BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Acerca de VPN, CISCO y VoIP

1
taholi

Hola a todos, (estoy rescribiendo el post de nuevo porque al darle a enviar no se a donde lo ha enviado... asi que al administrador que borre el otro post y que me perdone).

Antes de empezar, os comento que he cursado el CCNA de Cisco, y para el problema que tengo, me esta ayudando pero no lo suficiente; resulta que tengo un cliente de mi empresa que quiere conectar dos sedes por medio de una VPN con dos routers CISCO 1801mk9, dos swtich catalyst express 24 puertos 10/100 y dos ADSL de telefonica de 3Mb/320kb (yo ya di mi opinion para que el cliente contratara lineas simetricas pero no quiso). En cada sede hay unos 20 equipos, de los cuales 10 se conectan a un servidor windows 2000 con una base de datos.

En la sede que en la que esta el servidor no hay problema, pero para la otra sede, los 10 equipos tienen que conectarse al servidor que se encuentra en la otra sede, para ello y con el equipamiento que describi tengo que hacer, que todos los equipos naveguen a internet, y los 10 que se encuentran en la sede que no tiene servidor, se conecte a este por medio de una VPN.

Mi problema, es que en el CCNA que hice, no comentaron nada acerca de las VPN ni de configurar ADSL en routers, lo de configurar la ADSL en el router ya he encontrado manuales en la pagina de cisco y creo tenerlo bastante claro, pero el tema de las VPN no veo por donde cogerlo, en la universidad la idea acerca de como funciona una VPN la tengo, pero no se como aplicarla a mi caso. No he encontrado ningun documento en la pagina de cisco que hable acerca de como configurar VPN en los modelos de routers de los que dispongo, tampoco se, si tengo que crear un tunel vpn por cada equipo que quiero conectar, o un solo tunel para todos los equipos. Tampoco se si despues de haber echo la vpn por hardware es necesario instalar algun cliente vpn software en los equipos clientes... Vamos que estoy bastante verde y agradeceria que alguien me diera algunas ideas basicas y alguna referencia en la pagina de cisco para completar la informacion, por que la verdad que me estoy perdiendo bastante.

Otra cosa que queria saber, es si es posible utilizar este enlace vpn que creo para pasar voz (por ejemplo Voip), y poder realizar llamadas entre varios telefonos las sedes, y si es necesario mas equipamiento adicional tal como telefonos voip o centralitas...

Muchas gracias por el tiempo de los que se hayan leido este pedazo de ladrillo, Saludos.

La verdad que el CCNA estuvo bastante bien, pero se he podido comprobar que es simplemente una idea de lo que es el "mundo real" :S

imakoki

Buenas anonimo, yo en vozip pues ando pez tambien. En vpn pues es mas o menos mi pan de cada dia. Lo que tienes que montar es una VPN LanToLan (L2L), en modo tunel y es relativamente sencillo. No necesitas ningun software en los equipos y se veran por la ip privada, dentro de las lan, pero evidentemente cada extremo de la vpn tiene que estar en un rango de red diferente, por ej. una en la 192.168.1.0/24 y la otra en la 192.168.2.0/24.

En la vpn una de las cosas que hay que configurar es el trafico a encriptar. Sólo hay que mirar en cada extremo el tráfico desde el router (o detras del router) hacia el otro extremo, pensando en la ip origen (mas bien red) y la ip destino (mas bien red) y ese mismo trafico en la ACL del nat hay que denegarlo, para que no haga nat.

Es decir, si en la ACL del tráfico a encritar, y usando las redes del ejemplo del principio, seria algo asi en el extremo de la red 192.168.1.0/24:

ip access-list extended trafico-encryptado
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

con el nat asi:

ip access-list extended trafico-navegacion
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

pues en el otro lado seria al reves:

ip access-list extended trafico-encryptado
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

y el nat asi:

ip access-list extended trafico-navegacion
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any

Las ACL de encriptacion deben coincidir, para evitar problemas (incluso a veces para que vayan), pero invertidas, en ambos lados. El nat no hay tanto problema, eso si, debe estar un deny del nat del trafico que ha de pasar de un lado a otro, si de algo que debe ir por el tunel se hace nat no lo metera por el, intentara tirarlo a Inet.

Sobre el resto del codigo, un ejemplo, con pre-shared key:

crypto isakmp policy 10
authentication pre-share
crypto isakmp key CLAVE-PRE-SARED address IPPEER-EXTREMIO-OPUESTO
crypto isakmp keepalive 1000
!
!
crypto ipsec transform-set NOMBRE-TRANSFORSET esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map VPN 10 ipsec-isakmp
set peer IPPEER-EXTREMIO-OPUESTO
set transform-set NOMBRE-TRANSFORSET
match address trafico-encryptado

y luego para acabar, suponiendo que lo apliques sobre el interfaz ADSL, sobre el atm (que si es con dialer, pues en el dialer), aplicas el crypto map a dicho interface:

interface ATM0
...
crypto map VPN

Lo que he puesto en negrita pues es para poner lo que toque, o nombre, o ip, segun el texto que he puesto. El IPPEER-EXTREMIO-OPUESTOIPPEER-EXTREMIO-OPUESTO pues es la ip pública del otro lado de la VPN.

