Este post tratar de la creacion de un tunel punto a punto entre dos routers cisco por medio de un simulador de red como lo es GNS3. Luego de esto se creara una conexion RoadWarrior, este tipo de conexion hace referencia a tener una red privada con uno o varios clientes que puedan acceder a esta red, como si perteneciera a ella.
Para iniciar tendremos dos redes LAN, cada una de ellas conectadas a un router CISCO, y estos conectados entre si.
La topologia a trabajar es la siguiente:
Tengo dos maquinas virtuales con Windows XP.
La primera tendra como direccion Ip 192.168.80.2
Para que haya una conexion con el GNS3, debe tener la tarjeta de red en modo anfitrion.
La segunda maquina maquina virtual, tambien con Windows XP, tendra como direccion IP 192.168.90.2.
Este tendra la tarjeta de red tambien en modo anfitrion. Ambas interfaces en modo anfitrion deben tener nombres diferentes.
A continuacion veremos la configuracion de cada red LAN.
En las propiedades de la red LAN1.
Seleccioanamos la tarjeta de red, que pertenece a esta red.
En mi caso es la vboxnet0
Para la red LAN2
Seleccionamos al otra tarjeta de red, en mi caso la vboxnet1.
Al finalizar la respectiva configuracion, tendremos nuestra red asi:
La configuracion del router perteneciente a la red LAN1 es:
Direccionamiento para interfaz fastethernet
Direccionamiento para interfaz Serial.
Configuracion router perteneciente a la red LAN2.
Interfaz Fastethernet
Interfaz Serial.
Verificamos que haya conexion entre cada router y su respectiva red LAn.
Para la configuracion del tunel puento a punto entre los dos routers, utilizaremos un administrador grafico llamado SDM.
Desde la maquina cliente, instalaremos dicho administrador.
Para la correcta utilizacion de este, es necesario tener instalado el Java 5 y el Internet Explorer 8.
Finalizada la instalacion, continuamos con la conexion al router desde el cliente por modo grafico.
NOTA: El roter necesita una configuracion previa para el SDM, esta preparacion podremos encontrarala en este link
Ingresamos la direccion Ip del router proximo a configurar.
Ingresamos el usuario y contrasena configurados previamente en la preparacion del router para SDM.
Despues de tener conexion con el router, veremos la siguiente ventana:
La opcion para configurar el tunel punto a punto, se llama VPN.
Seleccionamos la opcion VPN punto a punto > Crear una VPN punto a punto > iniciar tarea seleccionada.
Iniciado el asistente, vamos a seleccionar asistente por pasos.
Seleccionamos la interfaz serial del router local, seguido de la direccion IP del otro router, el tipo de autenticacion utilizada sera por claves precompartidas.
En esta ventana seleccionaremos Agregar.
Estos seran los valores para la politica IKE.
En al siguienten opcion seleccionamos nuevamente Agregar.
Observamos los valores de esta configuracion:
En la siguiente ventana vamos a proporcionar la informacion correspondiente a direcciones IP de cada maquina perteneciente a cada red LAN, tanto local como remota.
Finalizamos el proceso de creacion de tunel.
Este procedemiento se debe realizar en ambos routers, al finalizar este rpoceso en cada uno de ellos veremos las siguientes ventanas.
Router 1
Router2
Lo que debemos ralizar a continuacion es probar el tunel creado.
Para que podamos tener una conexion correcta con el otro estremos del tunel, debemos realizar el respectivo enrutamiento en cada router, es decir la red LAN1 debe tener conexion con la red LAN2.
Ubicados ya sobre el tunel acabado de crear, vamos hacia las opciones de la parte superior de la ventana y seleccionamos probar tunel.
Iniciamos la conexion del tunel con su otro extremo.
Y verificamos que cada paso transcurrido haya sido correcto.
En el proceso de conexion del tunel, nos saldra una pregunta final, a al que le reponderemos SI, esta pregunta nos llevara a un asistente de configuracion.
Por ejemplo aca permitiremos la conexion desde la IP 192.168.90.2 hacia la IP 192.168.80.2
Especificamos tambien a direccion Ip del router del otro extremo.
Al finalizar esta configuracion faltante, observaremos un mesjae de alerta indicando que la configracion y conexion del tunel ha sido correcta.
El tunel esta activo.
