2 redes privadas virtuales

Seguridad y alta disponibilidad

1 Gabriel Montañés León

VPN sitio a sitio

Simulación VPN sitio a sitio, utilizando Packet Tracer

Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1

Con el primer comando lo que vamos a hacer es crear una nueva política IKE, cada política se identifica por su

número de prioridad, en nuestro caso vamos a ponerle la prioridad más alta que es 1.

Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar

El tercer comando elegimos el algoritmo de hash que vamos a usar

El cuarto comando determina el método de autenticación

El quinto comando se especifica el identificador de grupo diffie-hellman

El sexto comando determinamos el tiempo de vida de la asociación de seguridad

Con el séptimo comando salimos para volver al modo de configuración global

El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las negociaciones IKE, pero

este comando como podemos ver en la imagen no funciona y ya no podemos continuar realizando la vpn de sitio a

sitio



VPN sitio a sitio armario ccp Nos creamos un usuario para poder configurar el router de forma CCP.

Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar.

Después pulsamos ok.



Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.

Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos

modificar y configurar las carpetas de la barra izquierda.

Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha.



Pulsamos "Launch the selected task", pulsamos la segunda opción y seguimos el asistente.

Ahora introducimos los siguientes datos:

- Seleccionamos la interfaz por donde va a realizarse la VPN. - Ponemos la dirección remota al router R1. - Ponemos una contraseña para compartir (cisco12345)



Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN

para el intercambio de claves.



El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a

través del túnel.

Debemos definir el trafico interesante para ser protegida a través del túnel VPN. El trafico interesante se define a

través de una lista de acceso aplicada al router.

Para eso ingresamos las direcciones en la siguiente ventana:



Podemos ver un resumen de lo configurado:

Finalmente lo guardamos pulsando en el checkbox.

Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router.



Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.



Ponemos la dirección de destino y le damos a continue

Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunnel esta up



VPN de acceso remoto Simulación VPN de acceso remoto, utilizando Packet Tracer.

Este es el escenario donde vamos a ralizar una vpn de acceso remoto

El primer comando lo que hacemos es que creamos un grupo de direcciones ip para que se puedan conectar los

clientes

Con el siguiente comando lo que hacemos es activar la funcionalidad aaa

Con el siguiente definimos la lista de métodos de autenticación cuando un usuario hace login

El siguiente comando establece los parámetros que restringen el acceso de los usuarios a la red

El ultimo comando creamos una cuenta de usuario que usaran los cliente vpn para autenticarse en el servidor

El primer comando crea una nuevo política IKE, cada política se identifica por el numero de prioridad

El segundo comando especificamos el algoritmo de cifrado a utilizar

Con el tercer comando elegimos el algoritmo hash a usar

Con el ultimo comando determinamos el método de autenticacion



El primer comando especificamos el identificador de grupo diffie-hellman

El segundo comando crea un grupo IKE para los clientes VPN

El tercer comando establece el secreto compartido para el grupo

El último comando selecciona el rango de direcciones para los clientes

El primer comando establece las políticas de seguridad IPSEC que se usaran en las comunicaciones

El segundo comando crea un crypto map dinamico que se usa cuando la IP del host remoto no se conoce, como es

en este caso de vpn de acceso remoto

El tercer comando asocia el transfor set VPNSET al crypto map dinamico

El ultimo comando activa el reverse router injection

El primer comando configura un crypto map estatico que puede ser asociado a una interfaz

El segundo comando define el conjunto de usuarios con permisos de autenticación

El tercer comando establece el grupo de usuarios y los parámetros de acceso a la red

El cuarto comando asocia el crypto map dinamico creado para los clientes de acceso remoto

Con el primer comando accedemos a la interfaz por la que se conectaran los clientes VPN

El segundo Asociamos el crypto map a la interfaz



Nos vamos a la parte de conexión vpn y rellenamos los campos que nos hacen falta para podernos conectar, y como

vemos en la imagen no nos deja conectarnos ya que nos da conexión timed out

VPN de acceso remoto armario ccp

Nos creamos un usuario para poder configurar el router de forma CCP.



Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar.

Después pulsamos ok.

Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.

Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos

modificar y configurar las carpetas de la barra izquierda.



Nos vamos a Security > Firewall, marcamos la opcion de basic firewall y le damos a launch the search task

Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente



Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente

Permitimos las actualizaciones de eigrp a través del firewall y le damos a siguiente



Marcamos la opción para que se guarden las configuraciones en el router y le damos a deliver

Nos vamos a security > firewall > vpn > easy vpn server, le damos a launch



Pulsamos la casilla de guardar la configuración en el router y le damos a deliver para que tengan efecto los cambios

Nos saldrá esta pantalla de bienvenida, le damos a siguiente



Marcamos la opción de unnumbered to y seleccionamos el serial, le damos a siguiente

Seleccionamos el que viene por defecto y le damos a siguiente



Seleccionamos el que viene por defecto y le damos a siguiente

Seleccionamos la opción del método local y le damos a siguiente



Habilitamos la autenticación por usuarios, luego marcamos la opción de solo local

Añadimos los usuarios con su contraseña y ponemos el nivel de privilegios en 1 y Ok



Creamos el grupo y le ponemos la contraseña, ponemos un rango de direcciones que se pueden conectar a la red a

través de la vpn por acceso remoto

Habilitamos el grupo y en el id túnel ponemos un 1



En esta pantalla le damos a Ok

Nos aparece un resumen y le damos a finalizar



Marcamos la casilla para que se guarden la configuración en el router y le damos a deliver

Le damos a test tunnel y start, esperamos a que termine el chequeo y vemos que testa el túnel up



VPN sobre red local

WINDOWS XP

Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server

Nos vamos a mis sitios de red y le vamos a dar a ver conexiones de red

Ahora le vamos a dar a crear una conexión nueva

Nos aparecerá este asistente que es para crear una conexión nueva y le damos a siguiente



En esta pantalla lo que hacemos es marcar la opción de configurar una conexión avanzada y le damos a

siguiente

Aquí le vamos a marcar la primera opción que es aceptar las conexiones entrantes y le damos a siguiente

En esta ventana le vamos a dar a siguiente sin marcar nada



En esta ventana vamos a marcar la opción de permitir conexiones privadas virtuales y le damos a siguiente

En esta ventana vamos a elegir un usuario con privilegios de los que tenemos ya creados o como en

nuestro caso nos vamos a crear un usuario que va a ser con el que nos vamos a identificar al realizar la

conexión remota

Aquí como podemos ver ya tenemos nuestro usuario con el que nos vamos a conectar creado, le damos a

siguiente.



En esta ventana nos muestra los protocolos que usara la conexión para permitir el acceso remoto, dejamos

todo como esta y le damos a siguiente

Hacemos clic en finalizar para terminar el asistente de la nueva conexión

Aquí podemos ver en mis sitios de red como se ha creado una conexión nueva



WINDOWS 2003 SERVER

Para instalar el servicio le vamos a dar a administre su servidor

Nos saldrá esta pantalla, le daremos a agregar o quitar función



Primero nos saldrá un asistente y le daremos a siguiente hasta llegar a esta pantalla, aquí vamos a seleccionar

servidor de acceso remoto y le vamos a dar a siguiente

Nos saldrá un asistente para instalar el servicio, le damos a siguiente

En esta pantalla le vamos a dar a la opción de configuración personalizada y le damos a siguiente



Marcamos las opciones que vamos a habilitar y le damos a siguiente

Le damos a finalizar para terminar el asistente

Cuando le damos a finalizar nos sale un mensaje y le decimos si para iniciar el servicio



Una vez instalado nos vamos a inicio > herramientas administrativas > enrutamiento y acceso remoto

Aquí podemos ver la configuración de nuestro servidor VPN

Ahora nos vamos a inicio > herramientas administrativas > administración de equipo y le vamos a dar de alta a un

usuario para que tenga permisos de acceso remoto para conectarse a la VPN



Nos vamos a usuarios y grupos y vamos a agregar un usuario nuevo

Rellenamos los campos y marcamos la opción de que la contraseña nunca caduca y le damos a crear

Nos ponemos sobre el usuario que hemos creado y le damos botón derecho > propiedades, nos vamos a la pestaña

de control remoto y marcamos la opción de habilitar el control remoto



Ahora nos vamos a la pestaña de marcado y marcamos la opción de permitir acceso y aceptamos

Instalación de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,…).

