Escenario de VPN entre dos sucursales con redes solapadas

Fecha: 8 de julio del 2014 Clase: Particular sobre seguridad Cisco

 

Escenario

 

Este laboratorio reproduce y soluciona la problemática de una empresa que debe anexar mediante una VPN

la red de un proveedor y esta tiene el mismo rango de direcciones IP, por lo tanto es un escenario de redes

solapadas. El vínculo VPN es mediante IPSec, pero también puede implementarse con un vínculo WAN común

y enrutamiento estático. Para aplicar enrutamiento dinámico esperaremos un tiempo.

 

 

 

El túnel IPSec no lleva direccionamiento IP y el tráfico que viaja por la WAN se selecciona mediante una lista de

control de acceso, clasificando lo que se llama “tráfico interesante”.

 

Solución

 

Para dar solución a este escenario, utilizamos un método de NAT que transforma cada segmento IP en rangos

diferentes para cada red local, por lo que quedan ambos rangos 192.168.1.0/24, un rango 3.0/24 y otro 4.0/24,

estos últimos sólo visibles desde extremos opuestos de la red.

 

 

 

Por ejemplo, Rosario verá la red de BsAs como 192,168,4,0/24 en vez de 192.168.1.0/24, Córdoba verá a Rosario

como 192.168.3.0/24 en vez de 192.168.1.0/24.

 

Configuración

 

Rosario(config)#ip nat inside source static network 192.168.1.0 192.168.3.0 /24 (transforma la red 1.0 en 3.0 y a la inversa)

Rosario(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (origen y destino que van por la VPN)

 

BsAs(config)#ip nat inside source static network 192.168.1.0 192.168.4.0 /24 (transforma la red 1.0 en 4.0 y a la inversa)

BsAs(config)#access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 (origen y destino que van por la VPN)

 

Verificación

 

En Rosario:

 

Rosario#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

       ia - IS-IS inter area, * - candidate default, U - per-user static route

       o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.0.0.2 to network 0.0.0.0

 

     10.0.0.0/30 is subnetted, 1 subnets

C       10.0.0.0 is directly connected, FastEthernet0/1

C    192.168.1.0/24 is directly connected, FastEthernet0/0

S*   0.0.0.0/0 [1/0] via 10.0.0.2 (el tráfico a BsAs se va a través de esta ruta)

Rosario#

 

Rosario#sh crypto isakmp sa (verificamos la VPN establecida)

IPv4 Crypto ISAKMP SA

dst                 src                  state              conn-id status

10.0.0.1        10.0.0.6        QM_IDLE           1001 ACTIVE

 

IPv6 Crypto ISAKMP SA

 

Rosario#sh crypto ipsec sa

 

interface: FastEthernet0/1

    Crypto map tag: VPN, local addr 10.0.0.1

 

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)

   current_peer 10.0.0.6 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 855, #pkts encrypt: 855, #pkts digest: 855 (verificamos tráfico enviado por la VPN)

    #pkts decaps: 781, #pkts decrypt: 781, #pkts verify: 781 (verificamos tráfico recibido por la VPN)

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

 

     local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.6

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1

     current outbound spi: 0x63BBEB49(1673259849)

     PFS (Y/N): Y, DH group: group5

 

     inbound esp sas:

      spi: 0x703DE227(1883103783)

        transform: esp-256-aes esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: VPN

        sa timing: remaining key lifetime (k/sec): (4462292/2502)

        IV size: 16 bytes

        replay detection support: Y

        Status: ACTIVE

---resumido---

Rosario#

 

Rosario#sh access-list

Extended IP access list 100

    10 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (1707 matches)

Rosario#

 

Rosario#sh ip nat trans

Pro    Inside global               Inside local               Outside local         Outside global

icmp 192.168.3.101:1        192.168.1.101:1       192.168.4.2:1       192.168.4.2:1

tcp    192.168.3.101:1426 192.168.1.101:1426 192.168.4.2:23     192.168.4.2:23

--- 192.168.3.101      192.168.1.101      ---                ---

--- 192.168.3.0        192.168.1.0        ---                ---

Rosario#

 

Desde una PC de Rosario:

 

 

 

 

 

C:\>netstat -na

 

Conexiones activas

 

  Proto  Dirección local        Dirección remota       Estado

  ---resumido---

    TCP    192.168.1.101:1434     192.168.4.2:23         ESTABLISHED

  ---resumido---

 

C:\>

 

Detalle del tráfico dentro de la WAN, el protocolo ESP es Encapsulating Security Payload, o IPSec.

