Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Server
Paso 1 - Configurar interfaces fisicas y enrutamiento
Configurar ips, interfaces fisicas para tener una conectividad, además configurar
interfaces loopback en los routers que se configure Easy VPN server.
Para tener salida a internet los routers (frontera de la red LAN) que esten para
funcionar con la VPN deben tener una salida por defecto, esta se configura de la
siguiente manera en el router frontera:
Para correr Easy VPN AAA debe estar activado en el router para prevenir getting locked
out of the router, creando un local username y password, para asegurarse que la
autentificacion esta trabajando en el local database.
#De aqui en adelante todas las configuraciones en el easy vpn server
Crear un grupo para para que los "clientes VPN" puedan obtener sus direcciones IP
(algo asi como un DHCP. Usando el comando:
Se debe establecer las negociaciones IKE para para obtener un cifrado, se debe
utilizar ISAKMP.
En este tipo de VPN (easy VPN) no podemos especificar quien será nuestro vecino ya
que los clientes VPN se podrán conectar a través de internet desde cualquier parte
del mundo. Entonces, configuramos un ISAKMP client group. El grupo va a existir
localmente en el router como es especificado por la AAA network authorization
command en el paso final.
Configurar una pre-shared key con el mismo nombre del grupo <ciscogroup>,
ademas configuramos una pool con la misma que creamos para los clientes
anteriormente en el paso 4. Tambien especificar una access-list que se utilizará
como la lista de la división de túnel. Por último, establezca la máscara de red, ya
que el grupo de IP no especifica una
*** en este paso no entendi el porque del dividido del tunel... xD??
Configurar IPsec transform set con la VPN. Utilizamos el algoritmo 3DES para el
cifrado y la función hash SHA-HMAC para la integridad de los datos.
Usa el nombre "mymap" y la secuencia numero 10. Una vez que hayamos entrado
al modo configuracion crypto map. Set the transform set que configuramos en el
paso anterior. Usando el conmando REVERSE-ROUTE, el que asegura que una ruta
se instala en el router local para el control remoto de VPN pares.
Aun quedan algunos parametros por modificar. el primer es que el MAP respoda a
las peticiones de la VPN, el cual se configura con :
El siguente comando, esta asociado a la AAA group authorization list con el map.
Este comando final crea un crypto map regular usando el dynamico creado
anteriormentel.
IKE DPD (IKE DEAD PEER DETECTION) es un mecanismo keepalive para chequear
las conexiones VPN. Este es beneficioso cuando el VPN_server tiene muchas
conexiones. Para configurar IKE DPD se utiliza el siguiente comando:
Para que los clientes de VPN se autentiquen se debe realizar mediante "xauth"
o autenticacion extendida la cual es otra manera extra de autenticacion (ya que
tambien se está autenticando mediante "group authentication"). Para configurar
esto se hace con aaa authentication login group types (al igual que en la
autenticacion de red utilizaremos VPNAUTH pero esta vez para login
authentication). Tambien se debe agregar un usuario y password para el acceso
a la VPN.
Finalmente, asociar el AAA login list con la crypto map configurado anteriormente
Para logearse dentro de la VPN Click en la pestaña Connection Entries, doble click
en Connect to conect to this profile.