Easy VPN

Server
Paso 1 - Configurar interfaces fisicas y enrutamiento

Configurar ips, interfaces fisicas para tener una conectividad, además configurar
interfaces loopback en los routers que se configure Easy VPN server.

Paso 2 - Configurar ruta por defecto

Para tener salida a internet los routers (frontera de la red LAN) que esten para
funcionar con la VPN deben tener una salida por defecto, esta se configura de la
siguiente manera en el router frontera:

VPN_Server(config)# ip router 0.0.0.0 0.0.0.0 <proximo salto | ip del

ISP>

Paso 3 - Activar AAA y local username y password

Para correr Easy VPN AAA debe estar activado en el router para prevenir getting locked
out of the router, creando un local username y password, para asegurarse que la
autentificacion esta trabajando en el local database.
#De aqui en adelante todas las configuraciones en el easy vpn server

VPN_Server(config)# username cisco password cisco

VPN_Server(config)# aaa new-model
VPN_Server(config)# aaa authentication login default local none

Paso 4 - crear IP Pool

Crear un grupo para para que los "clientes VPN" puedan obtener sus direcciones IP
(algo asi como un DHCP. Usando el comando:

VPN_Server(config)# ip local pool <TAG> <ip inicio del segmento dhcp>

<ip final segmento>

Paso 5 - Autorizando los grupos

 Usando la autorizacion AAA cuyo comando es:

VPN_Server(config)# aaa authorization network <TAG_autorizacion> local

to configure the VPN group authentication list

Esta lista autentificara remotamente a los usuarios conectados a la vpn, usando el group
set en el cliente.

Paso 6 - Creando IKE policy y grupo

Se debe establecer las negociaciones IKE para para obtener un cifrado, se debe
utilizar ISAKMP.

VPN_Server(config)# crypto isakmp policy <ID de la politica>

VPN_Server(config-isakmp)# authentication pre-share
VPN_Server(config-isakmp)# encryption aes 256
VPN_Server(config-isakmp)# group <numero de grupo>

En este tipo de VPN (easy VPN) no podemos especificar quien será nuestro vecino ya
que los clientes VPN se podrán conectar a través de internet desde cualquier parte
del mundo. Entonces, configuramos un ISAKMP client group. El grupo va a existir
localmente en el router como es especificado por la AAA network authorization
command en el paso final.

Para empezar a configurar ISAKMP group configuration necesitamos hacer lo

siguiente:
*<ciscogroup> es un nombre que creamos para este ejercicio solamente

VPN_server(config)# crypto isakmp client configuration group

<ciscogroup>

Configurar una pre-shared key con el mismo nombre del grupo <ciscogroup>,
ademas configuramos una pool con la misma que creamos para los clientes
anteriormente en el paso 4. Tambien especificar una access-list que se utilizará
como la lista de la división de túnel. Por último, establezca la máscara de red, ya
que el grupo de IP no especifica una

VPN_server(config-isakmp-group)# key ciscogroup

VPN_server(config-isakmp-group)# pool VPNCLIENTS
VPN_server(config-isakmp-group)# acl 100
VPN_server(config-isakmp-group)# netmask 255.255.255.0
 Creando la ACL permitiendo todo el trafico proveniente desde la red LAN

VPN_server(config)# access-list 100 permit ip <ip interna> any

*** en este paso no entendi el porque del dividido del tunel... xD??

Paso 7- Configurar IPsec transform Set

Configurar IPsec transform set con la VPN. Utilizamos el algoritmo 3DES para el
cifrado y la función hash SHA-HMAC para la integridad de los datos.

