CCNA Security Módulo 8 ( lab 2 )
Fecha: 30/6/2010 Instructor: Ernesto Vilarrasa
(Imagen de
Packet Tracer 5.2)
Escenario: en el mismo escenario anterior, en vez de utilizar VPN site to site, implementamos
Easy VPN en Rosario, mediante un gateway y el cliente Cisco-vpnclient-win-is-4.8.01.0300-k9.
Una vez instalado configuramos haciendo click en NEW y configuramos según captura :
Donde nos pide password: P4ssW0rD
y luego Save
Luego click en Connect
Etapa de conexión....
Conexión establecida
Verificamos:
C:\Documents and Settings\ernesto>ipconfig
Configuración IP de Windows
Adaptador Ethernet Wireless on board :
Sufijo
de conexión específica DNS :
Dirección IP. . . . . . . . . . . : 10.0.0.110
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada :
se anula el
default gateway
Adaptador Ethernet Intel On board :
Estado
de los medios. . . .: medios desconectados
Adaptador Ethernet
{B0AB690B-77D5-4864-A56C-302596E51F7E}
:
este es el adaptador virtual del
cliente VPN
Sufijo de conexión específica DNS : pruebas.com
Dirección IP. . . . . . . . . . . : 192.168.0.100
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.0.100
Configuración del router:
User Access Verification
Username: remoto
Password: ********* ( Remoto123 )
Rosario>enable
Password:**** ( class )
Rosario#sh runn
Building configuration...
---resumido---
!
hostname Rosario
!
aaa new-model activamos AAA
!
! clientes
validan AAA, el comando NETWORK currícula 3.5.1 página 2
aaa authorization network vpn-group
local
!
username remoto password 0 Remoto123 user administrativo ( exec )
!
crypto isakmp policy 10 fase
I de IKE
encr 3des
authentication
pre-share
group
2
lifetime 3600
crypto isakmp keepalive 20
10 mantiene la conexión activa
!
crypto isakmp client
configuration group VPN donde definimos NAME y
key P4ssW0rD password ingresado en el cliente VPN de los PC
domain pruebas.com
pool remote-pool de este pool obtienen la IP los clientes
!
crypto ipsec transform-set EASYVPN
esp-3des esp-sha-hmac
!
crypto dynamic-map DYNAMICMAP 10 mapa
dinámico, ya que no es
set transform-set EASYVPN un túnel point to point
reverse-route
las rutas aprendidas se instalan en la tabla de enru-
! -tamiento local como rutas estáticas que apuntan a la interfaz de
! cifrado. Cuando el túnel IPSec es derribado, las rutas estáticas
! asociadas serán removidas
!
crypto map CLIENTMAP
isakmp authorization list vpn-group
crypto map CLIENTMAP
client configuration address respond
crypto map CLIENTMAP
65535 ipsec-isakmp dynamic DYNAMICMAP
! máximo valor de policy (65535)
!
interface FastEthernet0/0
ip address
200.45.0.1 255.255.255.252
description
OUTSIDE
crypto map CLIENTMAP
!
interface FastEthernet1/0
ip address
192.168.0.1 255.255.255.0
!
ip local pool remote-pool
192.168.0.100 192.168.0.110
ip route 0.0.0.0 0.0.0.0 200.45.0.2
!
end
Verificamos:
Rosario#sh crypto isakmp sa
dst src
state conn-id slot
status
200.45.0.1
200.45.0.2 QM_IDLE 1 0 ACTIVE
Rosario#sh crypto ipsec sa
interface: FastEthernet0/0
Crypto map
tag: CLIENTMAP, local addr 200.45.0.1
protected
vrf: (none)
local ident (addr/mask/prot/port):
(0.0.0.0/0.0.0.0/0/0)
remote ident
(addr/mask/prot/port): (192.168.0.100/255.255.255.255/0/0)
current_peer
200.45.0.2 port 4500
PERMIT,
flags={}
#pkts
encaps: 84, #pkts encrypt: 84, #pkts digest: 84
#pkts
decaps: 264, #pkts decrypt: 264, #pkts verify: 264
#pkts
compressed: 0, #pkts decompressed: 0
#pkts not
compressed: 0, #pkts compr. failed: 0
#pkts not
decompressed: 0, #pkts decompress failed: 0
#send
errors 0, #recv errors 0
local
crypto endpt.: 200.45.0.1, remote crypto endpt.: 200.45.0.2
path mtu
1500, ip mtu 1500
current
outbound spi: 0xA4CE4A7F(2764982911)
inbound
esp sas:
spi:
0x1718ED07(387509511)
transform: esp-3des esp-sha-hmac ,
in use
settings ={Tunnel UDP-Encaps, }
conn
id: 2002, flow_id: 2, crypto map: CLIENTMAP
sa
timing: remaining key lifetime (k/sec): (4425794/3502)
IV
size: 8 bytes
replay
detection support: Y
Status:
ACTIVE
inbound ah sas:
inbound
pcp sas:
outbound
esp sas:
spi:
0xA4CE4A7F(2764982911)
transform: esp-3des esp-sha-hmac ,
in use
settings ={Tunnel UDP-Encaps, }
conn
id: 2001, flow_id: 1, crypto map: CLIENTMAP
sa
timing: remaining key lifetime (k/sec): (4425815/3500)
IV
size: 8 bytes
replay
detection support: Y
Status:
ACTIVE
outbound
ah sas:
outbound
pcp sas:
Rosario#sh ip local pool
Pool Begin End Free In use
remote-pool 192.168.0.100 192.168.0.110 10 4
Rosario#exit
Connection lost !
(2010) Crazy tales to sleepby uncle Ernest
Rosario, Argentina