Aqui tienes un documento de ejemplo de como montar un vpn l2l entre dos routers, en modo tunnel: cisco.com/c/en/us/support/docs/routers/1…c-split.html

Este doc es un ejemplo de como hacerlo si en uno de los lados hay ip dinámica: cisco.com/c/en/us/support/docs/security-…-client.html e incluye la parte de conexiones VPN Remote acces (o vpn client) que permite, con un software de cisco conectarse como cliente, desde un pc.

Pues nada, a ver si con eso ya da para ir haciendo ;)

Saludos,
imakoki

🗨️ 8
taholi

Muchas gracias por tu respuesta, y sobre todo por los links, en ese directorio de cisco y bastante informacion.

Ya tengo los routers conectados a internet pero no he conseguido que el tunel funcione.... y me esta surgiendo la duda si es necesario publicar las rutas con RIP por ejemplo, es necesario especificar tablas de enrutamiento en las que aparezca la red del otro lado de la vpm?

Saludos.

🗨️ 7
imakoki

Buenas,

No si solo tiene una salida a Internet. El router tendrá una ruta por defecto, y los pcs de su red tendrán al router como gateway, con lo que con eso ya debería funcionar. Desde los routers puedes probar si va el túnel. Si por ejemplo en el router tienes dos interfaces, uno el de la ADSL, y otro el de la LAN (que imagino que se llamara vlan1), pues haces un:

ping iplandelotrorouter source vlan1

por ejemplo, imaginemos que hacemos ping desde el router que tiene la 192.168.1.0/24 al de la 192.168.2.0/24 y que a los routers le hemos pusto la ip ..1 en los dos lados:

ping 192.168.2.1 source vlan1

con eso provocas un paquete que se origina con la ip privada y va hacia la otra ip privada, de forma que simulas tráfico que cumple los criterios de la ACL del trafico a encriptar. Aunque también en lugar de la ip lan del otro router puedes poner la de un equipo, pero yo almenos para ver si el túnel funciona lo empiezo probando de router a router, para descartar otros problemas.

Un saludo ;)
imakoki

🗨️ 6
taholi

Gracias imakoki por tu ayuda, tenia mal el tema de las ACL, me hice la picha un lio con el NAT, ya funciona todo ok :D

Estas dos primeras reglas son las que aplico para que funcione el NAT, y lo que hago en la primera linea es excluir el trafico que va a la otra red remota para que vaya por el tunel, como bien dijo imakoki

access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any

Esta regla es la que hace que el router sepa lo que tiene que meter por el tunel, con un match address 110
access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

La VPN funciona, y he estado haciendo un debug como pone en la documentacion de cisco y no hay ningun problema.

Las redes locales que quiero conectar por esta VPN, ya estaban conectadas previamente por otra VPN, que salen a Madrid, tambien con CISCO, pero que no podemos tocar, porque forma parte de la corporacion. Esta nueva VPN que se ha creado es para comunicar dos sedes locales para facturar de forma interna independiente de la red corporativa.

Entonces yo ya tengo unos rangos de IP establecidos en los equipos con su puerta de enlace (que es la del router cisco que va a Madrid), y la unica forma de que estos equipos vayan por mi router privado es cambiando la puerta de enlace a dicho router.

Y claro me pregunto si hay alguna forma de colocar mi router "privado", entre el router "corporativo", para que todo el trafico, pase por mi router; si se genera trafico para la red privada remota, que lo sace por la ADSL (la VPN "privada" la monte para que salga por otra linea ADSL), y si se genera trafico para la red corporativa, que lo mande al router corporativo a Madrid (que esta conectado a una linea RDSI).

Esto creo que lo sabria hacer si el router privado tuviera dos interfaces de salida, pero en realidad solo tengo una interfaz ADSL, y no se si podria conectar el switch de la red local al puerto ethernet 1 por ejemplo, y crear una ruta estatica con ACL para que me filtre el trafico a Madrid y me pase el trafico por la ethernet 2 (que conectare al router que va a Madrid).

Vaya rollo me estoy pegando y realemente no se si estoy diciendo memeses, alguien me ha entendido y me puede decir si es posible realizar esto? Gracias.

Saludos.

🗨️ 5
imakoki
🗨️ 4
taholi
🗨️ 3
imakoki
BocaDePez
BocaDePez
1