18 respuestas
19 mensajes

Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
  • Cerrado

    #1593347

    Configurar VPN site-to-site con cisco asa

    Hola!!!!!

    Necesito ayuda con un tema que es la primera vez que lo voy a montar, es una von entre dos sucursales. Ambas sucursales salen a internet por un router adsl y están conectadas tambien por un firewall cisco a la red local, que es con el firewall cisco donde quiero montar la vpn.
    Os comento como está en los dos sitios, sitio1:
    -salida a internet con router adsl comtrend su IP es 172.22.x.x para red interna y pública 80.25.x.x, este router lo tengo conectado a un firewall de cisco asa 5505, con su ip 172.22.115.1 y es aquí donde quiero montar la vpn, porque me da la opción de crearla con vpn site-to-site,, el problema viene cuando quiero configurar el tunneling, no se como hacerlo.....
    Sitio2:
    -Salida a internet con router adsl comtrend, su IP es 192.168.x.x, para outside. Tiene IP pública 80.26.x.x. Está conectada con un firewall cisco asa 5505 con inside(red local)172.22.31.1y outside (hacia el router adsl) 192.168.x.x, me da la opción de configurar la vpn site-to-site con firewall cisco y me pierdo cuando tengo que configurar el tunneling....

    Por favor podeis ayudarme en esto.....gracias!!!

    • #1594315

      Cerrado

      http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/…

      http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect20/administrative/guide/admin.html

      Ahi tienes todo lo que necesitas.

      Un saludo.

        • #1596769

          Cerrado

          Perdona por tardar tanto en responder....Muchas gracias me…

          Perdona por tardar tanto en responder....Muchas gracias me funciona perfectamente.....

          Por cierto sabes porque no puedo hacer ping desde mi inside a outside y viceversa??? te adjunto mi show conf....

          : Saved
          :
          ASA Version 7.2(2)
          !
          hostname ciscoasa
          domain-name odsiberia.com
          enable password m7me0z.N6aAtMQCr encrypted
          names
          !
          interface Vlan1
          nameif inside
          security-level 100
          ip address 172.22.28.7 255.255.252.0
          !
          interface Vlan2
          nameif outside
          security-level 100
          ip address 192.168.251.3 255.255.255.248
          !
          interface Ethernet0/0
          switchport access vlan 2
          !
          interface Ethernet0/1
          !
          interface Ethernet0/2
          !
          interface Ethernet0/3
          !
          interface Ethernet0/4
          !
          interface Ethernet0/5
          !
          interface Ethernet0/6
          !
          interface Ethernet0/7
          !
          passwd 2KFQnbNIdI.2KYOU encrypted
          ftp mode passive
          dns server-group DefaultDNS
          domain-name odsiberia.com
          same-security-traffic permit inter-interface
          access-list inside_access_out extended permit ip 172.22.28.0 255.255.252.0 192.168.251.0 255.255.255.0
          access-list outside_access_in extended permit ip 192.168.251.0 255.255.255.0 172.22.28.0 255.255.252.0
          pager lines 24
          logging asdm informational
          mtu inside 1500
          mtu outside 1500
          no failover
          monitor-interface inside
          monitor-interface outside
          icmp unreachable rate-limit 1 burst-size 1
          asdm image disk0:/asdm-522.bin
          no asdm history enable
          arp timeout 14400
          global (outside) 1 interface
          nat (inside) 1 0.0.0.0 0.0.0.0
          access-group inside_access_out in interface inside
          access-group inside_access_out out interface inside
          access-group outside_access_in in interface outside
          timeout xlate 3:00:00
          timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
          timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
          timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
          timeout uauth 0:05:00 absolute
          username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15
          username cisco password 3USUcOPFUiMCO4Jk encrypted
          aaa authentication serial console LOCAL
          aaa authentication ssh console LOCAL
          aaa authentication telnet console LOCAL
          http server enable
          http 192.168.251.0 255.255.255.0 outside
          http 172.22.28.0 255.255.252.0 inside
          no snmp-server location
          no snmp-server contact
          snmp-server enable traps snmp authentication linkup linkdown coldstart
          telnet 172.22.28.20 255.255.255.255 inside
          telnet timeout 5
          ssh timeout 5
          console timeout 0
          dhcpd auto_config outside
          !