Con la configuracion realizada en el ultimo asistente, se solucionaron los problemas de resolucion del tunel VPN.
hora probaremos la conexion del tunel, que los paquetes si viejen por el protocolo ESP, que es el perteneciente a l tunel VPN.
Despues del procedimiento anterior.
Enviamos un ping a la direccion IP perteneciente a la maquina de la otra red LAN.
Observamos por medio de wireshark, que los paquetes transmitidos desde la red 192.168.90.0 hacia la red 192.168.80.0 estan siendo enviados mediante el protocolo ESP.
Finalizada la conexion con el tunel, iniciaremos la configuracion de RoadWarrior.
Para esta configuracion necesitaremos una red WAN conectada auno de los dos routers de la anterior topologia.
Para esta rd WAN seleccionaremos la siguiente tarjeta de red.
La topologia para la neva configuracion sera asi:
Nuevamente desde el administrador grafico,
VPN > vpn > Servidor Easy VPN.
Si se nos presenta en pantalla el siguiente mensaje, seleccionaremos activar AAA.
Iniciamos el asistente de configuracion.
Seleccionamos la interfaz perteneciente a la red WAN, seguido del tipo de autenticacion, que en este caso sera claves precompartidas.
Aca tendremos el IKE creado en el tunel anterior, utlizaremos el mismo para esta conexion.
De igual forma en la siguiente ventana, utilizamos el ya creado en el tunel anterior.
Sigamos la simagenes paso por paso, para la correcta configuracion del RoadWarrior.
A continuacion generaremos la clave precompartida y un rango de direcciones IP, que no haya sido asignado a ninguna otra subred en la topologia.
Finalizado el asistente observaremos al nueva conexion asi:
Para probar la configuracion de RoadWarrior, vamos a seleccionar la opcion probar servidor vpn al final de la ventana.
Finalizada la conexion, instalamos el VPN client.
Iniciamos nuestro cliente VPN.
Ahora desde el cliente VPN, crearemos una nueva conexion.
En la opcion donde se nos pide ingresar host, daremos el perteneciente a la WAN, tambien proporcionamos la clave precompartida.
Creada ya nuestra conexion, intentamos conectar.
Para realizar al respectiva conexion, nos pedira autenticacion.
Y se habilitara una nueva tarjeta de red, a la cual se le asiganar una IP dentro del rango que asiganmos en al configuracion del servidor easy VPN.
Espero haya sido de ayuda este post....
Hasta Pronto.... :D
Para iniciar tendremos dos redes LAN, cada una de ellas conectadas a un router CISCO, y estos conectados entre si.
La topologia a trabajar es la siguiente:
Tengo dos maquinas virtuales con Windows XP.
La primera tendra como direccion Ip 192.168.80.2
Para que haya una conexion con el GNS3, debe tener la tarjeta de red en modo anfitrion.
La segunda maquina maquina virtual, tambien con Windows XP, tendra como direccion IP 192.168.90.2.
Este tendra la tarjeta de red tambien en modo anfitrion. Ambas interfaces en modo anfitrion deben tener nombres diferentes.
Seleccioanamos la tarjeta de red, que pertenece a esta red.
En mi caso es la vboxnet0
Para la red LAN2
Al finalizar la respectiva configuracion, tendremos nuestra red asi:
La configuracion del router perteneciente a la red LAN1 es:
Direccionamiento para interfaz fastethernet
Direccionamiento para interfaz Serial.
Configuracion router perteneciente a la red LAN2.
Interfaz Fastethernet
Interfaz Serial.
Verificamos que haya conexion entre cada router y su respectiva red LAn.
Para la configuracion del tunel puento a punto entre los dos routers, utilizaremos un administrador grafico llamado SDM.
Desde la maquina cliente, instalaremos dicho administrador.
Para la correcta utilizacion de este, es necesario tener instalado el Java 5 y el Internet Explorer 8.
Finalizada la instalacion, continuamos con la conexion al router desde el cliente por modo grafico.
NOTA: El roter necesita una configuracion previa para el SDM, esta preparacion podremos encontrarala en este link
Ingresamos la direccion Ip del router proximo a configurar.
Ingresamos el usuario y contrasena configurados previamente en la preparacion del router para SDM.
Despues de tener conexion con el router, veremos la siguiente ventana:
La opcion para configurar el tunel punto a punto, se llama VPN.
Seleccionamos la opcion VPN punto a punto > Crear una VPN punto a punto > iniciar tarea seleccionada.
