Foros del Web » Administración de Sistemas » Seguridad y redes »

Tunel CISCO & CISCO

Estas en el tema de Tunel CISCO & CISCO en el foro de Seguridad y redes en Foros del Web. Alguien me podria decir como expezar a crear un tunel entre dos router CISCO, la cosa es que ya tengo configurado una VPN con el ...
  #1 (permalink)  
Antiguo 30/05/2011, 09:21
 
Fecha de Ingreso: octubre-2006
Mensajes: 185
Antigüedad: 18 años, 1 mes
Puntos: 0
Tunel CISCO & CISCO

Alguien me podria decir como expezar a crear un tunel entre dos router CISCO, la cosa es que ya tengo configurado una VPN con el que me conecto por el cliente VPN de cisco, pero me gustaria dar un paso mas adelante y hacer un tuner entre ese router y otro router cisco que he conseguido.
Los routers son serie 800.
Muchas gracias por el posible interese mostrado.
  #2 (permalink)  
Antiguo 02/06/2011, 17:16
 
Fecha de Ingreso: abril-2009
Ubicación: en un lugar de la mancha
Mensajes: 236
Antigüedad: 15 años, 6 meses
Puntos: 38
Respuesta: Tunel CISCO & CISCO

A ke te refires con el tunel ? no te conectas por VPN ?? ya ahi tienes un tunel hecho.
  #3 (permalink)  
Antiguo 03/06/2011, 03:31
 
Fecha de Ingreso: octubre-2006
Mensajes: 185
Antigüedad: 18 años, 1 mes
Puntos: 0
Respuesta: Tunel CISCO & CISCO

Cierto pero era por diferencias, es decir ahroa me conecto con el router CISCO y el cliente VPN, lo que queiro es cerrar el tunel con dos routers CISCO sin utilizar un pc con el cliente VPN de cisco.
Salu2
  #4 (permalink)  
Antiguo 03/06/2011, 20:06
 
Fecha de Ingreso: abril-2009
Ubicación: en un lugar de la mancha
Mensajes: 236
Antigüedad: 15 años, 6 meses
Puntos: 38
Respuesta: Tunel CISCO & CISCO

OK, por lo ke entendi, lo ke kieres lograr es configurar 2 routers conectados por VPN.

Primero ke todo, CISCO tiene 2 coneptos de VPN uno Remote Access y el otro Site to Site,

Resumiendo la diferencia entre ambos, el primero permite usuarios remotos conectarse a una red, y el segundo permite conectar 2 redes entre si, (Si no entendi mal esto es lo ke kieres lograr).

Comenzare suponiendo ke los dos reouters esten conectados y configurados a internet.

llamare uno R1 y el otro router R2

Suponiendo ke tu router (Red_Local) tenga una interface Serial conectada a Internet y una Fastethernet conectada a tu LAN con las siguientes direcciones:
S0/1 - 192.168.0.1/24
Fa0/1 - 10.0.0.1/24

Y suponiendo ke tu router (Red_Remota) tenga el mismo escenario.
S0/1 - 192.168.0.2/24
Fa0/1 - 10.0.1.1/24

En el router R1 debes comenzar por configurar el Tunel.

// Configuras una itnerface con numero 0 para el tunel.
R1(config)# interface tunnel 0

// Le asignas IP y mascara.
R1(config-if)# ip address 192.168.1.1 255.255.255.0

// Configuras el IP de donde se originara el tunnel.
R1(config-if)# tunnel source 192.168.0.1 255.255.255.0

// Configuras el IP de destino del tunel.
R1(config-if)# tunnel destination 192.168.0.2 255.255.255.0

// Configuras el modo de tunel como GRE.(es el modo por defecto) GRE trabaja
// junto con IPSec, GRE encapsula el pakete despues IPSec lo encripta.
R1(config-if)# tunnel mode gre ip

// Despues iniciar la interface.
R1(config)# interface tunnel 0
R1(config-if)# no shutdown