          !
          class-map inspection_default
          match default-inspection-traffic
          !
          !
          policy-map type inspect dns preset_dns_map
          parameters
          message-length maximum 512
          policy-map global_policy
          class inspection_default
          inspect dns preset_dns_map
          inspect ftp
          inspect h323 h225
          inspect h323 ras
          inspect rsh
          inspect rtsp
          inspect esmtp
          inspect sqlnet
          inspect skinny
          inspect sunrpc
          inspect xdmcp
          inspect sip
          inspect netbios
          inspect tftp
          !
          service-policy global_policy global
          prompt hostname context
          Cryptochecksum:f53190b5e368a04d6e9d1212c90af15e
          : end
          asdm image disk0:/asdm-522.bin
          no asdm history enable

          • #1596803

            Cerrado

            Te falta este comando: icmp permit any inside icmp permit any…

            Te falta este comando:

            icmp permit any inside
            icmp permit any outside

            El "Any" lo puedes cambiar pro las Ip´s que quieres poder contestar al ping, el que no te conteste al ping es un metodo de proteccion ante ataques de fragmentacion incluso de Denegacion de servicio por falta de Cpu, prueba y nos comentas.

            un saludo.

            • #1597023

              Cerrado

              Muchas gracias por tu ayuda... Cuando he configurado la vpn,…

              Muchas gracias por tu ayuda...

              Cuando he configurado la vpn, creía que lo tenía bien, pero no consigo conectarme. Con el show conf ves algún parametro que esté mal configurado???

              te explico un poco...tengo dos sitios. Para montar la vpn..
              Conf del sitio 1:
              ip del cisco asa-172.22.28.7
              inside-172.22.28.0/255.255.252.0
              outsidse-192.168.251.3/255.255.255.248
              (tengo abiertos lospuertos en el router, Ipsec, ipsec-t, sws, sss.)
              Ip del router externa-80.26.x.x
              Ip del router interna 192.168.251.1
              De este sitio es el show confg.

              Conf sitio 2:
              ip del cisco asa-172.22.115.1
              inside-172.22.112.0/255.255.252.0
              outside-192.168.251.2/255.255.255.0
              (abiertos los mismos puertos del router)
              Ip del router externa-80.32.x.x
              Ip del router interna- 172.22.112.7

              No se que es lo que puedo tener mal....

              Gracias por ayudarme....

              • #1597611

                Cerrado

                Muchas gracias por tu ayuda... Cuando he configurado la vpn,…

                Muchas gracias por tu ayuda...

                Cuando he configurado la vpn, creía que lo tenía bien, pero no consigo conectarme. Con el show conf ves algún parametro que esté mal configurado???

                te explico un poco...tengo dos sitios. Para montar la vpn..
                Conf del sitio 1:
                ip del cisco asa-172.22.28.7
                inside-172.22.28.0/255.255.252.0
                outsidse-192.168.251.3/255.255.255.248
                (tengo abiertos lospuertos en el router, Ipsec, ipsec-t, sws, sss.)
                Ip del router externa-80.26.x.x
                Ip del router interna 192.168.251.1
                De este sitio es el show confg.

                Conf sitio 2:
                ip del cisco asa-172.22.115.1
                inside-172.22.112.0/255.255.252.0
                outside-192.168.251.2/255.255.255.0
                (abiertos los mismos puertos del router)
                Ip del router externa-80.32.x.x
                Ip del router interna- 172.22.112.7

                No se que es lo que puedo tener mal....

                Gracias por ayudarme....

