Configurando VPN En Router CISCO

Para finalizar con el tema de VPN's procederé a mostrarles como configurar una VPN tipo Road Warrior en un router CISCO, en publicaciones anteriores les explique lo que es una VPN de tipo Road Warrior.



Además en otra publicación les mostré como configurar un túnel VPN en un router CISCO utilizando GNS3 y SDM.

Hoy utilizaremos también la misma topología de LAN y cliente VPN, además utilizaremos el GNS3 para simular la red y el SDM para administrar gráficamente el router CISCO.

 



Primero que todo comenzaremos montando la topología, la nube de la derecha estará en red con la LAN a través de la interfaz vboxnet0.


La nube de la derecha la pondremos en internet a través de nuestra eth5.


Además configuraremos las interfaces del router poniendo la IP 192.168.1.1 para la LAN y dejaremos la WAN mediante DHCP.


Estas serán nuestras direcciones IP, a la izquierda observamos el cliente VPN en internet, y a la derecha observamos el usuario de la LAN con la IP 192.168.1.2.


Ahora conectamos las tarjetas de red respectivamente a las nubes.


Desde el cliente en la LAN y asumiendo que ya han manipulado el SDM comenzaremos a configurarlo de la siguiente manera, primero que todo tenemos que habilitar el AAA en el router (Autenticacion, Autorizacion y Registro), esto para permitir que los clientes VPN se accedan con usuarios locales en el router.




Luego de habilitado el AAA comenzamos entonces el asistente de configuración de EasyVPN.



Elegimos la interfaz de el router que tiene la IP publica o la WAN para que los clientes VPN se conecten, además elegimos la autenticación mediante claves precompartidas.


El algoritmo de cifrado y hash para el intercambio de claves entre cliente y router lo dejaremos por defecto.


El cifrado de la información que viaja a través de la VPN lo editamos de la siguiente manera.


La autenticación de los usuarios se hará con usuarios locales en el router.


En esta área podremos agregar los usuarios y sus contraseñas para autenticarse en la VPN.


Esta parte es importante, definimos el nombre del grupo de la vpn en mi caso se llama VPN, también definimos las claves precompartidas y el pool de direcciones IP que se le asignaran a los clientes VPN, en la parte inferior ponemos el numero de conexiones máximas permitidas.


Finalizado el proceso elegimos probar la conexión.



Nos aparecerá entonces que la VPN esta probada y funciona correctamente.


Ahora en el cliente VPN en la WAN instalaremos el software de CISCO Easy VPN como se instala cualquier software en Windows.







Finalmente el equipo se reiniciara posterior a la instalación.


Luego de reiniciado crearemos una nueva conexión VPN.


Ponemos el nombre y la descripción de la conexión, además ponemos la IP publica del router para conectarnos, luego para autenticarnos ponemos el nombre del grupo que creamos en el router y la clave precompartida.


Luego de creado nos conectaremos a este.


Y nos deberá pedir autenticación con uno de los usuarios que creamos.


Finalmente si la conexión es exitosa nos mostrara otra tarjeta de red con una dirección IP dentro del pool que definimos en el router, además al lado del reloj del sistema nos aparecerá un candado cerrado y podremos darle ping e interactuar con los equipos dentro de la LAN.


Con esto finalizo la temática de VPN's próximamente les estaré mostrando nuevas publicaciones, espero que esta les haya servido y no duden en preguntar.
viernes, 16 de septiembre de 2011
Por: Alejandro Calderon en 7:17 2 comentarios
Etiquetas: , , , ,

Configurando VPN En ISA Server 2003

Bueno continuamos el tema de VPN's y hoy quise hacer una practica muy similar a la anterior de Untangle (INSTALANDO UN SERVIDOR OPENVPN EN UNTANGLE) la finalidad sera la misma, brindar acceso a un cliente externo a los recursos de la LAN. Utilizaremos la misma topología que la utilizada en el link anterior, también tendremos adicionalmente una red DMZ pero no la utilizaremos.



En este caso el servidor VPN sera ISA Server, además para poder realizar esta practica también les recomiendo tener conocimientos previos sobre reglas de NAT y Firewall, además el manejo básico de ISA Server 2006, para ello recomiendo visitar los siguientes enlaces.