// Sales del modo de configuracion de la interface.
R1(config-if)# exit

// Configuras la ruta para la LAN de la red remota a traves del tunel.
R1(config)# ip route 10.0.1.0 255.255.255.0 tunnel 0

// Configuras NAT
R1(config)# interface fastethernet0/1
R1(config-if)# ip nat inside
R1(config-if)# exit
R1(config)# interface serial0/1
R1(config)# ip nat outside
R1(config-if)# exit
R1(config)# ip nat pool WAN-IP 192.168.0.3 192.168.0.10 prefix-length 24
R1(config)# ip nat inside source list 10 pool WAN-IP overload
R1(config)# access-list 10 permit 10.0.0.0 0.0.0.255


// Ahora deberas configurar IPSec y el tipo de encriptacion.
// IKE es un protocolo de seguridad y esta iniciado por defecto, provee autentificacion, negocia entre los
// extremos la asociascion de seguridad de IPSec, establece las llaves de IPSec provee los tiempos de los paketes
// para checkear el estado del enlace (keepalive). Deberas crear politicas para IKE estas politicas definen la
// combinacion de parametros de seguridad ke seran usadas durante la negociacion de IKE.
R1(config)# crypto isakmp policy 1

// COnfigurar la encriptacion. por defecto es DES ke usa algoritmo de 56 Bit, si kieres mas segura puedes usar 3DES
// ke usa de 168 Bit 3 veces mas.
R1(config-isakmp)# encryption 3des

// Especificar el algoritmo hash, puede ser MD5 o sha, SHA es mejor.
R1(config-isakmp)# hash sha

// Especificar el metodo de autentificacio, "Clave compartida".
R1(config-isakmp)# authentication pre-share

// Especificar el grupo de Diffie-Hellman esto determina la longitud de la llave usada en el proceso de intercambio
// de llaves, 1 - 768 Bit y 2- 1024 Bit.
R1(config-isakmp)# group 1

// Aki especificas el tiempo en segundos de la asociasion de seguridad en este caso un dia.
R1(config-isakmp)# lifetime 86400

// Sales de la configuracion de IKE.
R1(config-isakmp)# exit

// Ahora tendras ke configurar la llave compartida ke configurastes anteriormente en el metodo de autentificacion.
// aki especificas la llave como direccion ip o como nombre del ekipo, en este caso usarias IP
R1(config)# crypto isakmp identity address

// Ahora especificaras las llave compartida y la direccion remota en la ke este router utilizara la llave en el
// caso de R1 router contra el ip del router de la red_remota
R1(config)# crypto isakmp key llave123 address 192.168.0.2

// Creas una access list para definir ke trafico va a estar protegido por crypto.
// si te fijas no especifica para IPSec ke es lo ke keremos permitir en este caso,
// despues en el mapeo de crypto le daremos el numero de access list y y en
// este mapeo aplicara la seguridad al trafico ke haga refencia a las rutas ke configuras aki para ke sea protegido
// por crypto. en este caso el trafico entre ambos routers.
R1(config)# access-list 110 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255


// Configuras el modo de tunel de IPSec. debes definir el nombre del trannsform-set.
R1(config)# crypto ipsec transform-set Transform-Nombre ah-sha-hmac esp-3des

// Configuras el modo puede ser tunel o setting. Setting es solo para trafico generado por las direcciones IP de
// origen y destinado configurados en las interface IPSec. y Tunel es para todo el trafico.
R1(cfg-crypto-trans)# mode tunnel

// sales de la configuracion del transform-set ke acabas de crear con el nombre Transform-Nombre.
R1(cfg-crypto-trans)# exit

// Cuando los dos router traten de establecer una asociasion segura necesitaran tener por lo menos un crypto map
// ke tendra ke ser compatible con el otro extremo crypto map. Creas el crypto map y especificas la interface local
// ke va a ser usada para el trafico IPSec, puede ser statico o dinamico, mejor escoger statico porke manejara mejor
// los dispositivos remotos, el dinamico por su parte solo acepta pedidos IKE nunca los inicia por lo ke es mas // seguro el statico. Para configurar el mapeo estatico.
R1(config)# crypto map map-nombre local-address serial 0/1

