Foros » Redes

1 respuestas
3 mensajes

Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.

  • Favorito #1655803

    LAN to LAN entre CISCO ASA 5505 y CISCO PIX 506

    Hola foro, acudo a ustedes porque me estoy volviendo loca al no poder configurar estos equipos y la verdad es que tengo cero experiencia en ello pero es mi trabajo y lo tengo que hacer.

    Tengo una oficina con un PIX 506 funcionando bien, haciendo una VPN con otra red y todo funciona bien (pues yo no lo configure)

    Ahora hay una nueva oficina con un ASA 5505 nuevecito y tengo que conectarlo tambien a la oficina del PIX 506, solamente necesito hacer la VPN entre redes utilizando estos dos dispositivos.

    La interfaz de telnet es un poco dificil para mi asi que uso la aplicacion de JAVA que tiene el equipo para configurarlo.

    Alguien me puede guiar en el proceso?

    Mi red 1 es 192.168.1.0 255.255.255.0 (ISP 200.x.x.x)

    Mi red 2 es 192.168.2.0 255.255.255.0 (ISP 200.y.y.y)

    Que debo hacer o donde puedo ver unos sencillos pasos de como hacerlo, gracias a quien se tome la molestia de contestarme.

    • Favorito #1828084

      Aquí tienes un pdf sobre el ASA, ¿no tienes acceso por el…

      Aquí tienes un pdf sobre el ASA, ¿no tienes acceso por el ASDM, vamos con la aplicación java, ahí tampoco?

      www.cisco.com/en/US/docs/security/asa/as … sitesite.pdf

      A nivel de comandos es prácticamente idéntica la configuración por cli tanto en el PIX como en el ASA... En el ASA, para que te sirva de ayuda a nivel de CLI, puedes activar en uno de los menús, ahora no recuerdo donde era, para que te vaya chivando los comandos que ejecutaría en el CLI

      Aqui tienes otra documentación, por lo que he visto bastante detallada y de ejemplos de configuración:

      www.cisco.com/en/US/docs/security/pix/pi … ml#wp1009431

      El puntero del link ya te debería llevar a la parte que te interesa. La parte de isakmp ya la tienes del otro túnel que hay en el PIX. Para no complicarte la vida en principio esa parte ya te vale y la tendrás que tener en cuenta de cara a definir que hashing (md5 o sha) y tipo de encriptacion (des, 3des, aes, etc) vas a usar a nivel ISAKMP.

      En resumidas cuentas en el pix que ya tiene otra VPN tendras que crear un nuevo crypto map ... con el mismo nombre pero con un número de secuencia superior. Si por ejemplo pone crypto map MisVPNs 10 pues otro, con todo lo que corresponde dentro de la configuración del crypto map pero con otro número, por ejemplo: crypto map MisVPNs 20.

      Evidentemente los datos del crypto map con peso 20 son diferente de los del peso 10 (peso por llamarlo de alguna forma ya que va del que tiene el número más pequeño al del número más grande).

      El peer en el PIX es la ip de la línea donde esta el ASA, la publica y al revés en el ASA la IP publica de la conexión del PIX. La ACL lo que marca es desde que IPs privadas a que ips privadas vas a encriptar el tráfico. En cada extremo lo has de hacer desde su punto de vista. .... usando tus rangos de red pues en el PIX seria de 192.168.1.0 255.255.255 a 192.168.2.0 255.255.255. Esta parte es la que se muestra en el paso 5 (la definicion del tráfico a encryptar) de la documentación del segundo de los enlaces. Luego esa ACL o filtro, se relaciona con el crypto map en el paso 9 del ejemplo, en la línea que pone como "... match address ...".

      El paso 11 ni caso que seguramente ya lo tiene aplicado, al tener una VPN. En el ASA en principio si no tienes que hacerlo por el CLI pues prueba con el wizard que igual te es más fácil.

      Como ayuda para decirte como has de configurarlo igual seria interesante que pongas las entradas ISAKMP, CRYPTO MAP, CRYPTO IPSEC... eso si, donde sale la ip del "peer" pues pones 1.2.3.4 y donde pone la clave pones mi-clave... (la clave en el ejemplo se define en el paso 3, donde pone crypto isakmp key cisco1234 address 209.165.200.229, y es en ese ejemplo cisco1234). Que no salga ni la IP publica ni la clave sobre todo xD Con eso igual te puedo ayudar con los comandos si no tienes problemas, pero mejor prueba tu primero que luego eso te ayudara para otra vez

      Saludos
      imakoki

      • Favorito #2046683

        No he podido realizar la configuracion exitosamente, no me…

        No he podido realizar la configuracion exitosamente, no me responde el ping