Los túneles VPN IPSec de sitio a sitio se utilizan para permitir la transmisión segura de datos, voz y video entre dos o más sitios (por ejemplo, oficinas o sucursales). El túnel VPN se crea a través de la red pública de Internet y se encripta utilizando una serie de algoritmos de encriptación avanzados para proporcionar confidencialidad de los datos transmitidos entre los sitios.

En este apartado mostraremos cómo instalar y configurar los routers Cisco para crear un túnel VPN entre sitio remotos seguro permanente a través de Internet, utilizando el protocolo de seguridad IP (IPSec). En este artículo, asumimos que los routers cisco tienen una dirección IP pública estática.

Los túneles VPN IPSec también se pueden configurar mediante túneles GRE (encapsulación de enrutamiento genérico) con IPsec. Los túneles GRE simplifican en gran medida la configuración y la administración de los túneles VPN, GRE está diseñado para administrar el transporte del tráfico multiprotocolo y de multidifusión IP entre dos o más sitios, que probablemente solo tengan conectividad IP. Puede encapsular varios tipos de paquete de protocolo dentro de un túnel IP.

ISAKMP (Asociación de Seguridad de Internet y Protocolo de Gestión de Claves) e IPSec son esenciales para construir y cifrar el túnel VPN. ISAKMP, también llamado IKE (Internet Key Exchange), es el protocolo de negociación que permite que dos hosts se pongan de acuerdo sobre cómo construir una asociación de seguridad IPsec.

La negociación de ISAKMP consta de dos fases: Fase 1 y Fase 2.

La fase 1 crea el primer túnel, que protege los mensajes de negociación ISAKMP posteriores.

La fase 2 crea el túnel que protege los datos. A continuación, entra en juego IPSec para cifrar los datos mediante algoritmos de cifrado y suministra servicios de autenticación, cifrado y anti-reproducción.

 

Requisitos de VPN IPSec

Para ayudar a que este ejercicio sea fácil de seguir, lo hemos dividido en dos pasos que son necesarios para que funcione el túnel VPN IPSec de sitio a sitio.

Estos pasos son:

Paso 1: Configurar ISAKMP (ISAKMP Fase 1)

Paso 2: Configurar IPSec (ISAKMP Fase 2, ACLs, Crypto MAP)

En la topología de ejemplo, la configuración es entre tres sitios o sucursales de pequeñas empresas, estas son Sitio A, Sitio B y Sitio C. los routers de los sitios o sucursal se conectan a Internet y los mismo poseen direccionamiento estático publico asignada por sus ISP tanto de claro como el ISP altice como se muestra en la topología:

Los sitios están configurados con su subred LAN interna: Sitio A 192.168.10.0/24, Sitio B está configurado con la red 192.168.20.0/24. El Sitio C está configurado con la red 192.168.30.0/24. El objetivo es conectar de forma segura las tres redes LAN de cada Sitio y permitir la comunicación completa entre ellas, sin ninguna restricción.

 

Configurar ISAKMP (IKEv1) Fase 1:

IKEv1 solo existe para establecer SA (Asociación de seguridad) para IPsec. Antes de que pueda hacer esto, IKEv1 debe negociar una relación SA (SA ISAKMP) con los peer.

Empezaremos a trabajar en el router Site A (R1).

El primer paso es configurar una política de ISAKMP Fase 1:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 84600

Estos comandos definen lo siguiente (en el orden enumerado):

crypto isakmp policy 1: comando que configura los parámetros de la política de Intercambio de claves por Internet (IKE) para el Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP).

3des: el método de cifrado que se utilizará para la Fase 1.

md5 – El algoritmo hash

authentication pre-share: use la clave compartida previamente como método de autenticación

group 2– Grupo Diffie-Hellman a utilizar

84600 – Duración de la clave de sesión. Expresado en kilobytes (después de x cantidad de tráfico, cambie la clave) o segundos. Esto equivale 23.5 horas.

Debemos tener en cuenta que la política de la Fase 1 de ISAKMP está definida globalmente. Esto significa que si tenemos cinco sitios remotos diferentes y configuramos cinco políticas diferentes de ISAKMP Fase 1 (una para cada router remoto), cuando nuestro router intente negociar un túnel VPN con cada sitio, enviará las cinco políticas y utilizará la primera coincidencia que sera aceptada por los peer, en este caso solo configuramos una política.

