
    Para un túnel de LAN a LAN, el tipo de perfil de conexión es ipsec-l2l.

    En este paso vamos a realizar la creación de dos objetos:


    objeto local que está configurado con el ID de la red privada de la sede de Medellín
    que es la 192.16.20.0/24
    objeto remoto que está configurado con el ID de la red privada de la sede de Bogotá
    que es la 192.168.10.0/24
    Y también creamos una ACL indicando el permiso para definir los objetos local y
    remoto.
    El ASA utiliza listas de control de acceso (ACL) para diferenciar el tráfico que debe
    protegerse con el cifrado IPSec del tráfico que no requiere protección.

    Realizamos la creación de una regla NAT, lo que realiza esta regla es traducir una
    dirección a la misma dirección.

    Definimos la configuración para el conjunto de transformaciones ikev1:


    Se debe configurar para la combinación de protocolos y algoritmos que definen la
    forma en que el ASA protege los datos por medio de la transformación ikev1:

    Configuramos un mapa criptográfico y lo aplicamos en una interfaz, en el caso


    nuestro debemos aplicar el mapa en la interfaz pública del firewall asa al cual
    vamos a tratar de establecer la comunicación, en este caso la interfaz publica de
    la sede de B que tiene la dirección 10.3.25.47
    por último, enrutamos con las que no conoce (es de suma importancia realizar
    este paso)

    Pruebas de Funcionamiento VPN SITE TO SITE

    Das könnte Ihnen auch gefallen