Escenario de VPN entre dos sucursales
con redes solapadas
Fecha: 8 de julio del 2014 Clase: Particular sobre seguridad Cisco
Escenario
Este laboratorio reproduce y soluciona la problemática de una empresa que debe anexar mediante una VPN
la red de un proveedor y esta tiene el mismo rango de direcciones IP, por lo tanto es un escenario de redes
solapadas. El vínculo VPN es mediante IPSec, pero también puede implementarse con un vínculo WAN común
y enrutamiento estático. Para aplicar enrutamiento dinámico esperaremos un tiempo.
El túnel IPSec no lleva direccionamiento IP y el tráfico que viaja por la WAN se selecciona mediante una lista de
control de acceso, clasificando lo que se llama “tráfico interesante”.
Solución
Para dar solución a este escenario, utilizamos un método de NAT que transforma cada segmento IP en rangos
diferentes para cada red local, por lo que quedan ambos rangos 192.168.1.0/24, un rango 3.0/24 y otro 4.0/24,
estos últimos sólo visibles desde extremos opuestos de la red.
Por ejemplo, Rosario verá la red de BsAs como 192,168,4,0/24 en vez de 192.168.1.0/24, Córdoba verá a Rosario
como 192.168.3.0/24 en vez de 192.168.1.0/24.
Configuración
Rosario(config)#ip nat inside source static network 192.168.1.0 192.168.3.0 /24 (transforma la red 1.0 en 3.0 y a la inversa)
Rosario(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (origen y destino que van por la VPN)
BsAs(config)#ip nat inside source static network 192.168.1.0 192.168.4.0 /24 (transforma la red 1.0 en 4.0 y a la inversa)
BsAs(config)#access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 (origen y destino que van por la VPN)
Verificación
En Rosario:
Rosario#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.0.2 to network 0.0.0.0
10.0.0.0/30 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, FastEthernet0/1
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 10.0.0.2 (el tráfico a BsAs se va a través de esta ruta)
Rosario#
Rosario#sh crypto isakmp sa (verificamos la VPN establecida)
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.0.0.1 10.0.0.6 QM_IDLE 1001 ACTIVE
IPv6 Crypto ISAKMP SA
Rosario#sh crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: VPN, local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
current_peer 10.0.0.6 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 855, #pkts
encrypt: 855, #pkts digest: 855 (verificamos tráfico enviado por
la VPN)
#pkts decaps: 781, #pkts decrypt: 781, #pkts verify: 781 (verificamos tráfico recibido por la VPN)
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.6
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x63BBEB49(1673259849)
PFS (Y/N): Y, DH group: group5
inbound esp sas:
spi: 0x703DE227(1883103783)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4462292/2502)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
---resumido---
Rosario#
Rosario#sh access-list
Extended IP access list 100
10 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (1707 matches)
Rosario#
Rosario#sh ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 192.168.3.101:1 192.168.1.101:1 192.168.4.2:1 192.168.4.2:1
tcp 192.168.3.101:1426 192.168.1.101:1426 192.168.4.2:23 192.168.4.2:23
--- 192.168.3.101 192.168.1.101 --- ---
--- 192.168.3.0 192.168.1.0 --- ---
Rosario#
Desde una PC de Rosario:
C:\>netstat -na
Conexiones activas
Proto Dirección local Dirección remota Estado
---resumido---
TCP 192.168.1.101:1434 192.168.4.2:23 ESTABLISHED
---resumido---
C:\>
Detalle del tráfico dentro de la WAN, el protocolo ESP es Encapsulating Security Payload, o IPSec.
En WAN:
WAN#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/30 is subnetted, 2 subnets (no se visualizan ninguna de las redes locales, por lo tanto
C 10.0.0.0 is directly connected, FastEthernet0/0 todo el tráfico atravieza el túnel)
C 10.0.0.4 is directly connected, FastEthernet0/1
WAN#
En BsAs:
BsAs#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 10.0.0.5 to network 0.0.0.0
10.0.0.0/30 is subnetted, 1 subnets
C 10.0.0.4 is directly connected, FastEthernet0/1
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 10.0.0.5 (todo se envía por ruta por defecto)
BsAs#
BsAs#sh crypto isakmp sa
(vemos la VPN establecida)
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.0.0.1 10.0.0.6 QM_IDLE 1001 ACTIVE
IPv6 Crypto ISAKMP SA
BsAs#sh crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: VPN, local addr 10.0.0.6
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts
encaps: 130, #pkts encrypt: 130, #pkts digest: 130
#pkts decaps: 190, #pkts
decrypt: 190, #pkts verify: 190
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.0.0.6, remote crypto endpt.: 10.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x703DE227(1883103783)
PFS (Y/N): Y, DH group: group5
inbound esp sas:
spi: 0x63BBEB49(1673259849)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4510785/3098)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
---resumido---
BsAs#
BsAs#sh access-lists
Extended IP access list 100
10 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 (1952 matches)
BsAs#
BsAs#sh ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 192.168.4.2:1 192.168.1.2:1 192.168.3.101:1 192.168.3.101:1
tcp 192.168.4.2:23 192.168.1.2:23 192.168.3.101:1426 192.168.3.101:1426
--- 192.168.4.2 192.168.1.2 --- ---
--- 192.168.4.0 192.168.1.0 --- ---
BsAs#
Configuraciones de los equipos:
Rosario#sh runn (se muestra lo
mas relevante)
Building configuration...