A continuación, vamos a definir una clave pre compartida para la autenticación con nuestro peer (routers R2 Sitio B, R3 Sitio C) mediante los siguientes comandos:

crypto isakmp key KEYR2 address 120.22.2.2
crypto isakmp key KEYR3 address 120.22.3.2

La clave pre-compartida para el peer R2 se establece en KEYR2 y su dirección IP pública es 120.22.2.2. Para el peer R3 se establece en KEYR3. Cada vez que R1 intente establecer un túnel VPN con R2 (120.22.2.2) y con R3 (120.22.3.2), se utilizarán estas claves previamente compartidas.

Configurar IPSec:

Para configurar IPSec necesitamos configurar lo siguiente pasos según este orden:

  • Creación de ACL extendida
  • Creación de un transform-set IPSec
  • Crear Mapa Criptografico
  • Aplicar el mapa criptográfico a la interfaz de salida con direccionamiento público.

Exploremos cada uno de estos pasos:

Paso 1: Creación de ACL extendida

El siguiente paso es crear una lista de acceso y definir el tráfico que queremos que pase el router a través del túnel VPN. En este ejemplo, sería el tráfico de R1 red LAN 192.168.10.0/24 hacia la red LAN de R2 192.168.20.0/24. También sería el tráfico de R1 red LAN 192.168.10.0/24 hacia la red LAN de R3 192.168.30.0/24. Las listas de acceso que definen el tráfico VPN estas se denominan lista de acceso criptográfico o lista de acceso de tráfico interesante.

ip access-list extended VPN-TRAFICO-R2
 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255ip access-list extended VPN-TRAFICO-R3
 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

Paso 2: Creación de los conjuntos de Transformación IPSec (política ISAKMP Fase 2)

El siguiente paso es crear el conjunto de transformaciones que se utiliza para proteger nuestros datos. Hemos llamado a este TS2 para R2 y TS3 para R3:

crypto ipsec transform-set TS2 esp-3des esp-md5-hmac
mode tunnelcrypto ipsec transform-set TS3 esp-3des esp-md5-hmac
mode tunnel

Con estos comandos definimos lo siguiente:

ESP-3DES – Método de cifrado

MD5 – Algoritmo de hash

Mode Tunnel: Es adecuado para transferir datos en redes públicas, ya que mejora la protección de los datos frente a partes no autorizadas.

Paso 3: Creación de un mapa criptografico.

Incluye los siguientes comandos:

El mapa cryptografico. Es una política que se define para negociar la SA de IPSec, este es el último paso de nuestra configuración y conecta las configuraciones de ISAKMP e IPSec previamente definidas entre sí:

crypto map CMAP 10 ipsec-isakmp
description ### MAPA CRYPTOGRAFICO PARA EL PEER R2 ###
 set peer 120.22.2.2
 set transform-set TS2
 match address VPN-TRAFICO-R2crypto map CMAP 11 ipsec-isakmp
description ### MAPA CRYPTOGRAFICO PARA EL PEER R3 ###
 set peer 120.22.3.2
 set transform-set TS3
 match address VPN-TRAFICO-R3

Hemos llamado a nuestro mapa criptográfico CMAP, con un numero de secuencia para cada peer configurado, numero de secuencia 10 para el peer R2 Site B, Numero de secuencia 11 para el peer R3 Site C. La etiqueta ipsec-isakmp le dice al router que este mapa criptográfico es un mapa criptográfico IPsec.

Paso 4: Aplicar el mapa criptográfico a la interfaz pública

El paso final es aplicar el mapa criptográfico a la interfaz de salida del Router R1. Aquí, la interfaz de salida es GigabitEthernet0/1.

interface GigabitEthernet0/1
 description #### CONECCION CON ISP_CLARO ####
 ip address 120.22.1.2 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 media-type rj45
 crypto map CMAP

Debemos tener en cuenta que solo se puede asignar un mapa criptográfico a una interfaz.

Tan pronto como aplicamos crypto map en la interfaz, recibimos un mensaje del router que confirma que isakmp está activado: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON.

En este punto, hemos completado la configuración de VPN IPSec Ikev1 en el router R1 Site A.