// especificas un numero de secuencia para el mapeo ke creastes anteriormente. y configuras este mapeo para ke use // IKE ke fue el protocolo ke configuramos anterior para establecer asociacion seguras.
R1(config)# crypto map map-nombre 2 ipsec-isakmp

// aki especificas la access list extendida ke creastes antriormente para determinar ke trafico sera protegido por // IPSec y cual no.
R1(config-crypto-map)# match address 110


// especificas el punto remoto de IPSec.
R1(config)# set peer 192.168.0.2

// Configuras ke transform-set sera permitido para este mapeo, o sea, el ke creamos anteriormente.
R1(config-crypto-map)# set transform-set Transform-Nombre

// Sales de la configuracion del mapeo
R1(config-crypto-map)# exit

// Ahora necesitras aplicar le mapeo a la interface
R1(config)# interface serial 0/1

// le dices el nombre ke le pusistes al mapeo ke configurastes de forma estatico.
R1(config-if)# crypto map map-nombre

// Sales de la configuracion de la interface
R1(config-if)# exit

Última edición por rolygc; 03/06/2011 a las 20:15
  #5 (permalink)  
Antiguo 07/06/2011, 05:31
 
Fecha de Ingreso: octubre-2006
Mensajes: 185
Antigüedad: 18 años, 1 mes
Puntos: 0
Respuesta: Tunel CISCO & CISCO

Perdon por contestar tarde, pero es q no encontraba el hilo jijijiji (torpezas que tiene uno), Muchas gracias por la inforamcion, la pondre en practica y cometnare el resultado. Hay alguna tipo de software que cree entornos virtuales de cisco para poder hacer la configuracion virtualmente (consolas que simulen o algo asi).
Gracias por todo, sinceramente.
  #6 (permalink)  
Antiguo 07/06/2011, 17:57
 
Fecha de Ingreso: abril-2009
Ubicación: en un lugar de la mancha
Mensajes: 236
Antigüedad: 15 años, 6 meses
Puntos: 38
Respuesta: Tunel CISCO & CISCO

Como ke virtuales ?? no entendi la pregunta, kieres utilizar 2 redes conectadas entre si a traves de VPN ahi estas dos redes estaran conectadas virtualmente es lo ke significa, VPN redes privadas virtuales.
  #7 (permalink)  
Antiguo 09/06/2011, 04:09
 
Fecha de Ingreso: octubre-2006
Mensajes: 185
Antigüedad: 18 años, 1 mes
Puntos: 0
Respuesta: Tunel CISCO & CISCO

Creo que me explique mal jajajaja sorry. Me refiero algun tipo de programa que puedas programar un roputer CISCO y lo simule, para hacer las pruebas ahi.
Lo otro lo voy teniendo claro.
Gracias.
  #8 (permalink)  
Antiguo 09/06/2011, 22:08
 
Fecha de Ingreso: abril-2009
Ubicación: en un lugar de la mancha
Mensajes: 236
Antigüedad: 15 años, 6 meses
Puntos: 38
Respuesta: Tunel CISCO & CISCO

Ah ya te entendi, lo ke buscas es un software de simulacion de red.

Pues si, claro ke existe, se llama Cisco Packet Tracer y existe otro ke se llama GNS3 cualkier de los dos puedes utilizarlos.
  #9 (permalink)  
Antiguo 10/06/2011, 04:24
 
Fecha de Ingreso: octubre-2006
Mensajes: 185
Antigüedad: 18 años, 1 mes
Puntos: 0
Respuesta: Tunel CISCO & CISCO

Muchas gracias por todo voy a ver si lo pongo todo en pruba ya un saludo y mil gracias.

Etiquetas: cisco, tunel
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado




La zona horaria es GMT -6. Ahora son las 21:38.