Tuneles De GRE Sobre IPSEC Con EIGRP
Páginas: 5 (1013 palabras)
Publicado: 28 de marzo de 2015
Tuneles de GRE sobre IPSEC con EIGRP
En Mexico es muy comun que casi cualquier empresa contrate un servicio de internet utilizando la tecnologia ADSL (en mexico llamado Infinitum), sin embargo este servicio no deja de ser inseguro y riesgoso puesto que está expuesto a cualquier ataque ademas de pasar los datos en texto plano.
Una forma interesante, sencilla y más segura de realizar unacomunicacion entre dos o mas entidades es a traves de VPNs que usan tuneles de gre sobre IPsec.
A continuacion describo el procedimiento para realizar una vpn utilizando esta tecnica, El objetivo de esta configuracion es que el host 172.16.1.9
miembro de la red 172.16.1.0 cuyo Default Gateway es el router 1 tenga comunicacion con el host 172.16.2.15 miembro de la red 172.16.2.0
cuyo default Gatewayes el router 2 a traves de un tunel de GRE sobre IPSEC utilizando el protocolo de ruteo EIGRP.
Evitare las lineas de configuracion basica, como ruta default, DG, nats y pats y configuracion de las interfaces ethernet y/o.
Dialer1 (si fuese adsl).
Arquitectura utilizada:
- 2 routers CISCO
- 1 enlace de internet
Veamos el diagrama:
Nota: por cuestiones de poner solo un identificador puse esasips publicas en las interfaces de los routers. (inexistentes por cierto), en
en la configuracion de abajo se les denomina como IP PUBLICA DEL PEER y IP PUBLICA LOCAL
En el router 1 pondremos la siguiente configuracion:
router1(config)#crypto isakmp policy 10
router1(config-isakmp)#encr 3des
router1(config-isakmp)#hash md5
router1(config-isakmp)#authentication pre-share
!
router1(config)#cryptoisakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des
router1(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des esp-md5-hmac mode transport
router1(config)#crypto map gretunnel 100
router1(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER
router1(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET
router1(config-crypto-map)#match addressNOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
!
router1(config)#interface Tunnel100
router1(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL
router1(config-int)#tunnel source IP.PUBLICA.LOCAL
router1(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER
router1(config-int)#crypto map gretunnel
!
router1(config)#router eigrp 1
router1(config-router)#network 172.16.1.0 -->(La lanes una clase b)
router1(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre)
!
router1(config)#ip access-list extended NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
router1(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
router1(config-ext-nacl)#deny ip any any
En el router 2 pondremos la siguiente configuracion:
router2(config)#cryptoisakmp policy 10
router2(config-isakmp)#encr 3des
router2(config-isakmp)#hash md5
router2(config-isakmp)#authentication pre-share
!
router2(config)#crypto isakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des ---> (Misma que en router1)
router2(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des esp-md5-hmac mode transport
router2(config)#crypto map gretunnel 100router2(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER
router2(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET
router2(config-crypto-map)#match address NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
!
router2(config)#interface Tunnel100
router2(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL (debe ser del mismo segmento q la seleccionada para lainterface de tunnel de router1)
router2(config-int)#tunnel source IP.PUBLICA.LOCAL
router2(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER
router2(config-int)#crypto map gretunnel
!
router2(config)#router eigrp 1
router2(config-router)#network 172.16.2.0 -->(La lan es una clase b)
router2(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre)
!...
En Mexico es muy comun que casi cualquier empresa contrate un servicio de internet utilizando la tecnologia ADSL (en mexico llamado Infinitum), sin embargo este servicio no deja de ser inseguro y riesgoso puesto que está expuesto a cualquier ataque ademas de pasar los datos en texto plano.
Una forma interesante, sencilla y más segura de realizar unacomunicacion entre dos o mas entidades es a traves de VPNs que usan tuneles de gre sobre IPsec.
A continuacion describo el procedimiento para realizar una vpn utilizando esta tecnica, El objetivo de esta configuracion es que el host 172.16.1.9
miembro de la red 172.16.1.0 cuyo Default Gateway es el router 1 tenga comunicacion con el host 172.16.2.15 miembro de la red 172.16.2.0
cuyo default Gatewayes el router 2 a traves de un tunel de GRE sobre IPSEC utilizando el protocolo de ruteo EIGRP.
Evitare las lineas de configuracion basica, como ruta default, DG, nats y pats y configuracion de las interfaces ethernet y/o.
Dialer1 (si fuese adsl).
Arquitectura utilizada:
- 2 routers CISCO
- 1 enlace de internet
Veamos el diagrama:
Nota: por cuestiones de poner solo un identificador puse esasips publicas en las interfaces de los routers. (inexistentes por cierto), en
en la configuracion de abajo se les denomina como IP PUBLICA DEL PEER y IP PUBLICA LOCAL
En el router 1 pondremos la siguiente configuracion:
router1(config)#crypto isakmp policy 10
router1(config-isakmp)#encr 3des
router1(config-isakmp)#hash md5
router1(config-isakmp)#authentication pre-share
!
router1(config)#cryptoisakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des
router1(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des esp-md5-hmac mode transport
router1(config)#crypto map gretunnel 100
router1(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER
router1(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET
router1(config-crypto-map)#match addressNOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
!
router1(config)#interface Tunnel100
router1(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL
router1(config-int)#tunnel source IP.PUBLICA.LOCAL
router1(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER
router1(config-int)#crypto map gretunnel
!
router1(config)#router eigrp 1
router1(config-router)#network 172.16.1.0 -->(La lanes una clase b)
router1(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre)
!
router1(config)#ip access-list extended NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
router1(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
router1(config-ext-nacl)#deny ip any any
En el router 2 pondremos la siguiente configuracion:
router2(config)#cryptoisakmp policy 10
router2(config-isakmp)#encr 3des
router2(config-isakmp)#hash md5
router2(config-isakmp)#authentication pre-share
!
router2(config)#crypto isakmp key LLAVE_DE_LAVPN address DIRECCION.PUBLICA.DEL.PEER encr 3des ---> (Misma que en router1)
router2(config)#crypto ipsec transform-set NOMBRE_DEL_TRANSFORM_SET esp-3des esp-md5-hmac mode transport
router2(config)#crypto map gretunnel 100router2(config-crypto-map)#set peer DIRECCION.PUBLICA.DEL.PEER
router2(config-crypto-map)#set transform-set NOMBRE_DEL_TRANSFORM_SET
router2(config-crypto-map)#match address NOMBRE_DEL_ACL_QUE_LEVANTE_EL_TUNEL
!
router2(config)#interface Tunnel100
router2(config-int)#ip address IP_PRIVADA.ORIGEN.DEL.TUNEL_DE_GRE MASCARA.DE.RED.DEL_TUNEL (debe ser del mismo segmento q la seleccionada para lainterface de tunnel de router1)
router2(config-int)#tunnel source IP.PUBLICA.LOCAL
router2(config-int)#tunnel destination DIRECCION.PUBLICA.DEL.PEER
router2(config-int)#crypto map gretunnel
!
router2(config)#router eigrp 1
router2(config-router)#network 172.16.2.0 -->(La lan es una clase b)
router2(config-router)#network 192.168.1.0 -->(esta red abarca las ips seleccionadas para el tunel de gre)
!...
Leer documento completo
Regístrate para leer el documento completo.