                  • #1597813

                    Cerrado

                    Perdona.......no te lo he puesto.... : Saved : ASA Version…

                    Perdona.......no te lo he puesto....

                    : Saved
                    :
                    ASA Version 7.2(2)
                    !
                    hostname ciscoasa
                    domain-name odsiberia.com
                    enable password m7me0z.N6aAtMQCr encrypted
                    names
                    !
                    interface Vlan1
                    nameif inside
                    security-level 100
                    ip address 172.22.28.7 255.255.252.0
                    !
                    interface Vlan2
                    nameif outside
                    security-level 100
                    ip address 192.168.251.3 255.255.255.248
                    !
                    interface Ethernet0/0
                    switchport access vlan 2
                    !
                    interface Ethernet0/1
                    !
                    interface Ethernet0/2
                    !
                    interface Ethernet0/3
                    !
                    interface Ethernet0/4
                    !
                    interface Ethernet0/5
                    !
                    interface Ethernet0/6
                    !
                    interface Ethernet0/7
                    !
                    passwd 2KFQnbNIdI.2KYOU encrypted
                    ftp mode passive
                    dns server-group DefaultDNS
                    domain-name odsiberia.com
                    same-security-traffic permit inter-interface
                    access-list inside_access_out extended permit ip 172.22.28.0 255.255.252.0 172.22.0.0 255.255.0.0
                    access-list inside_access_out extended permit ip 172.22.28.0 255.255.252.0 192.168.251.0 255.255.255.0
                    access-list outside_access_in extended permit ip 192.168.251.0 255.255.255.0 172.22.28.0 255.255.252.0
                    access-list outside_20_cryptomap extended permit ip 172.22.28.0 255.255.252.0 172.22.0.0 255.255.0.0
                    access-list inside_nat0_outbound extended permit ip 172.22.28.0 255.255.252.0 172.22.0.0 255.255.0.0
                    access-list inside_nat0_outbound extended permit ip 172.22.28.0 255.255.252.0 192.168.0.0 255.255.0.0
                    access-list inside_nat0_outbound extended permit ip 172.22.28.0 255.255.252.0 172.22.112.0 255.255.252.0
                    access-list outside_40_cryptomap extended permit ip 172.22.28.0 255.255.252.0 172.22.112.0 255.255.252.0
                    access-list outside_cryptomap_1 extended permit ip 172.22.28.0 255.255.252.0 172.22.112.0 255.255.252.0
                    pager lines 24
                    logging enable
                    logging asdm informational
                    mtu inside 1500
                    mtu outside 1500
                    no failover
                    monitor-interface inside
                    monitor-interface outside
                    icmp unreachable rate-limit 1 burst-size 1
                    icmp permit any inside
                    icmp permit any outside
                    asdm image disk0:/asdm-522.bin
                    no asdm history enable
                    arp timeout 14400
                    global (outside) 1 interface
                    nat (inside) 0 access-list inside_nat0_outbound
                    nat (inside) 1 0.0.0.0 0.0.0.0
                    access-group inside_access_out in interface inside
                    access-group inside_access_out out interface inside
                    access-group outside_access_in in interface outside
                    route outside 172.22.50.0 255.255.255.0 172.22.29.1 1
                    route outside 0.0.0.0 0.0.0.0 192.168.251.1 10
                    timeout xlate 3:00:00
                    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
                    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
                    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
                    timeout uauth 0:05:00 absolute
                    group-policy DfltGrpPolicy attributes
                    banner none
                    wins-server none
                    dns-server none
                    dhcp-network-scope none
                    vpn-access-hours none
