CCNA Security Módulo 8: Laboratorio de VPN ( lab 1 )

Fecha: 30/6/2010 Instructor: Ernesto Vilarrasa

 

Escenario: tenemos sucursales:  Córdoba ( Linksys WRV54G ), Tucumán ( Linksys WRV200 ), Mendoza

( Linksys RVS4000) y Rosario ( Cisco 2610 ) a través de IP públicas ( RFC 1918 ) y mediante VPN IPsec.

Los equipos Linksys RVS4000 y WRV200 son gentileza de Segio Ardiani, el WRV54G es de mi propiedad.

 

( escenario representado en Packet Tracer ya que no dispongo fotos del pizarrón )

 

Configuración Linksys: Ingresamos a http://10.0.0.1 como user: admin pass: P4ssW0rD

solapas Security – VPN y configuramos según las siguientes capturas:

 

   

 

Donde:

 

Local Secure Group y Remote Secure Group son el equivalente a las sentencias de una ACL

Remote Secure Gateway es el peer, en este caso una IP, la opción FQDN es un dominio.

 

 

 

 

Hacemos click en Advanced VPN Tunnel Setup

 

 

Configuración router Rosario:

 

Rosario#sh runn

 

---resumido---

!

hostname Rosario

---resumido---

!

crypto isakmp policy 10

 encr 3des coincide con Linksys

 authentication pre-share coincide con Linksys

 group 2 coincide con Linksys

 lifetime 3600 coincide con Linksys

crypto isakmp key Biciclet4 address 200.45.0.2

clave PSK coincide con Linksys, la IP es la remota

!

crypto ipsec transform-set ENCRIPTA esp-3des esp-sha-hmac

coincide con Linksys ( HMAC es el antireplay )

!

crypto map MAPA 10 ipsec-isakmp

 set peer 200.45.0.2 IP WAN del Linksys

 set security-association lifetime seconds 28000 coincide con Linksys

 set transform-set ENCRIPTA

 set pfs group2 coincide con Linksys

 match address 101

!

interface FastEthernet0/0

 ip address 200.45.0.1 255.255.255.252

crypto map MAPA

!

interface FastEthernet1/0

 ip address 192.168.0.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 200.45.0.2

!

access-list 101 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255

!

end

 

Rosario#

 

Rosario#sh crypto isakmp sa todavía no hay túnel(es) establecido(s)

dst             src             state          conn-id slot status

 

Rosario#

 

Hacemos click en Connect en Linksys ( Córdoba ) y en los otras sucursales:

 

 

Verificamos en Cisco:

 

Rosario#sh crypto isakmp sa ahora hay túneles establecidos

dst             src             state          conn-id slot status

190.100.0.2      200.45.0.2      QM_IDLE                      1    0 ACTIVE Tucumán

200.42.0.10      200.45.0.2      QM_IDLE                      1    0 ACTIVE Córdoba

200.69.216.2     200.45.0.2      QM_IDLE                      1    0 ACTIVE Mendoza

 

Verificamos en Linksys ( Córdoba ):

 

 

Rosario#sh crypto ipsec sa

 

interface: FastEthernet0/0 verificamos tráfico enviado al túnel

    Crypto map tag: MAPA, local addr 200.45.0.1

 

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)

   current_peer 200.45.0.2 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 1005, #pkts encrypt: 1005, #pkts digest: 1005

    #pkts decaps: 1005, #pkts decrypt: 1005, #pkts verify: 1005

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 15, #recv errors 0

 

     local crypto endpt.: 200.45.0.1, remote crypto endpt.: 200.45.0.2

     path mtu 1500, ip mtu 1500

     current outbound spi: 0x45B8B804(1169733636)

 

     inbound esp sas:

      spi: 0xD03FC029(3493838889)

        transform: esp-3des esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2001, flow_id: 1, crypto map: MAPA

        sa timing: remaining key lifetime (k/sec): (4496455/27861)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

 

     inbound ah sas:

 

     inbound pcp sas:

 

     outbound esp sas:

      spi: 0x45B8B804(1169733636)

        transform: esp-3des esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2002, flow_id: 2, crypto map: MAPA

        sa timing: remaining key lifetime (k/sec): (4496455/27850)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

 

     outbound ah sas:

 

     outbound pcp sas:

Rosario#

 

C:\Documents and Settings\ernesto>tracert 192.168.0.10

     ( no vemos que el tráfico atraviese IP públicas )

 

Traza a 192.168.0.10 sobre caminos de 30 saltos como máximo.

 

  1     1 ms     1 ms     1 ms  Cordoba [10.0.0.1]

  2     *        *        *     Tiempo de espera agotado para esta solicitud.

  3    27 ms    31 ms    31 ms  192.168.0.10

 

Traza completa.

 

Desconectamos la VPN desde Linksys ( Córdoba:

 

 

Rosario#debug crypto ipsec desde debug para verificar la negociación de cierre

Rosario#

*Mar  1 00:22:04.471: IPSEC(key_engine): got a queue event with 1 kei messages

*Mar  1 00:22:04.471: IPSEC(key_engine_delete_sas): rec'd delete notify from ISA

KMP

*Mar  1 00:22:04.475: IPSEC(key_engine_delete_sas): delete SA with spi 0x45B8B80

4 proto 50 for 200.45.0.2

*Mar  1 00:22:04.479: IPSEC(delete_sa): deleting SA,

  (sa) sa_dest= 200.45.0.1, sa_proto= 50,

    sa_spi= 0xD03FC029(3493838889),

    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001,

  (identity) local= 200.45.0.1, remote= 200.45.0.2,

    local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),

    remote_proxy= 10.0.0.0/255.255.255.0/0/0 (type=4)

---resumido---

*Mar  1 00:22:04.483: IPSec: Flow_switching Deallocated flow for sibling 8000000

2

*Mar  1 00:22:04.495: IPSEC(key_engine): got a queue event with 1 kei messages

Rosario#

 

Tracert al host de pruebas ahora sin túnel activo:

 

C:\Documents and Settings\ernesto>tracert 192.168.0.10

 

Traza a 192.168.0.10 sobre caminos de 30 saltos como máximo.

 

  1     1 ms     1 ms     1 ms  Cordoba [10.0.0.1]

  2     9 ms    23 ms    15 ms  200.45.0.1 vemos que el tráfico atraviesa IP públicas

  3    31 ms    35 ms    31 ms  192.168.0.10

 

Traza completa.

 

Pruebas de campo: conectamos en córdoba una cámara Genius GF112 y mediante Netmeeting verificamos

pérdida de rendimiento por parte del encriptado/desencriptado, pero no es apreciable debido a que trabajamos

a 100Mbps y no limitamos en ancho de banda a velocidades reales ( ejemplo 2 Mbps down / 640 Kbps up ).

Para unir el tráfico Córdoba-Tucumán-Mendoza realizamos túneles adicionales y la topología con quedó con

configuración full-mesh (todos contra todos ).

 

 

(2010) Crazy tales to sleep by uncle Ernest

Rosario, Argentina