 

 

En WAN:

 

WAN#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

       ia - IS-IS inter area, * - candidate default, U - per-user static route

       o - ODR, P - periodic downloaded static route

 

Gateway of last resort is not set

 

     10.0.0.0/30 is subnetted, 2 subnets (no se visualizan ninguna de las redes locales, por lo tanto

C       10.0.0.0 is directly connected, FastEthernet0/0                        todo el tráfico atravieza el túnel)

C       10.0.0.4 is directly connected, FastEthernet0/1

WAN#

 

En BsAs:

 

BsAs#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

       ia - IS-IS inter area, * - candidate default, U - per-user static route

       o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.0.0.5 to network 0.0.0.0

 

     10.0.0.0/30 is subnetted, 1 subnets

C       10.0.0.4 is directly connected, FastEthernet0/1

C    192.168.1.0/24 is directly connected, FastEthernet0/0

S*   0.0.0.0/0 [1/0] via 10.0.0.5 (todo se envía por ruta por defecto)

BsAs#

 

BsAs#sh crypto isakmp sa (vemos la VPN establecida)

IPv4 Crypto ISAKMP SA

dst                 src                  state              conn-id status

10.0.0.1        10.0.0.6        QM_IDLE           1001 ACTIVE

 

IPv6 Crypto ISAKMP SA

 

BsAs#sh crypto ipsec sa

 

interface: FastEthernet0/1

    Crypto map tag: VPN, local addr 10.0.0.6

 

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)

   current_peer 10.0.0.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 130, #pkts encrypt: 130, #pkts digest: 130

    #pkts decaps: 190, #pkts decrypt: 190, #pkts verify: 190

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 0, #recv errors 0

 

     local crypto endpt.: 10.0.0.6, remote crypto endpt.: 10.0.0.1

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1

     current outbound spi: 0x703DE227(1883103783)

     PFS (Y/N): Y, DH group: group5

 

     inbound esp sas:

      spi: 0x63BBEB49(1673259849)

        transform: esp-256-aes esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: VPN

        sa timing: remaining key lifetime (k/sec): (4510785/3098)

        IV size: 16 bytes

        replay detection support: Y

        Status: ACTIVE

---resumido---

BsAs#

 

BsAs#sh access-lists

Extended IP access list 100

    10 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 (1952 matches)

BsAs#

 

BsAs#sh ip nat trans

Pro Inside global          Inside local           Outside local             Outside global

icmp 192.168.4.2:1     192.168.1.2:1      192.168.3.101:1        192.168.3.101:1

tcp    192.168.4.2:23   192.168.1.2:23    192.168.3.101:1426 192.168.3.101:1426

--- 192.168.4.2        192.168.1.2        ---                ---

--- 192.168.4.0        192.168.1.0        ---                ---

BsAs#

 

Configuraciones de los equipos:

 

Rosario#sh runn (se muestra lo mas relevante)

Building configuration...