                    vpn-simultaneous-logins 3
                    vpn-idle-timeout 30
                    vpn-session-timeout none
                    vpn-filter none
                    vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
                    password-storage disable
                    ip-comp disable
                    re-xauth disable
                    group-lock value 80.32.x.x
                    pfs disable
                    ipsec-udp disable
                    ipsec-udp-port 10000
                    split-tunnel-policy tunnelall
                    split-tunnel-network-list none
                    default-domain none
                    split-dns none
                    intercept-dhcp 255.255.255.255 disable
                    secure-unit-authentication disable
                    user-authentication disable
                    user-authentication-idle-timeout 30
                    ip-phone-bypass disable
                    leap-bypass disable
                    nem disable
                    backup-servers keep-client-config
                    msie-proxy server none
                    msie-proxy method no-modify
                    msie-proxy except-list none
                    msie-proxy local-bypass disable
                    nac disable
                    nac-sq-period 300
                    nac-reval-period 36000
                    nac-default-acl none
                    address-pools none
                    client-firewall none
                    client-access-rule none
                    webvpn
                    functions url-entry
                    html-content-filter none
                    homepage none
                    keep-alive-ignore 4
                    http-comp gzip
                    filter none
                    url-list none
                    customization value DfltCustomization
                    port-forward none
                    port-forward-name value Application Access
                    sso-server none
                    deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
                    svc none
                    svc keep-installer installed
                    svc keepalive none
                    svc rekey time none
                    svc rekey method none
                    svc dpd-interval client none
                    svc dpd-interval gateway none
                    svc compression deflate
                    username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15
                    username cisco password 3USUcOPFUiMCO4Jk encrypted
                    aaa authentication serial console LOCAL
                    aaa authentication ssh console LOCAL
                    aaa authentication telnet console LOCAL
                    aaa authentication http console LOCAL
                    http server enable
                    http 172.22.28.0 255.255.252.0 inside
                    http 192.168.251.0 255.255.255.0 outside
                    no snmp-server location
                    no snmp-server contact
                    snmp-server enable traps snmp authentication linkup linkdown coldstart
                    crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
                    crypto map outside_map 1 match address outside_cryptomap_1
                    crypto map outside_map 1 set pfs group5
                    crypto map outside_map 1 set peer 80.32.x.x
                    crypto map outside_map 1 set transform-set ESP-AES-256-SHA
                    crypto map outside_map 20 match address outside_20_cryptomap
                    crypto map outside_map 20 set pfs
                    crypto map outside_map 20 set transform-set ESP-AES-256-SHA
                    crypto map outside_map 40 match address outside_40_cryptomap
                    crypto map outside_map 40 set pfs
                    crypto map outside_map 40 set transform-set ESP-AES-256-SHA
                    crypto map outside_map interface outside
                    crypto isakmp identity hostname
                    crypto isakmp enable outside
                    crypto isakmp policy 10
                    authentication pre-share
                    encryption aes-256
                    hash sha
                    group 2
                    lifetime 86400
                    tunnel-group 80.32.x.x type ipsec-l2l
                    tunnel-group 80.32.x.x ipsec-attributes
                    pre-shared-key *

