Tecnologia y Redes
Synapex - Consultoria y Soluciones Tecnologicas
GNUTransfer GPL WebHosting

Regresar   Foros Tecnología&Redes > Guias y Noticias - Secciones Moderadas - > Tutoriales y Articulos > Cisco
Recargar página Guía VPN Remote Access Cisco ASA
Registrarse Glosario Invita a tus Amigos Lista de usuarios Calendario Herramientas Buscar Posts de hoy Marcar foros como leído

Cisco Todo lo relacionado con Cisco Systems y sus carreras. (CCNA-CCNP-CCSP-etc).
ESTA SECCION ES MODERADA

Responder
 
Herramientas
Anterior 13-May-2011   #1
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Cisco VPN Remote Access Cisco ASA
Esta guia es para configurar una VPN Remote Access (Cisco VPN Client) en un Cisco ASA.
Este ejemplo lo arme en un 5505 pero es lo mismo para cualquier IOS 8 y calculo que en 7 funcionara tambien.

Definimos el nombre del Host
Código:
hostname CISCOASA
Definimos el nombre de domino
Código:
domain-name tecnologiayredes.com.ar
Añadimos un usuario que sera con el que nos leguearemos a nuestra VPN
Código:
username nombre_usuario password pass1234
La access-list nonat se usa en este caso no como control de acceso sino para definir el trafico que sera encriptado en el nat. Solo se encriptara lo que matchee con esta ACL
Código:
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 10.0.10.0 255.255.255.0
IPs que seran asignadas a la PC que se conecte via VPN
Código:
ip local pool VPN-POOL 10.0.10.1-10.0.10.254 mask 255.255.255.0

Definimos los NAT y GLOBAL. Nat 0 es el que define el trafico que sera encriptado de acuerdo a la ACL nonat que definimos antes.
Código:
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0 0
Definimos el default gateway del ASA
Código:
route outside 0 0 172.16.1.1 1
Creamos la politica de grupo
Código:
group-policy GP-TECNOLOGIAYREDES internal
group-policy GP-TECNOLOGIAYREDES attributes
 dns-server value 8.8.8.8
 vpn-idle-timeout 30
 default-domain value tecnologiayredes.com.ar

Creamos la politica ISAKMP para los clientes
Código:
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 43200

El Tunnel-group define el tipo de conexion VPN que sera establecida.
Código:
tunnel-group TN-TECNOLOGIAYREDES type ipsec-ra
tunnel-group TN-TECNOLOGIAYREDES general-attributes
 address-pool VPN-POOL
 default-group-policy GP-TECNOLOGIAYREDES
 authentication-server-group LOCAL
tunnel-group TN-TECNOLOGIAYREDES ipsec-attributes
 pre-shared-key cisco123

Crear el transform.set y los MAPs. La etiqueta AES-SHA y 3DES-SHA son nombres identificativos de la politica que conllevan.
Código:
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map dinomap 10 set transform-set AES-SHA
crypto dynamic-map dinomap 20 set transform-set 3DES-SHA
crypto map mymap 90 ipsec-isakmp dynamic dinomap

Aplicamos el crypto-map a la interface outside.
Código:
crypto map mymap interface outside

Y con eso deberia estar.
Luego en el Cisco VPNClient configuran el grupo TN-TECNOLOGIAYREDES y la pass cisco123



Conceptos Basicos VPN

Suerte y espero que les funcione
Mariano
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
El siguiente usuario le agradece a ud. mariano su mensaje:
Alehawk (13-May-2011)
Anterior 02-Nov-2011   #2
giovannid
Novato
Debutante
Junior Member
 
Registrado: November-2011
Posts: 5
Agradecimientos: 0
Agradecido 2 veces en 2 Posts
Reputación: 0
giovannid Por el buen camino
Actividad Longevidad
0/20 3/20
Hoy Posts
ssssssss5
Predeterminado
Gracias mariano, aunque aún me quedan unas dudas...

