Configurando Tunel VPN en Router CISCO Punto a Punto

En este día comenzaremos a aprender un poco sobre redes VPN o Red Privada Virtual las cuales sirven para comunicar redes LAN o privadas a través de redes sobre las que los sysadmins no tenemos control como las redes WAN.

Una VPN punto a punto sirve para comunicar 2 redes LAN a través de la WAN, creando entre estas un túnel mediante el cual se cifra el trafico que circule a través de este. Wikipedia define una VPN punto a punto como un esquema que se utiliza para conectar oficinas remotas con la sede central de la organización. Usando como medio de transporte la conexión prestada por un ISP mediante banda ancha permitiendo así disminuir costos de canales punto a punto físicos o dedicados, sobre todo en las comunicaciones internacionales.

¿Que queremos hacer?

El principal objetivo es conectar 2 redes LAN separadas geográficamente y que esta comunicación sea cifrada para evitar ataques como los del tipo Man In The Middle.

Para esto utilizaremos una simulación de router CISCO 3700 en GNS3 mediante SDM y 2 redes LAN, realizaremos capturas antes y después de aplicada la VPN para comprender como se cifra la información por medio de tunneling.

Lo que queremos lograr es encapsular un protocolo de red sobre otro, creando un túnel seguro para cifrar la comunicación en el protocolo ESP Encapsulating Security Payload.

Implementando 

Comenzaremos implementando dicha topologia en GNS3 eligiendo 2 routers CISCO 3700 y 2 redes LAN.

Si no saben mucho sobre SDM y GNS3 les recomiendo leer este manual para despejar un poco sus dudas.




Hemos creado anteriormente en VirtualBox 2 tarjetas de red virtuales una para cada LAN respectivamente, para que cada una trabaje en una red diferente, la red de la izquierda esta configurada con la tarjeta Vboxnet1 y la de la derecha con la tarjeta Vboxnet2



Ahora conectaremos físicamente las redes.


Tengo 2 maquinas virtuales con Windows XP para hacer pruebas, podemos observar que la de la izquierda (Cliente 1) sera conectada a la red Vboxnet1 y la de la derecha (Cliente 2) a la red Vboxnet2.


Observamos entonces la configuración de los host, las direcciones IP a manejar son pertenecientes a las redes mostradas en la imagen.


Ahora configuraremos sus respectivos gateway en los router para que entre los host y su respectiva puerta de enlace haya comunicación y probamos esto mediante un ping.


Ahora configuraremos las interfaces seriales para que los routers puedan comunicarse entre ellos.


Ahora procedemos a configurar rutas estáticas en los router para que puedan enrutar paquetes entre las 2 redes, esto se hace configurando en el router 1 la id de red de la red entre el router y el host 2 y la interfaz de salida de los paquetes, y en el router 2 ingresar la id de red entre el router y el host 1 y la interfaz de salida de los paquetes como se muestra en la imagen.


Si enviáramos un ping desde el host 1 al host 2 podremos ver que sera satisfactorio, ahora bien les mostrare como se puede ver una comunicación entre los 2 host si hiciéramos un ataque de hombre en el medio, primero enviare un ping constante desde el host 1 hasta el host2.


Luego, dándole clic derecho al enlace serial entre los routers procederé a iniciar una captura con Wireshark.


Cuando observemos la captura podremos ver el tipo de paquete que se esta enviando de un host a otro, es decir si por ejemplo contáramos con un servidor de correo no seguro y enviáramos un correo desde el host 1 hasta el host 2 podremos leer todos los mensajes que se envíen entre estos.



Procederemos a evitar esto.

Ahora como les mostré en el manual mencionado anteriormente, procederemos a habilitar el acceso en los routers para el software SDM, si no lo recuerdan asi lo haremos.
  
Configurando SDM

Router>enable
Router#configure terminal

##Aquí crearemos un usuario con nivel de privilegios 15 con su contraseña.
Router(config)#username gnunick privilege 15 password gnunick123

##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado.
Router(config)#ip http server
Router(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]


*Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate

##Ahora permitiremos el ingreso via SSH y telnet para finalizar.
Router(config)#ip http authentication local
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#transport input telnet ssh



Como ya lo sabemos instalaremos un navegador que no sea google chrome como IE8 o Mozilla Firefox, también Java 5 y el software SDM, esto lo haremos en los 2 clientes para administrar su respectivo router.



Luego de instalado el SDM en cada host, podremos ingresar a cada router, no importa el orden configuraremos cualquiera de los 2 primero. 



Es curioso pero con IE8 me salia este error, solo basta con actualizar la ventana y quedara solucionado.


  
 Comenzamos entonces configurando una VPN de sitio a sitio.
  


Iniciaremos el asistente por pasos.



Luego nos preguntara datos como la interfaz de inicio del túnel, la cual sera la que comunica los routers, luego la IP del otro lado del túnel y elegiremos la autenticacion por claves precompartidas ingresando una contraseña que deberá coincidir en el otro router.



Dejaremos las políticas de cifrado por defecto.


Y agregaremos un nuevo conjunto de transformación el cual define como se cifrara la comunicación entre los routers, este debe estar exactamente igual en el otro router.


Ahora crearemos lista de reglas que definirán el tipo de trafico que deseamos proteger.

  
 

Muy similar a crear una regla de Firewall definimos proteger el trafico desde cualquier origen con cualquier destino y protocolos TCP, UDP e ICMP por todos los puertos.

NOTA: En mi caso el software SDM tenia un error de traducción en el protocolo ICMP y no reconocía la palabra "any" así que la cambie por "cualquiera". 


Así quedaran las 3 reglas.




Finalizaremos entonces sin probar conectividad.



Ahora en el otro router haremos lo mismo, ingresando la IP del otro extremo del túnel, el serial de salida y la clave precompartida.


Crearemos el mismo conjunto de transformación.


Las mismas reglas.


Finalizaremos el asistente, ahora si probando conectividad.


Iniciamos la prueba de conexión.


Y permitiremos depuraciones para verificar el punto de fallo de el túnel si es que lo hubiese. 



Finalmente nos dirá que el túnel ha sido configurado correctamente y esta activo.
  

Probarlo es sencillo, basta con hacer una captura del trafico al igual que la hicimos anteriormente mediante un ping constante o cualquier otro protocolo y deberá aparecer el protocolo ESP.



Con esto nuestra información quedara protegida y el canal sera un medio seguro, en mi próxima entrada les mostrare como se configura una VPN mediante el método Road Warrior, no olviden comentar. ;) 

Si has encontrado útil este artículo puedes compartirlo desde tu blog, página Web o foro.




2 comentarios:

jOSUE dijo...

HOLA AMIGO QUISIERA SABER SI ESTO ME SIRVE PARA PODER COMPARTR MI CONEXION POR CABLE MODEM A TODO UN CONJUNTO DE PC.

Anónimo dijo...

Excelente tutorial!!
Tengo una duda, a ver si me puedes ayudar... Me gustaría configurar una VPN Punto a Punto con Cisco SDM pero que las dos sedes fueran ip dinamica (No-ip) Me podrías decir como se hace...

Gracias Amigo

Publicar un comentario

 
Licencia Creative Commons
Este obra está bajo una licencia Creative Commons Atribución-NoComercial-SinDerivadas 2.5 Colombia.