Hola, hoy vamos a configurar una “VPN de acceso remoto” con Split tunneling.
Una VPN de acceso remoto es necesaria en una empresa, debido a la flexibilidad que brinda a los empleados, ya que pueden conectarse a la red corporativa desde cualquier parte del mundo, con tan solo una conexión a internet y las credenciales correctas.
Es necesario instalar en la PC remota, el software CISCO VPN Client(x86/x64).
Habilitar “Split Tunneling” permitirá al usuario remoto navegar en internet mientras está conectado a la red corporativa. Es decir, solo el tráfico destinado a la red corporativa será enviado a través del túnel VPN, mientras que el resto del tráfico será enviado normalmente, como si no estuviera conectado a la VPN de la compañía.
Por lo general “Split Tunneling” se habilita. Solo en algunos casos (raros) por políticas de la empresa, tendremos que deshabilitarlo pero no es lo común.
CISCO IPsec VPN ofrece dos niveles de protección, por lo cual el usuario remoto deberá ingresar las credenciales de grupo seguido de las de usuario.
Las credenciales de grupo, podrán almacenarse en el software “vpn client” pero las credenciales de usuario, deberán ser ingresadas cada vez que intente conectarse.
DIAGRAMA:
Pasos para realizar la configuración:
Configurar aaa
Crear las cuentas de usuario
Configurar ISAKMP (fase 1)
Crear un grupo
Configurar ISAKMP (fase 2)
Crear “virtual-template”
Crear un perfil ISAKMP
Crear un ACL (asociada al grupo)
Configurar aaa
Habilitamos aaa (Authentication, Authorization and Accounting), ésta familia de protocolos nos proporciona un método para identificar a los usuarios que ingresaron, identificar el nivel de acceso que han conseguido y por último monitorea y guarda la información sobre la actividad del usuario.
Headquarters(config)#aaa new-model Headquarters(config)#aaa authentication login default local Headquarters(config)#aaa authetication login vpn_auten_arg_1 Headquarters(config)#aaa authorization network vpn_grupo_arg_1 local Headquarters(config)#aaa sesión-id common
2. Crear las cuentas de usuario
El usuario remoto realiza dos fases principales a la hora de establecer la conexión. Negocia la política de seguridad y el método de encripción.
Ahora crearemos los usuario/passwords que utilizarán los usuarios remotos.
Headquarters(config)#username administrador secret $cisc0$admiN Headquarters(config)#username usuarioremoto secret $usu4r!0$r3m0t0
3. Configurar ISAKMP/IKE (fase 1)
Creamos una política ISAKMP e IKE para la fase 1 de la negociación.
Headquarters(config)#crypto isakmp policy 1 Headquarters(config-isakmp)#encryption 3des Headquarters(config-isakmp)#authentication pre-share Headquarters(config-isakmp)#group 2 Headquarters(config-isakmp)#hash sha Headquarters(config-isakmp)#exit
4. Crear un grupo
Llego el momento de crear un grupo en el cual setearemos la dirección DNS, la pool para los usuarios de la VPN, ACL, la cantidad máxima de usuarios que podrán conectarse, y la clave que utilizará el grupo.
Nota: “Pool VPN”, es el rango de IPs que tomarán los usuarios remotos, para acceder a la red a medida que se conecten. Es decir, son IPs dinámicas. El rango comenzará en 192.168.0.40 hasta 192.168.0.45
Headquarters(config)#crypto isakmp client Configuration group clientes-vpn Headquarters(config-isakmp-group)#key vpn.arg Headquarters(config-isakmp-group)#dns 10.0.0.10 Headquarters(config-isakmp-group)#pool pool-vpn Headquarters(config-isakmp-group)#acl 120 Headquarters(config-isakmp-group)#max-users 5 Headquarters(config-isakmp-group)#exit Headquarters(config)#ip local pool pool-vpn 192.168.0.40 192.168.0.45
5. Configurar ISAKMP (fase 2)
Creamos IPSec transform:
Headquarters(config)#crypto ipsec transform-set tunel esp-3des esp-sha-hmac Headquarters(cfg-crypto-trans)#exit
Matcheamos IPsec transform “tunel” con un IPSec profile llamado “perfil-vpn-1”
Headquarters(config)#crypto ipsec profile perfil-vpn-1 Headquarters(ipsec-profile)#set transform-set tunel
6. Crear interfaz “virtual-template”
Ahora es el momento de unir todas las configuraciones, creando una “virtual-template”. Ésta es un interfaz virtual permitirá el ingreso de los clientes remotos. Los usuarios remotos que ingresen por ella, tomaran una Dirección IP de nuestra red interna del rango 192.168.0.40 – 192.168.0.45
No será necesario configurar una IP para ésta interfaz virtual, pero tendremos que unirla a una interfaz física. Ésta debe tener una IP configurada.
