CCNA Security Módulo 8: Laboratorio de VPN ( lab 1 )
Fecha: 30/6/2010 Instructor: Ernesto Vilarrasa
Escenario: tenemos sucursales: Córdoba ( Linksys WRV54G ), Tucumán ( Linksys WRV200 ), Mendoza
( Linksys RVS4000) y Rosario ( Cisco 2610 ) a través de IP públicas ( RFC 1918 ) y mediante VPN IPsec.
Los equipos Linksys RVS4000 y WRV200 son gentileza de Segio Ardiani, el WRV54G es de mi propiedad.
( escenario representado en Packet Tracer ya que no dispongo fotos del pizarrón )
Configuración Linksys: Ingresamos a http://10.0.0.1 como user: admin pass: P4ssW0rD
solapas Security – VPN y
configuramos según las siguientes capturas:
Donde:
Local Secure Group y Remote Secure Group son el equivalente a las sentencias de una ACL
Remote Secure Gateway es el peer, en este caso una IP, la opción FQDN es un dominio.
Hacemos click
en Advanced VPN Tunnel
Setup
Configuración router Rosario:
Rosario#sh runn
---resumido---
!
hostname Rosario
---resumido---
!
crypto isakmp policy 10
encr
3des coincide con Linksys
authentication
pre-share coincide con Linksys
group 2 coincide con Linksys
lifetime 3600 coincide con Linksys
crypto isakmp key Biciclet4 address 200.45.0.2
clave PSK
coincide con Linksys, la IP es la remota
!
crypto ipsec transform-set ENCRIPTA
esp-3des esp-sha-hmac
coincide con
Linksys ( HMAC es el antireplay )
!
crypto map MAPA 10
ipsec-isakmp
set peer
200.45.0.2 IP WAN del Linksys
set
security-association lifetime seconds 28000 coincide
con Linksys
set
transform-set ENCRIPTA
set pfs group2 coincide con Linksys
match address 101
!
interface FastEthernet0/0
ip address 200.45.0.1
255.255.255.252
crypto map MAPA
!
interface FastEthernet1/0
ip address
192.168.0.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 200.45.0.2
!
access-list 101
permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255
!
end
Rosario#
Rosario#sh crypto isakmp
sa todavía no hay túnel(es) establecido(s)
dst src state conn-id slot status
Rosario#
Hacemos click en Connect en Linksys ( Córdoba ) y en los otras sucursales:
Verificamos en Cisco:
Rosario#sh crypto
isakmp sa ahora hay túneles establecidos
dst
src state conn-id slot status
190.100.0.2
200.45.0.2 QM_IDLE 1 0 ACTIVE Tucumán
200.42.0.10
200.45.0.2 QM_IDLE 1 0 ACTIVE Córdoba
200.69.216.2
200.45.0.2 QM_IDLE 1 0 ACTIVE Mendoza
Verificamos en Linksys (
Córdoba ):
Rosario#sh crypto ipsec
sa
interface: FastEthernet0/0
verificamos tráfico enviado al túnel
Crypto map tag: MAPA,
local addr 200.45.0.1
protected
vrf: (none)
local ident (addr/mask/prot/port):
(192.168.0.0/255.255.255.0/0/0)
remote ident
(addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
current_peer
200.45.0.2 port 500
PERMIT,
flags={origin_is_acl,}
#pkts
encaps: 1005, #pkts encrypt: 1005, #pkts digest: 1005
#pkts
decaps: 1005, #pkts decrypt: 1005, #pkts verify: 1005
#pkts
compressed: 0, #pkts decompressed: 0
#pkts not
compressed: 0, #pkts compr. failed: 0
#pkts not
decompressed: 0, #pkts decompress failed: 0
#send
errors 15, #recv errors 0
local
crypto endpt.: 200.45.0.1, remote crypto endpt.: 200.45.0.2
path mtu
1500, ip mtu 1500
current
outbound spi: 0x45B8B804(1169733636)
inbound
esp sas:
spi:
0xD03FC029(3493838889)
transform: esp-3des esp-sha-hmac ,
in use
settings ={Tunnel, }
conn
id: 2001, flow_id: 1, crypto map: MAPA
sa
timing: remaining key lifetime (k/sec): (4496455/27861)
IV size: 8 bytes
replay
detection support: Y
Status:
ACTIVE
inbound ah
sas:
inbound
pcp sas:
outbound
esp sas:
spi:
0x45B8B804(1169733636)
transform: esp-3des esp-sha-hmac ,
in use settings
={Tunnel, }
conn
id: 2002, flow_id: 2, crypto map: MAPA
sa
timing: remaining key lifetime (k/sec): (4496455/27850)
IV
size: 8 bytes
replay
detection support: Y
Status:
ACTIVE
outbound
ah sas:
outbound
pcp sas:
Rosario#
C:\Documents and Settings\ernesto>tracert
192.168.0.10
( no vemos que el tráfico atraviese IP
públicas )
Traza a 192.168.0.10 sobre
caminos de 30 saltos como máximo.
1 1 ms 1 ms
1 ms Cordoba [10.0.0.1]
2 *
* * Tiempo de espera agotado para esta
solicitud.
3 27 ms
31 ms 31 ms 192.168.0.10
Traza completa.
Desconectamos la VPN desde
Linksys ( Córdoba:
Rosario#debug crypto
ipsec desde debug para verificar la negociación de
cierre
Rosario#
*Mar 1
00:22:04.471: IPSEC(key_engine): got a queue event with 1 kei messages
*Mar 1
00:22:04.471: IPSEC(key_engine_delete_sas): rec'd delete notify from ISA
KMP
*Mar 1
00:22:04.475: IPSEC(key_engine_delete_sas): delete SA with spi 0x45B8B80
4 proto 50 for 200.45.0.2
*Mar 1
00:22:04.479: IPSEC(delete_sa): deleting SA,
(sa) sa_dest=
200.45.0.1, sa_proto= 50,
sa_spi=
0xD03FC029(3493838889),
sa_trans=
esp-3des esp-sha-hmac , sa_conn_id= 2001,
(identity)
local= 200.45.0.1, remote= 200.45.0.2,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.0.0.0/255.255.255.0/0/0 (type=4)
---resumido---
*Mar 1
00:22:04.483: IPSec: Flow_switching Deallocated flow for sibling 8000000
2
*Mar 1 00:22:04.495:
IPSEC(key_engine): got a queue event with 1 kei messages
Rosario#
Tracert al host de pruebas
ahora sin túnel activo:
C:\Documents and Settings\ernesto>tracert
192.168.0.10
Traza a 192.168.0.10 sobre
caminos de 30 saltos como máximo.
1 1 ms
1 ms 1 ms Cordoba [10.0.0.1]
2 9 ms 23 ms
15 ms 200.45.0.1 vemos que el tráfico atraviesa IP públicas
3 31 ms
35 ms 31 ms 192.168.0.10
Traza completa.
Pruebas de campo: conectamos en córdoba una cámara Genius GF112 y mediante Netmeeting verificamos
pérdida de rendimiento por parte del encriptado/desencriptado, pero no es apreciable debido a que trabajamos
a 100Mbps y no limitamos en ancho de banda a velocidades reales ( ejemplo 2 Mbps down / 640 Kbps up ).
Para unir el tráfico Córdoba-Tucumán-Mendoza realizamos túneles adicionales y la topología con quedó con
configuración full-mesh (todos contra todos ).
(2010) Crazy tales to sleep by uncle Ernest
Rosario, Argentina