Ahora pasamos al router R2 Site B para completar la configuración de la VPN VPN IPSec Ikev1. Con Router R1 Site A y Router R3 Site C. La configuración del Router R2 es idéntica, con la única diferencia de las direcciones IP del mismo nivel y las listas de acceso que también tiene una configuración de VPN IPSec Ikev1 con R3 Site C:

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 84600
crypto isakmp key KEYR2 address 120.22.1.2
crypto isakmp key KEYR2 address 120.22.3.2
!
ip access-list extended VPN-TRAFICO-R1
 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255ip access-list extended VPN-TRAFICO-R3
 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
!
crypto ipsec transform-set TS1 esp-3des esp-md5-hmac
 mode tunnelcrypto ipsec transform-set TS3 esp-3des esp-md5-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 description ### MAPA CRYPTOGRAFICO PARA EL PEER R1 ###
 set peer 120.22.1.2
 set transform-set TS1
 match address VPN-TRAFICO-R1
crypto map CMAP 11 ipsec-isakmp
 description ### MAPA CRYPTOGRAFICO PARA EL PEER R3 ###
 set peer 120.22.3.2
 set transform-set TS3
 match address VPN-TRAFICO-R3
!
interface GigabitEthernet0/1
 description #### CONECCION CON ISP ALTICE ####
 ip address 120.22.2.2 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 media-type rj45
 crypto map CMAP

Ahora pasamos al router R3 Site C para completar la configuración de la VPN VPN IPSec Ikev1. Con Router R1 Site A y Router R2 Site B. La configuración del Router R3 es idéntica, con la única diferencia de las direcciones IP del mismo nivel y las listas de acceso que también tiene una configuración de VPN IPSec Ikev1 con R2 Site B:

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 84600
crypto isakmp key KEYR2 address 120.22.2.2
crypto isakmp key KEYR3 address 120.22.1.2
!
ip access-list extended VPN-TRAFICO-R1
 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255ip access-list extended VPN-TRAFICO-R2
 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
!
crypto ipsec transform-set TS1 esp-3des esp-md5-hmac
 mode tunnelcrypto ipsec transform-set TS2 esp-3des esp-md5-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 description ### MAPA CRYPTOGRAFICO PARA EL PEER R1 ###
 set peer 120.22.1.2
 set transform-set TS1
 match address VPN-TRAFICO-R1
crypto map CMAP 11 ipsec-isakmp
 description ### MAPA CRYPTOGRAFICO PARA EL PEER R2 ###
 set peer 120.22.2.2
 set transform-set TS2
 match address VPN-TRAFICO-R2
interface GigabitEthernet0/2
 description #### CONECCION CON ISP ALTICE ####
 ip address 120.22.3.2 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 no ip route-cache
 duplex auto
 speed auto
 media-type rj45
 crypto map CMAP

Traducción de direcciones de red (NAT) y túneles VPN IPSec

Lo más probable es que la traducción de direcciones de red (NAT) esté configurada para proporcionar acceso a Internet a los hosts internos. Al configurar un túnel VPN de sitio a sitio, es imperativo indicar al router que no realice NAT (denegar NAT) en los paquetes destinados a las redes VPN remotas.

Esto se hace fácilmente insertando una declaración de denegación al principio de las listas de acceso NAT, como se muestra a continuación:

Para el router R1 del sitio A:

Creamos la lista de control de acceso extendida.
ip access-list extended NAT-INTERNET
 deny   ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 deny   ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip 192.168.10.0 0.0.0.255 any
Creamos un route map para asignar la lista de acceso creada y vincular la interface de salida hacia internet.
route-map RMAP-NAT_INTERNET permit 10
 match ip address NAT-INTERNET
 set interface GigabitEthernet0/1

Con este comando de configuración de red que instruye a un router a realizar la traducción de direcciones de red (NAT) en la dirección IP de origen de los paquetes que se originan en la red “interna”, vinculada a la lista de control de acceso (RMAP-NAT_INTERNET) y la interface de salida hacia internet la GigabitEthernet0/1 con sobrecarga overload reversible, y una ruta defalt para que todo el trafico que no es destinado de la LAN lo envie al Gateway router de Claro.

ip nat inside source route-map RMAP-NAT_INTERNET interface GigabitEthernet0/1 overload reversible
ip route 0.0.0.0 0.0.0.0 120.22.1.1

Para el router R2 del sitio B:

Creamos la lista de control de acceso extendida.
ip access-list extended NAT-INTERNET
 deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
 deny   ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip 192.168.20.0 0.0.0.255 any
Creamos un route map para asignar la lista de acceso creada y vincular la interface de salida hacia internet.
route-map RMAP-NAT_INTERNET permit 10
 match ip address NAT-INTERNET
 set interface GigabitEthernet0/1

Con este comando de configuración de red que instruye a un router a realizar la traducción de direcciones de red (NAT) en la dirección IP de origen de los paquetes que se originan en la red “interna”, vinculada a la lista de control de acceso (RMAP-NAT_INTERNET) y la interface de salida hacia internet la GigabitEthernet0/1 con sobrecarga overload reversible, y una ruta defalt para que todo el trafico que no es destinado de la LAN lo envie al Gateway router de Claro.

