VPN site2site en Cisco ASA
Revisado: 2 de octubre de 2008 | etiquetas: Cisco, Seguridad
Crear una VPN con un Cisco ASA es muy simple y más si se usa el wizard del entorno gráfico Java, pero muchas veces viene bien poder hacerlo vía comandos desde la consola.
Aquí pongo 2 variantes para crear VPN, la primera es la salida que genera el wizard (solo para un lado) y la segunda es el código de ambos lados de la VPN extraído de un artículo del blog write mem. Está claro que puede haber muchas variantes de VPN site2site dependiendo del tipo de cifrado y otros valores, pero aquí expongo uno sencillo y seguro válido para la gran mayoría.
Lo que crea el wizard:
crypto isakmp enable outside access-list inside_nat0_outbound line 1 extended permit ip red_local mascara_local red_remota mascara_remota access-list outside_1_cryptomap line 1 extended permit ip red_local mascara_local red_remota mascara_remota tunnel-group ip_peer type ipsec-l2l tunnel-group ip_peer ipsec-attributes pre-shared-key clave_precompartida isakmp keepalive threshold 10 retry 2 crypto isakmp policy 10 authen pre-share crypto isakmp policy 10 encrypt 3des crypto isakmp policy 10 hash sha crypto isakmp policy 10 group 2 crypto isakmp policy 10 lifetime 86400 crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set pfs group2 crypto map outside_map 1 set peer ip_peer crypto map outside_map 1 set transform-set ESP-3DES-SHA crypto map outside_map interface outside nat (inside) 0 access-list inside_nat0_outbound tcp 0 0 udp 0
Los datos a cambiar son:
- red_local y mascara_local, son la red LAN de este lado de la VPN
- red_remota y mascara_remota, son la red LAN del lado remoto de la VPN
- ip_peer, es la IP pública del lado remoto
- clave_precompartida, es un clave igual en ambos lados.
Es muy importante que los datos sea idénticos en ambos lados, sobre todo el lifetime y los access-list
Y ahora la versión del Blog write mem.
Lado local:
cry isakmp policy 10 auth pre encr 3des group 2 hash sha ! crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto isakmp key password address 192.168.55.1 ! access-list 101 permit ip 192.168.56.0 0.0.0.255 192.168.54.0 0.0.0.255 ! cry isakmp keep 10 2 crypto map vpnmap 10 ipsec-isakmp set peer 192.168.55.1 set transform-set 3DES-MD5 match address 101 reverse-route ! int fa0/0 ip addr 192.168.56.1 255.255.255.0 no shut ! int fa0/1 ip address 192.168.55.2 255.255.255.0 no shut crypto map vpnmap ! ip route 0.0.0.0 0.0.0.0 192.168.55.1 !
Lado remoto:
cry isakmp policy 10 auth pre encr 3des group 2 hash sha ! crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto isakmp key password address 192.168.55.5 ! access-list 101 permit ip 192.168.54.0 0.0.0.255 192.168.56.0 0.0.0.255 ! cry isakmp keep 10 2 crypto map vpnmap 10 ipsec-isakmp set peer 192.168.55.5 set transform-set 3DES-MD5 match address 101 reverse-route ! int fa0/0 no shut ip address 192.168.55.1 255.255.255.0 crypto map vpnmap ! int l0 ip address 192.168.54.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.55.5 !
Articulos similares:
- Configuración ADSL2+ para Cisco 877 para Jazztel (22 enero 2009)
- Editar ACLs en Cisco (4 diciembre 2008)
- Configuración avanzada de router Cisco 877 (27 enero 2009)
- Espiar en IOS con un parametro oculto. (23 marzo 2009)
- EoMPLS o Túneles Martini (27 febrero 2009)
Como puedo hacer una VPN para acceder a varias redes internas que tenga en el punto central? Tengo un cisco con varias redes internas (detras de la red local propia al equipo), quiero acceder con una VPN a todas las redes que hay detrás del cisco central. No logro llegar a otra red que no sea la que está inmediatamente conectada al router central. Gracias y Saludos.