Instalamos el servidor vpn con el siguiente comando: apt-get install pptpd

Nos vamos al fichero de configuración /etc/ppp/pptpd-options y vamos a escribir la siguientes líneas que no vemos

comentadas en el fichero de configuración



Vamos comentar todas las líneas del fichero menos esta línea que vemos al final ya que hemos escrito las líneas que

nos hacían falta al principio del fichero como vemos en la imagen anterior

Nos vamos al fichero de configuración /etc/pptpd.conf y vamos a descomentar las siguientes líneas:

ppp /usr/sbin/pppd

Option /etc/ppp/pptpd-options

Seguimos bajando en el fichero y descomentamos la lines:

Logwtmp



Nos vamos al final del fichero y vamos a configurar las siguientes líneas que vemos descomentadas

Nos vamos al fichero de configuración /etc/ppp/chap-secrets y configuramos la siguiente línea, esa línea significa

que usuariovpn es el usuario con el que nos conectaremos a la red vpn gabriel es el nombre de la red vpn, inves la

contraseña con la que vamos a acceder y * es que con cualquier ip pueden acceder a la red vpn

Ahora vamos a reiniciar el servicio vpn con el siguiente comando: /etc/init.d/pptpd restart

Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN.

Windows

Nos vamos a conexiones de red y le decimos crear una conexión nueva



Nos saldrá un asistente, le daremos a siguiente y nos aparecerá esta ventana y vamos a seleccionar la opción de

conectarse a la red de mi lugar de trabajo y le damos a siguiente

En esta ventana vamos a seleccionar la opción de conexión de red privada virtual y le damos a siguiente

Le ponemos un nombre y le damos a siguiente



Ponemos la dirección ip del servidor VPN y le damos a siguiente

En esta ventana nos sale el nombre que le hemos puesto a la conexión y marcamos la opción de agregar un acceso

directo al escritorio de la conexión y le damos a finalizar

Ponemos el nombre de usuario y la contraseña del usuario que nos creamos en el servidor, en nuestro caso lo

estamos realizando con el servidor de Windows 2003 server y le damos a conectar



Ahora nos vamos a las conexiones de red y podemos ver cómo estamos conectados al servidor VPN

Linux

Nos vamos a las conexiones de red y le damos a añadir para crear una vpn nueva

Elegimos el único tipo de conexión que nos da que es de punto a punto



Donde pone pasarla le pondremos la dirección ip del servidor vpn, luego pondremos usuario y contraseña y le damos

a guardar y abrimos el network manager y le damos a conectar

Configurar el router Linksys RV200 como un servidor VPN sobre red local.

Nos vamos a la pestaña vpn client Access ponemos el nombre de usuario y la contraseña, le damos

add/save



Nos saldrá esta pantalla y pondremos la dirección ip y la submascara y le daremos a save settings para

guardar los cambios

Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para poder

conectarnos

Configurar el router Linksys RV042 como un servidor VPN sobre red local.

Nos vamos a vpn y le damos a client to Gateway, marcamos la opción de tunnel y le ponemos un nombre como

vemos en la imagen y en la interface le dejamos la WAN1

En el desplegable vamos a seleccionar la opción de solo ip y nos saldrá la dirección ip que tengamos configurada en

nuestro router, luego pondremos la dirección ip con la que va a tener nuestra subred y la máscara, luego volvemos a

seleccionar solo ip y ponemos la dirección ip del equipo con el que vamos a hacer la vpn



En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la

imagen y le daremos a save settings para guardar los cambios.

Ahora nos iremos al cliente y configuraremos el software necesario para podernos conectar.

2 redes privadas virtuales

Documents