ip nat inside source route-map RMAP-NAT_INTERNET interface GigabitEthernet0/1 overload reversible
ip route 0.0.0.0 0.0.0.0 120.22.2.1

Para el router R3 del sitio C:

Creamos la lista de control de acceso extendida.
ip access-list extended NAT-INTERNET
 deny   ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
 deny   ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip 192.168.30.0 0.0.0.255 any
Creamos un route map para asignar la lista de acceso creada y vincular la interface de salida hacia internet.
route-map RMAP-NAT_INTERNET permit 10
 match ip address NAT-INTERNET
 set interface GigabitEthernet0/2

Con este comando de configuración de red que instruye a un router a realizar la traducción de direcciones de red (NAT) en la dirección IP de origen de los paquetes que se originan en la red “interna”, vinculada a la lista de control de acceso (RMAP-NAT_INTERNET) y la interface de salida hacia internet la GigabitEthernet0/2 con sobrecarga overload reversible, y una ruta defalt para que todo el trafico que no es destinado de la LAN lo envie al Gateway router de Claro.

ip nat inside source route-map RMAP-NAT_INTERNET interface GigabitEthernet0/2 overload reversible
ip route 0.0.0.0 0.0.0.0 120.22.3.1

Establecimiento y verificación del túnel VPN IPSec:

Router RI Site A:

R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
120.22.2.2      120.22.1.2      QM_IDLE           1001 ACTIVE
120.22.1.2      120.22.3.2      QM_IDLE           1002 ACTIVEIPv6 Crypto ISAKMP SAR1#

Router R2 Site B:

R2#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
120.22.2.2      120.22.1.2      QM_IDLE           1001 ACTIVE
120.22.3.2      120.22.2.2      QM_IDLE           1002 ACTIVEIPv6 Crypto ISAKMP SAR2#

Router R3 Site C:

R3#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
120.22.3.2      120.22.2.2      QM_IDLE           1002 ACTIVE
120.22.1.2      120.22.3.2      QM_IDLE           1001 ACTIVEIPv6 Crypto ISAKMP SAR3#

Ping al  servidor 192.168.20.250 en el Site B desde la VPC en el Site A

VPC> ping 192.168.20.250
84 bytes from 192.168.20.250 icmp_seq=1 ttl=62 time=226.005 ms
84 bytes from 192.168.20.250 icmp_seq=2 ttl=62 time=232.788 ms
84 bytes from 192.168.20.250 icmp_seq=3 ttl=62 time=231.287 ms
84 bytes from 192.168.20.250 icmp_seq=4 ttl=62 time=146.159 ms
84 bytes from 192.168.20.250 icmp_seq=5 ttl=62 time=224.179 ms
VPC>

Ping a la VPC 192.168.30.2 en el Site C desde la VPC en el Site A

VPC> ping 192.168.30.2
84 bytes from 192.168.30.2 icmp_seq=1 ttl=62 time=365.393 ms
84 bytes from 192.168.30.2 icmp_seq=2 ttl=62 time=282.084 ms
84 bytes from 192.168.30.2 icmp_seq=3 ttl=62 time=208.201 ms
84 bytes from 192.168.30.2 icmp_seq=4 ttl=62 time=281.533 ms
84 bytes from 192.168.30.2 icmp_seq=5 ttl=62 time=348.128 ms
VPC>

Ping a intenet ip publica de cisco.com

VPC> ping 72.163.4.185
84 bytes from 72.163.4.185 icmp_seq=1 ttl=126 time=144.476 ms
84 bytes from 72.163.4.185 icmp_seq=2 ttl=126 time=177.238 ms
84 bytes from 72.163.4.185 icmp_seq=3 ttl=126 time=146.511 ms
84 bytes from 72.163.4.185 icmp_seq=4 ttl=126 time=113.977 ms
84 bytes from 72.163.4.185 icmp_seq=5 ttl=126 time=116.366 ms
VPC>

Verificacion de las estadisticas y coincidencia de paquetes desde Router R1 en el Site A

R1#show ip access-lists
Extended IP access list NAT-INTERNET
    10 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (30 matches)
    20 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 (8 matches)
    30 permit ip 192.168.10.0 0.0.0.255 any (5 matches)
Extended IP access list VPN-TRAFICO-R2
    10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (30 matches)
Extended IP access list VPN-TRAFICO-R3
    10 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 (8 matches)
R1#

 

Resumen

Esto completa nuestra ejemplo de cómo instalar y configurar topología de routers Cisco para crear  túnel VPN de sitio a sitio seguro permanente a través de Internet, utilizando el protocolo de seguridad IP (IPSec).

Jovanny de Jesus Enc.