VPN_Server(config)# crypto ipsec transform-set mytrans esp-3des esp-

sha-hmac
VPN_Server(cfg-crypto-trans)# exit

Paso 8 - Creando Dynamic Crypto Map

En la configuracion previa de IPsec, nosotros configuramos un crypto map, de todas

maneras este tipo de crypto map, sera diferente que las configuraciones anteriores.
Ya que en las anteriores configuramos elegiamos cierto trafico para que transiten
por las VPNs estaticas con algunos vecinos.
De todas maneras, como no conoceremos quienes seran nuestros pares u vecinos,
tampoco el trafico, creamos y aplicamos un dyamic crypto map

Usa el nombre "mymap" y la secuencia numero 10. Una vez que hayamos entrado
al modo configuracion crypto map. Set the transform set que configuramos en el
paso anterior. Usando el conmando REVERSE-ROUTE, el que asegura que una ruta
se instala en el router local para el control remoto de VPN pares.

VPN_server(config)# crypto dynamic-map mymap 10

VPN_server(config-crypto-map)# set transform-set mytrans
VPN_server(config-crypto-map)# reverse-route

Aun quedan algunos parametros por modificar. el primer es que el MAP respoda a
las peticiones de la VPN, el cual se configura con :

VPN_server(config)# crypto map mymap client configuration address

respond

El siguente comando, esta asociado a la AAA group authorization list con el map.
 Este comando final crea un crypto map regular usando el dynamico creado
anteriormentel.

VPN_server(config)# crypto map mymap isakmp authorization list VPNAUTH

Paso 9 - Habilitando IKE DPD y Autenticacion de usuario

IKE DPD (IKE DEAD PEER DETECTION) es un mecanismo keepalive para chequear
las conexiones VPN. Este es beneficioso cuando el VPN_server tiene muchas
conexiones. Para configurar IKE DPD se utiliza el siguiente comando:

VPN_server(config)# crypto isakmp keepalive <frecuencia con la que se

envia> <reintento de envio>
*el reintento de envio solo se realiza si no hay respuesta

Para que los clientes de VPN se autentiquen se debe realizar mediante "xauth"
o autenticacion extendida la cual es otra manera extra de autenticacion (ya que
tambien se está autenticando mediante "group authentication"). Para configurar
esto se hace con aaa authentication login group types (al igual que en la
autenticacion de red utilizaremos VPNAUTH pero esta vez para login
authentication). Tambien se debe agregar un usuario y password para el acceso
a la VPN.

VPN_server(config)# aaa authentication login <VPNAUTH> local

VPN_server(config)# username <nombre de usuario> password <contraseña>

Ahora se configura el Xauth timeout, esto controla cuanto es el tiempo de espera

por el VPN server antes de que termine la sesion IKE con un cliente si el "user
authentication" no está realizada

VPN_server(config)# crypto isakmp xauth timeout <tiempo en segundos>

Finalmente, asociar el AAA login list con la crypto map configurado anteriormente

VPN_server(config)# crypto map mymap client authentication list

VPNAUTH

Paso 10 - Cisco VPN client

Una vez abierto el cliente vpn, necesitaremos crear un nuevo perfil de coneccion
para conectarnos a VPN server. Click en New button.

Para host, se conecta a la ip publica del VPN_server.

La ip address del host respresenta la ip address de la VPN server o concentrador que

desemos conectar. En este caso, VPN server esta como EASY VPN server y funciona
como tal. Usa el nombre del grupo y password, previamente configurado en el EASY
VPN wizard (ver paso 6), (todas las configuraciones realizadas anteriormente).
Recuerda hacer click en save cuando termines.

Para logearse dentro de la VPN Click en la pestaña Connection Entries, doble click
en Connect to conect to this profile.

Mientras el cliente VPN intenta conectarse a la VPN se le pedira un nombre de

usuario y contraseña (ver paso 9). Introdusca las credenciales de usuario que ha
especificado anteriornmente durante el asistente VPN

Cuando la VPN se ha conectado satisfactoriamente, deberiamos ver un candado

cerrado donde se encuentran los iconos como el reloj.
También se puede ver que la conexión ha poblado la ventana de registro con de
la información. Después de revisar la información, cierrela. Esta funcionalidad de
registro puede ser muy útil para Troubleshooting VPN clients

Para verificar conexion de VPN ver pagina 264 ILM ccnp2