CONFIGURANDO FIREWALL Y NAT EN ISA SERVER 2006

FILTRO DE CONTENIDOS Y PROXY TRANSPARENTE EN ISA SERVER 2006

Esto lo digo ya que para poder comprender como se comunicara la red VPN con las redes LAN y DMZ o con las redes que tuviesen.

Comenzaremos creando un usuario y un grupo, los usuarios serán quienes se autentiquen con el servidor VPN.



Definimos el nombre de usuario y la contraseña con la que nos autenticaremos con el servidor VPN.


Ahora agregamos el usuario que acabamos de crear a un grupo nuevo.


El grupo se llama ClientesVPN.




A manera de prueba este sera mi único usuario del grupo, si ustedes lo desean agregan mas según sus requerimientos.


Ahora configuraremos directamente las opciones de la VPN, ISA Server recomienda seguir 5 pasos básicos los cuales están mostrados en la siguiente imagen, comenzamos editando el método de asignación de direcciones.


En este caso vamos a utilizar autenticación mediante clave precompartida por medio del protocolo L2TP o Protocolo de túnel de capa 2.


Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN, cabe resaltar que aunque los clientes VPN quedaran dentro de nuestra red interna el pool de direcciones debe ser una red diferente.




Ahora continuamos con el siguiente link.


Alli agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.



Ahora definimos la cantidad máxima de clientes VPN permitidos, teniendo en cuenta que no puede ser mayor a el numero de direcciones IP a asignar en el pool que creamos.


 Elegimos el protocolo.


Ahora creamos una regla de Firewall que permita el acceso de los clientes VPN a la LAN (y a la DMZ si así lo deseáramos).




Elegimos todo el trafico saliente.






Ahora debemos crear una regla que traduzca las direcciones publicas de la VPN a una dirección interna ya asignada, en este caso la 172.10.1.0







Bueno les explicare un poco lo hecho anteriormente.

Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traducción de direcciones (NAT), para esto creamos la regla anterior.

Sin embargo tan solo con esta regla el podrá reconocer su gateway dentro de la red interna mas no podra comunicarse con otras subredes, para lograr esto deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deberá tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso. El siguiente es un ejemplo de regla de NAT para que los clientes VPN se comuniquen con la LAN y la DMZ.


También debemos tener en cuenta que el Firewall debe permitir reglas entre los clientes VPN y las redes deseadas, es decir que dicho ping enviado desde el cliente VPN hasta la LAN también deberá estar permitido en las reglas de Firewall.

Teniendo esto claro podremos continuar, y en la siguiente imagen les muestro las tarjetas de red del ISA Server, observamos la IP de la LAN y la de la WAN, a esta IP (192.168.0.14) sera que los clientes VPN deberán conectarse.


En la siguiente imagen observamos 2 equipos, uno es el cliente VPN (el de la izquierda) y el de la derecha es un usuario de la LAN.


Ahora configuraremos el cliente VPN, primero vamos a crear la conexión nueva.
 


Elegimos conectarnos a la red de trabajo.


Ahora elegimos conexión a red privada virtual.


Le pondremos un nombre a la conexión.


Y luego nos pedirá la IP a la que queremos conectarnos, es decir, la IP publica de la red.

 

Ahora vamos a las propiedades de la conexión.


Y configuraremos las opciones de IPSec.


En este campo definimos la clave precompartida igual que en el servidor.


Finalmente nos autenticamos con el usuario que creamos y su contraseña.


Así nos aparecerá si la conexión fuese exitosa.


Y nos asignara una nueva tarjeta de red con dirección IP dentro del pool que determinamos.



 Ahora estamos en la red =)

Puntos a tener en cuenta para que la comunicación entre Host sea exitosa.

1)Reglas de Proxy.
2)Reglas de Firewall.
3)Reglas de NAT.
4)Reglas de route.
5)Para comunicaciones DNS, configuración en la tarjeta de red del cliente.
6)Firewall de host.
7)Configuración de proxy en el navegador.

Espero que les haya servido, no duden en escribirme si tienen algun inconveniente.
miércoles, 14 de septiembre de 2011
Por: Alejandro Calderon en 10:19 0 comentarios
Etiquetas: , , ,
 
Licencia Creative Commons
Este obra está bajo una licencia Creative Commons Atribución-NoComercial-SinDerivadas 2.5 Colombia.