UT4.

Práctica de laboratorio: Configuración de VPN sitio a sitio

1. DIAGRAMA TOPOLOGÍA

Simula WAN internet

Sede 2 Sede 1

2. CONFIGURACIÓN BÁSICA Y MONTAJE DE LA RED.

Paso 1: Consulte “Guia Rapida VPN Linksysy 214”, realice un reset del mismo, y
accediendo vía web asigne las direcciones Ip de la topología en los interfaces LAN y
WAN.
Con el fin de que cualquier equipo que esté conectado en su LAN pueda acceder a
internet, en todos los router habrá que habilitar NAT.
Paso 2: Configurar las interfaces de PC1, PC2 (no olvide añadir los servidores DNS
como los del laboratorio anterior).
Paso 3: Preparar los router Cisco: acceda por consola, borre toda la configuración y
a continuación asigne las direcciones ip a los interfaces según indica la topología
(la interface eth0/0 de R3 pedirá por DHCP la ip al router del aula).
R11, R22, y R3 deben tener habilitado NAT con overload y tener configurada una
ruta predeterminada a los interfaces adecuados, con el fin de que PC1 y PC2
puedan navegar por internet.
Paso 4: Conectar los equipos como el diagrama de red la topología.
Paso 5: Probar el funcionamiento básico de la red: si PC1 y PC2 consiguen navegar
por internet, tendremos la estructura básica para empezar a configuran una VPN
entre R1 y R2

3. CONFIGURACION DEL TUNEL IPSEC ENTRE R1 Y R2

Paso 1: Desde la pestaña Configuración del menú VPN añadir un nuevo túnel con los
parámetros necesarios.
 UT4. Práctica de laboratorio: Configuración de VPN sitio a sitio

Paso 2: Local Security Gateway Type, al seleccionar “IP Only”, el sistema nos añade
automáticamente la dirección ip configurada en la interface WAN. Podremos
seleccionar otras opciones, en cuyo caso, nos pedirá añadir otros datos para la
autenticación entre los extremos como puede ser, un nombre de dominio o una
dirección de email (estos no son necesario que sean reales).
Paso 3: Local Security Group Type. En este apartado seleccionamos el conjunto de
máquinas de nuestra red local que pueden utilizar el Túnel (solo una Ip, una subnet o
un rango).
Paso 4: Remote Security Gateway Type. Si seleccionamos “IP OnlY” debemos añadir la
ip pública de la sede remota. Como en el apartado 2, podremos seleccionar otras
opciones, en cuyo caso, nos pedirá añadir otros datos para la autenticación entre los
extremos, estas opciones deben de coincidir con los configurados en este apartado.
Paso 5: Remote Security Group Type. En este apartado seleccionamos el conjunto de
máquinas de la red remota que serán accesibles a través del Túnel (solo una Ip, una
subnet o un rango).

Paso 6: IPSEC SETUP. Aquí configuramos las opciones de seguridad del túnel:
 Grupo DH para el de intercambio de claves compartidas.
 Algoritmo de encriptación: DES, 3DES, AES
 Algoritmo de autenticación: MD5, SHA1
 Clave compartida
 UT4. Práctica de laboratorio: Configuración de VPN sitio a sitio

Paso 7: Advanced+. En esta pestaña debemos marcar el NAT Transversal.

Dado que los paquetes de nuestra VPN deben atravesar otros router que hacen NAT (R11,
R3, R22), y el proceso NAT modifica los datagramas TCP y UDP, hecho que no se debe
realizar en un datagrama IPSEC, es necesario que el router que realiza el túnel envuelva los
paquetes IPSEC en un nuevo datagrama UDP que si pueda ser modificado por el NAT de los
siguientes router. Este proceso se denomina NAT-T y utiliza el puerto UDP 4500 como
fuente y destino.

NOTA: NO OLVIDAR APLICAR LOS CAMBIOS “Save”

Paso 7: Configura la VPN en la sede remota: Repetir los pasos del 1 al 6 en el RT214 de la
sede remota, para ellos habrá que introducir los valores adecuados de direcciones IP
intercambiando los valores de LOCAL y REMOTE, los algoritmos de intercambio de claves
compartidas, encriptación y autenticación deben ser los mismos en los dos extremos.

4. MAPEAR PUERTOS (port forwarding)

Paso 1: Mapear puertos NAT-T e IKE a la IP WAN de los RT214.
Como hemos comentado anteriormente los router R3, R11 y R22, realizan NAT con el fin de
que las máquinas de las dos sedes puedan salir a internet.
Para que los paquetes IPSEC del túnel puedan llegar a los interfaces WAN de los router
RT214 será necesario configurar un port forwarding en R11 y R22 para que derive los
paquetes que entren por sus interfaces serie a la ip WAN del router que encapsula y des
encapsula el túnel.
Los puertos utilizados por IPSEC son:
 Internet Key Exchange (IKE) - User Datagram Protocol (UDP) puerto 500
 Encapsulating Security Payload (ESP) - IP protocol number 50 puerto 4500
En nuestro caso, como utilizamos NAT-T solo será necesario:
 IPsec NAT-T - UDP puerto 4500 IPsec NAT-T - UDP puerto 4500
En R3 no será necesario realizar ningún mapeo de puertos, puesto que los paquetes IPsec-
NAT-T llevan como dirección ip destino, la dirección de la interface serie de R11 o R22 y
entre estas dos interfaces R3 no realiza NAT
 UT4. Práctica de laboratorio: Configuración de VPN sitio a sitio

5. CONECTAR EL TUNEL
Paso 1: Desde la pestaña Configuración del menú VPN veremos la información Summary,
en ellas podemos ver un resumen de la configuración del mismo, y la opción de conectar,
picando este botón empezara la negociación de apertura del mismo que tras unos
instantes nos informara del resultado de la conexión.

Paso 2: Probar la conectividad. Una vez abierto el túnel podremos hacer ping desde un pc
de la sede 1 a un pc de la sede 2 y viceversa, no olvide desactivar el cortafuegos de los pc
para que estos respondan al ping. Además, si existen carpetas compartidas en estos PC
podremos acceder a ellas si en la barra de dirección de explorador de archivos tecleamos
( //dirección_pc_remoto )