 

Current configuration : 1487 bytes

!

version 12.4

!

hostname Rosario

!

crypto isakmp policy 10 (fase I de la VPN)

 encr aes 256 (como se protegen los datos en la VPN)

 authentication pre-share (utiliza la clave PSK configurada abajo)

 group 5 (canal seguro para intercambio de claves PSK)

 lifetime 3600 (tiempo de vida de la clave PSK)

crypto isakmp key Cisco123 address 10.0.0.6

!

crypto ipsec transform-set ENCRIPTA esp-aes 256 esp-sha-hmac (como se protegen los datos en la VPN)

!

crypto map VPN 10 ipsec-isakmp (fase II de la VPN)

 set peer 10.0.0.6 (extremo del tunel)

 set transform-set ENCRIPTA (como se protegen los datos en la VPN)

 set pfs group5

 match address 100 (ACL que determina el tráfico por la VPN)

!

interface FastEthernet0/0

 description LAN

 ip address 192.168.1.1 255.255.255.0

 ip nat inside (tráfico sin traducirse a 192.168.4.0)

!

interface FastEthernet0/1

 description WAN

 ip address 10.0.0.1 255.255.255.252

 ip nat outside (tráfico traducido a 192.168.4.0)

crypto map VPN (termiandor de tunel)

!

ip route 0.0.0.0 0.0.0.0 10.0.0.2 (mediante la ruta por defecto se fuerza el tráfico hacia la VPN)

!

ip nat translation timeout 60 (acorta la duración de las entradas en la tabla de traducción)

ip nat inside source static network 192.168.1.0 192.168.3.0 /24 (transforma la red 1.0 en 3.0 y a la inversa)

!

access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 (tráfico por la VPN)

!

end

 

Rosario#

 

WAN#sh runn (se muestra lo mas relevante)

Building configuration...

 

Current configuration : 893 bytes

!

version 12.4

!

hostname WAN

!

!

interface FastEthernet0/0

 ip address 10.0.0.2 255.255.255.252

!

interface FastEthernet0/1

 ip address 10.0.0.5 255.255.255.252

!

end

 

WAN#

 

BsAs#sh runn (se muestra lo mas relevante)

Building configuration...

 

Current configuration : 1589 bytes

!

version 12.4

!

hostname BsAs

!

crypto isakmp policy 10

 encr aes 256

 authentication pre-share

 group 5

 lifetime 3600

crypto isakmp key Cisco123 address 10.0.0.1

!

crypto ipsec transform-set ENCRIPTA esp-aes 256 esp-sha-hmac

!

crypto map VPN 10 ipsec-isakmp

 set peer 10.0.0.1

 set transform-set ENCRIPTA

 set pfs group5

 match address 100

!

interface FastEthernet0/0

 description LAN

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly

!

interface FastEthernet0/1

 description WAN

 ip address 10.0.0.6 255.255.255.252

 ip nat outside

 ip virtual-reassembly

crypto map VPN

!

ip route 0.0.0.0 0.0.0.0 10.0.0.5

!

ip nat translation timeout 60

ip nat inside source static network 192.168.1.0 192.168.4.0 /24

!

access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255

!

end

 

BsAs#

 

Switch#sh runn (se muestra lo mas relevante)

Building configuration...

 

Current configuration : 1440 bytes

!

version 12.2

!

hostname Switch

!

interface FastEthernet0/1

interface FastEthernet0/2

interface FastEthernet0/3

interface FastEthernet0/4

interface FastEthernet0/5

interface FastEthernet0/6

interface FastEthernet0/7

interface FastEthernet0/8

interface FastEthernet0/9

interface FastEthernet0/10

interface FastEthernet0/11

interface FastEthernet0/12

interface FastEthernet0/13

interface FastEthernet0/14

interface FastEthernet0/15

interface FastEthernet0/16

interface FastEthernet0/17

interface FastEthernet0/18

interface FastEthernet0/19

interface FastEthernet0/20

interface FastEthernet0/21

interface FastEthernet0/22

interface FastEthernet0/23

interface FastEthernet0/24

interface GigabitEthernet0/1

interface GigabitEthernet0/2

!

interface Vlan1

 ip address 192.168.1.2 255.255.255.0

!

ip default-gateway 192.168.1.1

ip http server

ip http secure-server

!

line con 0

line vty 0 4

 password cisco

 login

line vty 5 15

 login

!

end

 

Switch#

 

(2014) Networkers are zombies?

Rosario, Argentina