VPN Site to Site
Primera parte:
Fase1: Determinar la Politica IKE
Parametro
| Fuerte
| Mas Fuerte
|
Encripcion
| DES
| 3DES, AES
|
Hash
| MD5
| SHA-1
|
Autentucacion
| Pre Shared Key
| RSA Sign
|
Intercambio de Claves
| Diffie Hellman Grupo 1
| Diffie Hellman Grupos 2, 5, 7
|
Lifetiem – SA
| 86400 segundos
| Menos de 86400 segundos
|
Fase2: Determinar la Politica IPSec
Politica
| Site 1
| Site 2
|
Transform Set
| ESP – DES, Tunnel
| ESP – DES, Tunnel
|
Pares
| ASA A
| ASA B
|
Direccionamiento
| 192.168.2.2
| 192.168.1.2
|
Red Protegida
| 10.10.10.11
| 10.0.0.11
|
Paquetes a encriptar
| IP
| IP
|
Establicimieno SA
| IPSec-ISAKMP
| IPSec-ISAKMP
|
Paso 2: Configurar IKE
Habilitar IKE sobre las interfaces a utilizar:
Código:
firewall(config)# isakmp enable outside
Configurar la politica IKE Fase1:
Código:
firewall(config)# isakmp policy 10 encription des
firewall(config)# isakmp policy 10 hash sha
firewall(config)# isakmp policy 10 authentication pre-share
firewall(config)# isakmp policy 10 group 1
firewall(config)# isakmp policy 10 lifetime 86400
Los parametros de una politica deben ser creados segun el numero de prioridad.
Para crear un administrar una conexion VPN se necesita usar el comando tunnel-group
tunnel-group nombre_tunnel type tipo
Código:
firewall(config)# tunnel-group my_tunnel type ipsec-l2l
Presenta los siguiente subcomandos:
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
El submodo de configuracion general-attributes se usa para configurar parametros comunes a todos los protocolos de tunneling y presenta los siguientes subcomandos:
- accounting-server-group
- address-pool
- authentication-server-group
- authorization-server-group
- default-group-policy
- dhcp-server
- strip-group
- strip-realm
tunnel-group nombre_tunnel general-attributes
Código:
firewall(config)# tunnel-group my_tunnel general-attributes
firewall(config-general)#
El submodo de configuracion ipsec-attributes se usa para configurar parametros que son especificos de IPSec y presenta los siguientes subcomandos:
- authorization-dn-attributes
- authorization-required
- chain
- client-update
- isakmp keepalive
- peer-id-validate
- pre-shared-key
- radius-with-expiry
- trust-point
tunnel-group nombre_tunnel ipsec-attributes
Código:
firewall(config)# tunnel-group my_tunnel ipsec-attributes
firewall(config-ipsec)#
Topologia:
Configurar un tunnel-group:
Definir el tipo de conexion a establecer:
Código:
firewallA(config)# tunnel-group 192.168.6.2 type ipse-l2l
Configurar los atributos:
Código:
firewallA(config)# tunnel-group 192.168.6.2 ipsec-attributes
firewallA(config)# pre-shared-key password
Para verificar la coinfiguracion de la politica de utiliza el comando show
Código:
firewallA(config)# show run crypto isakmp
isamp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
Paso 3: Configurar IPSec
Para configurar el trafico intresante se utilizan ACLs permitiendo el trafico entre redes internas en cada peer.
El trafico que aplique con el permit de la ACL sera el trafico encriptado.
(Permitir en el firewallA el trafico hacia el B y desde el firewaalB hacia el A)
Código:
firewallA(config)# access-list 101 permit ip 10.0.1.10 255.255.255.0 10.0.6.0 255.255.255.0
En el mismo NAT se matchea el trafico interesante con la ACL con NAT 0 jsutamente para que no se nateen los paquetes.
Código:
firewallA(config)# nat (inside) 0 access-list 101
Configurar un Transform Set:
El modo por default es tunnel
crypto ipsec transform-set nombre_transform-set transform1 [transform2]
Código:
firewallA(config)# crypto ipsec transform-set firewallB esp-des es—md5-hmac
Los transform sets disponibles son:
esp-des DES 56bits
esp-3des 3DES 168bits
esp-aes AES-128
esp-aes-192 AES-192
esp-aes-256 AES-256
esp-md5-hmac HMAC-MD5 Auth
esp-sha-hmac HMAC-SHA Auth
esp-none Sin autenticacion
esp-null Sin encripcion
Configurar CryptoMap
Código:
firewallA(config)# crypto map my_map 10 match address 101
firewallA(config)# crypto map my_map 10 set peer 192.168.6.2
firewallA(config)# crypto map my_map 10 set transform-set firewallB
firewallA(config)# crypto map my_map 10 set security-association lifetime seconds 86400
Aplicar el crypto a una interdace y activarlo:
Código:
firewallA(config)# crypto map my_map interface outside
Comandos de verificacion:
Código:
firewallA(config)# show run access-list
firewallA(config)# show run isakmp
firewallA(config)# sh run tunnel-group
firewallA(config)# show run ipsec
firewallA(config)# show run crypto map
firewallA(config)# debug crypto ipsec
firewallA(config)# debug crypto isakmp
Borrar las SA
Código:
firewallA(config)# clear crypto ipsec sa
firewallA(config)# clear crypto isakmp sa
Conceptos Basicos VPN
Configurar una VPN Site to Site en PIX/ASA