Headquarters(config)#interface virtual-template 2 type tunnel Headquarters(config-if)#ip unnumbered f0/0 Headquarters(config-if)#tunnel mode ipsec ipv4 Headquarters(config-if)#tunnel protection ipsec profile perfil-vpn-1
7. Crear un perfil ISAKMP
Creamos un perfil ISAKMP para conectar al grupo con la interfaz virtual-template.
Headquarters(config)#crypto isakmp profile perfil-vpn-arg-1 Headquarters(conf-isa-prof)#match identity group clientes-vpn Headquarters(conf-isa-prof)#client authentication list vpn_auten_arg_1 Headquarters(conf-isa-prof)#isakmp authorization list vpn_grupo_arg_1 Headquarters(conf-isa-prof)#client configuration address respond Headquarters(conf-isa-prof)#virtual-template 2
8. Crear un ACL (asociada al grupo)
Creamos una ACL (matcheada en el paso 4), que permita el tráfico desde las IPs de la Pool hacia toda nuestra red.
Headquarters(config)#access-list 120 remark ==[Usuarios VPN]== Headquarters(config)#access-list 120 permit ip any host 192.168.0.20 Headquarters(config)#access-list 120 permit ip any host 192.168.0.21 Headquarters(config)#access-list 120 permit ip any host 192.168.0.22 Headquarters(config)#access-list 120 permit ip any host 192.168.0.23 Headquarters(config)#access-list 120 permit ip any host 192.168.0.24 Headquarters(config)#access-list 120 permit ip any host 192.168.0.25
CONFIGURACIÓN DE “VPN CLIENT”
Configuración completa sobre el router:
Headquarters(config)#aaa new-model Headquarters(config)#aaa authentication login default local Headquarters(config)#aaa authetication login vpn_auten_arg_1 Headquarters(config)#aaa authorization network vpn_grupo_arg_1 local Headquarters(config)#aaa sesión-id common Headquarters(config)#username administrador secret $cisc0$admiN Headquarters(config)#username usuarioremoto secret $usu4r!0$r3m0t0 Headquarters(config)#crypto isakmp policy 1 Headquarters(config-isakmp)#encryption 3des Headquarters(config-isakmp)#authentication pre-share Headquarters(config-isakmp)#group 2 Headquarters(config-isakmp)#hash sha Headquarters(config-isakmp)#exit Headquarters(config)#crypto isakmp client Configuration group clientes-vpn Headquarters(config-isakmp-group)#key vpn.arg Headquarters(config-isakmp-group)#dns 10.0.0.10 Headquarters(config-isakmp-group)#pool pool-vpn Headquarters(config-isakmp-group)#acl 120 Headquarters(config-isakmp-group)#max-users 5 Headquarters(config-isakmp-group)#exit Headquarters(config)#ip local pool pool-vpn 192.168.0.40 192.168.0.45 Headquarters(config)#crypto ipsec transform-set tunel esp-3des esp-sha-hmac Headquarters(cfg-crypto-trans)#exit Headquarters(config)#crypto ipsec profile perfil-vpn-1 Headquarters(ipsec-profile)#set transform-set tunel Headquarters(ipsec-profile)#exit Headquarters(config)#interface virtual-template 2 type tunnel Headquarters(config-if)#ip unnumbered f0/0 Headquarters(config-if)#tunnel mode ipsec ipv4 Headquarters(config-if)#tunnel protection ipsec profile perfil-vpn-1 Headquarters(config-if)#exit Headquarters(config)#crypto isakmp profile perfil-vpn-arg-1 Headquarters(conf-isa-prof)#match identity group clientes-vpn Headquarters(conf-isa-prof)#client authentication list vpn_auten_arg_1 Headquarters(conf-isa-prof)#isakmp authorization list vpn_grupo_arg_1 Headquarters(conf-isa-prof)#client configuration address respond Headquarters(conf-isa-prof)#virtual-template 2 Headquarters(conf-isa-prof)#exit Headquarters(config)#access-list 120 remark ==[Usuarios VPN]== Headquarters(config)#access-list 120 permit ip any host 192.168.0.40 Headquarters(config)#access-list 120 permit ip any host 192.168.0.41 Headquarters(config)#access-list 120 permit ip any host 192.168.0.42 Headquarters(config)#access-list 120 permit ip any host 192.168.0.43 Headquarters(config)#access-list 120 permit ip any host 192.168.0.44 Headquarters(config)#access-list 120 permit ip any host 192.168.0.45 Headquarters(config)#exit Headquarters#copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK]
Les dejo unos videos!
Comentários