                    pre-shared-key *
                    tunnel-group-map default-group 80.32.x.x
                    telnet 172.22.28.20 255.255.255.255 inside
                    telnet timeout 5
                    ssh timeout 5
                    console timeout 0
                    dhcpd auto_config outside
                    !

                    !
                    !
                    !
                    policy-map type inspect dns preset_dns_map
                    parameters
                    message-length maximum 512
                    !
                    prompt hostname context
                    Cryptochecksum:9c17166219123471d470c7a468205595
                    : end
                    asdm image disk0:/asdm-522.bin
                    no asdm history enable

                    Gracias por todo...

                      • #1598827

                        Cerrado

                        Ya está conseguido...por lo menos el tunnel.... Sabes cómo…

                        Ya está conseguido...por lo menos el tunnel....

                        Sabes cómo puedo hacer ping a la red local de cada sitio, es decir ping desde el sitio1 al sitio2 y viceversa.....

                        Gracias por tu ayuda, de verdad que me ha venido genial....

                        GRACIAS

    • #1609492

      Cerrado

      Hola a todos. Necesito configurar una vpn site to site. Mi…

      Hola a todos.

      Necesito configurar una vpn site to site. Mi extremo es un Cisco 877. Me he bajado el Cisco SDM para intentar cofigurarlo. Los datos son ésto. A ver si podéis echarme una mano:
      Aquí tenéis nuestra información.

      VPN tunnel IP:217.x.x.x

      ISAKMP policy:

      Encryption:3des

      Authentication:pre-share

      Diffie-Hellman group:2

      Hash:sha

      Lifetime (seconds):86400

      IPSec:

      IPSec ESP Encryption Transform:esp-3des IPSec ESP Authentication

      Transform:esp-sha-hmac Security association lifetime (seconds):3600

      Security association lifetime (kilobytes):4608000

      Muchas gracias de antemano.

      Un saludo.

        • #1840459

          Cerrado

          que dices ????? joder, que no entiendo nada..... habla en…

          que dices ????? joder, que no entiendo nada..... habla en españoool coño, que te cuesta hablar en cristiano !!!!!

    • #1624879

      Cerrado

      Hola, tengo un problema que quizás no venga a cuento pero…

      Hola, tengo un problema que quizás no venga a cuento pero podáis echarme una mano.

      Tengo configurada una vpn site to site con dos routers cisco, está hecha a través del SDM pero tengo dos problemas.

      1) El tunnel se cierra cuando pasa un tiempo de inactividad y ciertas conexiones telnet con el servidor se cierran. Como puedo dejar el tunnerl siempre abierto?

      2)No logro hacer un Backup de RDSI para el tunnel de adsl.

      gracias por vuestra ayuda.

      • #1625362

        Cerrado

        Es una tonteria pero, ¿porque no dejas un ping continuo?…

        Es una tonteria pero, ¿porque no dejas un ping continuo? Mientras haya tráfico, salvo que haya algún problema con la línea, el túnel no debería "caer", se renegocia pero no cae.

        ¿El problema imagino que es que la RDSI tienen diferente direccionamiento, no? Un truco, aunque es mas engorroso de hacer, es hacer la vpn con las direcciones privadas y hacer pasar el tráfico a través de interfaces tunnel, por defecto encapsulado en gre. Con eso te debería funcioner.

        Es decir, los peer pon las direcciones privadas, y creas dos interface loopback, tambien con direcciones privadas. Le pones rutas para que tire los rangos privados a la ip del loopback y las rutas 2 rutas por defecto, una con mas peso que la otra (la de mas peso la del backup). Los crypto map los aplicas sobre la interface loopback.

        Asi de repente se me ocurre que lo puedes hacer de esa forma. Por cierto, en los interfaces tunnel únicament configurando el tunnel source, tunnel destination, y el keepalive (por ejemplo keepalive 5 2) para que haga caer el tunel que va por la conexion principal cuando caiga la línea principal, de forma que caera la ruta asociada a este tunel y por tanto ... saldra por el segundo.

        Bueno, a ver si hay mas ideas Guiño

        Un saludo,
        Imakoki

    • #1845204

      Cerrado

      Hola quisas muy trade mi respuesta, pero las VPN publicas no…

      Hola quisas muy trade mi respuesta, pero las VPN publicas no funcionan con Ip que no sean publicas, No podes hacer una VPN site to site, via Internet, si el firewall no tiene la IP publica en la interface outside.

      Saludos.

      • #1879324

        Cerrado

        ¿Quieres decir que en los extremos del tunel debo tener IP…

        ¿Quieres decir que en los extremos del tunel debo tener IP públicas? ¿necesito entonces 3 IP's públicas al tener un ruter adsl delante del ASA?

    • #1880314

      Cerrado

      Pero cojones!!! Para que se meten a configurar estos…

      Pero cojones!!! Para que se meten a configurar estos aparatos? Esto son cosas de "personas mayores".

      Estudien en lugar de tanto preguntar......