Current configuration : 1487 bytes
!
version 12.4
!
hostname Rosario
!
crypto isakmp policy 10 (fase I de la VPN)
encr aes 256 (como se protegen los datos en la VPN)
authentication pre-share (utiliza la clave PSK configurada abajo)
group 5 (canal seguro para intercambio de claves PSK)
lifetime 3600 (tiempo de vida de la clave PSK)
crypto isakmp key Cisco123 address 10.0.0.6
!
crypto ipsec transform-set ENCRIPTA esp-aes 256 esp-sha-hmac (como se protegen los datos en la VPN)
!
crypto map VPN 10 ipsec-isakmp (fase II de la VPN)
set peer 10.0.0.6 (extremo del tunel)
set transform-set ENCRIPTA (como se protegen los datos en la VPN)
set pfs group5
match address 100 (ACL que determina el tráfico por la VPN)
!
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside (tráfico sin traducirse a 192.168.4.0)
!
interface FastEthernet0/1
description WAN
ip address 10.0.0.1 255.255.255.252
ip nat outside (tráfico traducido a 192.168.4.0)
crypto map VPN (termiandor de tunel)
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2 (mediante la ruta por defecto se fuerza el tráfico hacia la VPN)
!
ip nat translation timeout 60 (acorta la duración de las entradas en la tabla de traducción)
ip nat inside source static network 192.168.1.0 192.168.3.0 /24 (transforma la red 1.0 en 3.0 y a la inversa)
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (tráfico por la VPN)
!
end
Rosario#
WAN#sh runn (se muestra lo
mas relevante)
Building configuration...
Current configuration : 893 bytes
!
version 12.4
!
hostname WAN
!
!
interface FastEthernet0/0
ip address 10.0.0.2 255.255.255.252
!
interface FastEthernet0/1
ip address 10.0.0.5 255.255.255.252
!
end
WAN#
BsAs#sh runn (se muestra lo mas relevante)
Building configuration...
Current configuration : 1589 bytes
!
version 12.4
!
hostname BsAs
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
lifetime 3600
crypto isakmp key Cisco123 address 10.0.0.1
!
crypto ipsec transform-set ENCRIPTA esp-aes 256 esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 10.0.0.1
set transform-set ENCRIPTA
set pfs group5
match address 100
!
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1
description WAN
ip address 10.0.0.6 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 10.0.0.5
!
ip nat translation timeout 60
ip nat inside source static network 192.168.1.0 192.168.4.0 /24
!
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
!
end
BsAs#
Switch#sh runn (se muestra lo mas relevante)
Building configuration...
Current configuration : 1440 bytes
!
version 12.2
!
hostname Switch
!
interface FastEthernet0/1
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
interface FastEthernet0/5
interface FastEthernet0/6
interface FastEthernet0/7
interface FastEthernet0/8
interface FastEthernet0/9
interface FastEthernet0/10
interface FastEthernet0/11
interface FastEthernet0/12
interface FastEthernet0/13
interface FastEthernet0/14
interface FastEthernet0/15
interface FastEthernet0/16
interface FastEthernet0/17
interface FastEthernet0/18
interface FastEthernet0/19
interface FastEthernet0/20
interface FastEthernet0/21
interface FastEthernet0/22
interface FastEthernet0/23
interface FastEthernet0/24
interface GigabitEthernet0/1
interface GigabitEthernet0/2
!
interface Vlan1
ip
address 192.168.1.2 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
line con 0
line vty 0 4
password cisco
login
line vty 5 15
login
!
end
Switch#
(2014) Networkers are zombies?
Rosario, Argentina