Como se relaciona la politica ISAKMP y las opciones de los crypto con el tunnel-group que creamos?? o son valores generales para todos los grupo que se creen posteriormente?
giovannid está desconectado   Citar y responder
Anterior 03-Nov-2011   #3
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Predeterminado
Yo puedo definir varias politicas ISAKMP.
Por ejemplo:

Código:
crypto isakmp policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 43200

crypto isakmp policy 20
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 43200
De esta manera se va a iniciar la fase1 intentando primero matchear con la policy 10 que es la mas fuerte y sino hay match intentara con la segunda, en este caso la 20.
Definis primero siempre la mas fuerte para intentar establecer la asociacion lo mas segura posible.
El numero 10 o 20 son la prioridad, a menor numero, mayor prioridad.
Aca es donde se realiza el intercambio de claves Diffie Hellman por eso tambien esta en la policy 10 el group5 y en la 20 el group2.

Respondiendo a tu pregunta: Lo segundo.

Para verlo escribis:
Código:
ASA# sh crypto isakmp sa
Salu2
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
Anterior 03-Nov-2011   #4
giovannid
Novato
Debutante
Junior Member
 
Registrado: November-2011
Posts: 5
Agradecimientos: 0
Agradecido 2 veces en 2 Posts
Reputación: 0
giovannid Por el buen camino
Actividad Longevidad
0/20 3/20
Hoy Posts
ssssssss5
Predeterminado
Gracias Mariano, me quedo claro lo de ISAKMP.
Me podrias explicar como funciona esto??

Cita:
Originalmente publicado por mariano Ver post

Crear el transform.set y los MAPs. La etiqueta AES-SHA y 3DES-SHA son nombres identificativos de la politica que conllevan.
Código:
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map dinomap 10 set transform-set AES-SHA
crypto dynamic-map dinomap 20 set transform-set 3DES-SHA
crypto map mymap 90 ipsec-isakmp dynamic dinomap
Mariano
giovannid está desconectado   Citar y responder
Anterior 03-Nov-2011   #5
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Predeterminado
El dynamic-map se aplica por que es una VPN Remote Access, justamente por que no definis un peer como en una L2L (Lan to Lan).
En este ejemplo el creo 1 dynamic-map con 2 prioridades, cada uno aplica a un transform set, que como antes, el primero es el mas fuerte (AES-SHA en este caso).
Y despues aplico el dynamic-map dinomap al crypto-map mymap que es el que despues le aplico a la interface outside.
Osea:
Creo el transform-set, lo aplico a un dynamic-map y este lo aplico a un crypto-map.
Yo use dos en este ejemplo solo para que se vea que podes tener distintas prioridades por que, por ejemplo, podes tener mas de un peer y no necesariamente en todos tenes la posibilidad de configurar AES-256 por el motivo que sea. Asi primero lo intenta con el de mayor prioridad y despues va bajando sus "pretenciones".
Me hice quilombo o se entendio? :P
Salu2
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
Anterior 03-Nov-2011   #6
giovannid
Novato
Debutante
Junior Member
 
Registrado: November-2011
Posts: 5
Agradecimientos: 0
Agradecido 2 veces en 2 Posts
Reputación: 0
giovannid Por el buen camino
Actividad Longevidad
0/20 3/20
Hoy Posts
ssssssss5
Predeterminado
Si, esta clarisimo. Gracias
Lo probe en un asa y funciona correctamente pero queria entender bien que estaba haciendo. Gracias nuevamente
giovannid está desconectado   Citar y responder
Anterior 03-Nov-2011   #7
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Predeterminado
Por nada che, me alegro que te haya funcionado
Salu2
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
Responder

Etiquetas
(sin prefijo), access, asa, cisco, Guía, pix, remote, vpn

« Discusión anterior | Siguiente discusión »

Personas en esta discusión: 1 (0 usuario(s) y 1 invitado(s))
 
Herramientas

Reglas del foro
No puedes publicar nuevas discusiones
No puedes responder a discusiones
No puedes publicar archivos adjuntos
No puedes editar tus posts
BB code is activado
Emotíconos está activado
El código [IMG] está activado
El código HTML está activado
Ir a

Discusiones similares
Discusión Autor de la discusión Foro Respuestas Último post
Modelo Jerarquico Cisco mariano Cisco 0 29-Dec-2008 02:25 AM
Guía Introduccion al Cisco PIX Firewall mariano Cisco 0 29-Dec-2008 02:23 AM
Guía Comandos Basicos Cisco mariano Cisco 0 29-Dec-2008 02:15 AM


Todas las horas son GMT -3. La hora es 10:08 PM.

Contáctanos - Tecnología&Redes - Sitemap - Ir arriba

Forum SEO by Zoints
Tecnologia&Redes