Iniciado el asistente, vamos a seleccionar asistente por pasos.
Seleccionamos la interfaz serial del router local, seguido de la direccion IP del otro router, el tipo de autenticacion utilizada sera por claves precompartidas.
En esta ventana seleccionaremos Agregar.
Estos seran los valores para la politica IKE.
En al siguienten opcion seleccionamos nuevamente Agregar.
Observamos los valores de esta configuracion:
En la siguiente ventana vamos a proporcionar la informacion correspondiente a direcciones IP de cada maquina perteneciente a cada red LAN, tanto local como remota.
Finalizamos el proceso de creacion de tunel.
Este procedemiento se debe realizar en ambos routers, al finalizar este rpoceso en cada uno de ellos veremos las siguientes ventanas.
Router 1
Router2
Lo que debemos ralizar a continuacion es probar el tunel creado.
Para que podamos tener una conexion correcta con el otro estremos del tunel, debemos realizar el respectivo enrutamiento en cada router, es decir la red LAN1 debe tener conexion con la red LAN2.
Ubicados ya sobre el tunel acabado de crear, vamos hacia las opciones de la parte superior de la ventana y seleccionamos probar tunel.
Iniciamos la conexion del tunel con su otro extremo.
Y verificamos que cada paso transcurrido haya sido correcto.
En el proceso de conexion del tunel, nos saldra una pregunta final, a al que le reponderemos SI, esta pregunta nos llevara a un asistente de configuracion.
Por ejemplo aca permitiremos la conexion desde la IP 192.168.90.2 hacia la IP 192.168.80.2
Especificamos tambien a direccion Ip del router del otro extremo.
Al finalizar esta configuracion faltante, observaremos un mesjae de alerta indicando que la configracion y conexion del tunel ha sido correcta.
El tunel esta activo.
Con la configuracion realizada en el ultimo asistente, se solucionaron los problemas de resolucion del tunel VPN.
hora probaremos la conexion del tunel, que los paquetes si viejen por el protocolo ESP, que es el perteneciente a l tunel VPN.
Enviamos un ping a la direccion IP perteneciente a la maquina de la otra red LAN.
Observamos por medio de wireshark, que los paquetes transmitidos desde la red 192.168.90.0 hacia la red 192.168.80.0 estan siendo enviados mediante el protocolo ESP.
Finalizada la conexion con el tunel, iniciaremos la configuracion de RoadWarrior.
Para esta configuracion necesitaremos una red WAN conectada auno de los dos routers de la anterior topologia.
Para esta rd WAN seleccionaremos la siguiente tarjeta de red.
La topologia para la neva configuracion sera asi:
Nuevamente desde el administrador grafico,
VPN > vpn > Servidor Easy VPN.
Si se nos presenta en pantalla el siguiente mensaje, seleccionaremos activar AAA.
Iniciamos el asistente de configuracion.
Seleccionamos la interfaz perteneciente a la red WAN, seguido del tipo de autenticacion, que en este caso sera claves precompartidas.
Aca tendremos el IKE creado en el tunel anterior, utlizaremos el mismo para esta conexion.
De igual forma en la siguiente ventana, utilizamos el ya creado en el tunel anterior.
Sigamos la simagenes paso por paso, para la correcta configuracion del RoadWarrior.
A continuacion generaremos la clave precompartida y un rango de direcciones IP, que no haya sido asignado a ninguna otra subred en la topologia.
Finalizado el asistente observaremos al nueva conexion asi:
Para probar la configuracion de RoadWarrior, vamos a seleccionar la opcion probar servidor vpn al final de la ventana.
Finalizada la conexion, instalamos el VPN client.
Iniciamos nuestro cliente VPN.
Ahora desde el cliente VPN, crearemos una nueva conexion.
En la opcion donde se nos pide ingresar host, daremos el perteneciente a la WAN, tambien proporcionamos la clave precompartida.
Creada ya nuestra conexion, intentamos conectar.
Para realizar al respectiva conexion, nos pedira autenticacion.
Y se habilitara una nueva tarjeta de red, a la cual se le asiganar una IP dentro del rango que asiganmos en al configuracion del servidor easy VPN.
Espero haya sido de ayuda este post....
Hasta Pronto.... :D
Hola Eli,
ResponderEliminarmuchas gracias por el POST me ha servido de mucho.
Me podrías ayudar para configurar una VPN punto a punto con IP Dinamicas.
Muchas Gracias