Seguridad y alta disponibilidad
1 Gabriel Montañés León
VPN sitio a sitio
Simulación VPN sitio a sitio, utilizando Packet Tracer
Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1
Con el primer comando lo que vamos a hacer es crear una nueva política IKE, cada política se identifica por su
número de prioridad, en nuestro caso vamos a ponerle la prioridad más alta que es 1.
Con el segundo comando lo que vamos a especificar es el algoritmo de cifrado que vamos a utilizar
El tercer comando elegimos el algoritmo de hash que vamos a usar
El cuarto comando determina el método de autenticación
El quinto comando se especifica el identificador de grupo diffie-hellman
El sexto comando determinamos el tiempo de vida de la asociación de seguridad
Con el séptimo comando salimos para volver al modo de configuración global
El octavo comando lo que hacemos es elegir la identidad ISAKMP que el router usara en las negociaciones IKE, pero
este comando como podemos ver en la imagen no funciona y ya no podemos continuar realizando la vpn de sitio a
sitio
Seguridad y alta disponibilidad
2 Gabriel Montañés León
VPN sitio a sitio armario ccp Nos creamos un usuario para poder configurar el router de forma CCP.
Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar.
Después pulsamos ok.
Seguridad y alta disponibilidad
3 Gabriel Montañés León
Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.
Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos
modificar y configurar las carpetas de la barra izquierda.
Pulsamos sobre la opción vpn sitio a sitio y se nos mostrara la imagen de la derecha.
Seguridad y alta disponibilidad
4 Gabriel Montañés León
Pulsamos "Launch the selected task", pulsamos la segunda opción y seguimos el asistente.
Ahora introducimos los siguientes datos:
- Seleccionamos la interfaz por donde va a realizarse la VPN. - Ponemos la dirección remota al router R1. - Ponemos una contraseña para compartir (cisco12345)
Seguridad y alta disponibilidad
5 Gabriel Montañés León
Configuramos la política de IKE que se utilizan para configurar el canal de control entre los dos puntos finales de VPN
para el intercambio de claves.
Seguridad y alta disponibilidad
6 Gabriel Montañés León
El conjunto de transformación es la directiva IPsec se utiliza para cifrar hash y autenticarse paquetes que pasan a
través del túnel.
Debemos definir el trafico interesante para ser protegida a través del túnel VPN. El trafico interesante se define a
través de una lista de acceso aplicada al router.
Para eso ingresamos las direcciones en la siguiente ventana:
Seguridad y alta disponibilidad
7 Gabriel Montañés León
Podemos ver un resumen de lo configurado:
Finalmente lo guardamos pulsando en el checkbox.
Ahora hacemos un espejo que consiste en realizar la misma configuración pero en el otro router.
Seguridad y alta disponibilidad
8 Gabriel Montañés León
Ahora para comprobar que funciona pulsamos en la opción “test tunnel”.
Seguridad y alta disponibilidad
9 Gabriel Montañés León
Ponemos la dirección de destino y le damos a continue
Le damos a test tunnel y esperamos a que chequee el proceso, vemos que el tunnel esta up
Seguridad y alta disponibilidad
10 Gabriel Montañés León
VPN de acceso remoto Simulación VPN de acceso remoto, utilizando Packet Tracer.
Este es el escenario donde vamos a ralizar una vpn de acceso remoto
El primer comando lo que hacemos es que creamos un grupo de direcciones ip para que se puedan conectar los
clientes
Con el siguiente comando lo que hacemos es activar la funcionalidad aaa
Con el siguiente definimos la lista de métodos de autenticación cuando un usuario hace login
El siguiente comando establece los parámetros que restringen el acceso de los usuarios a la red
El ultimo comando creamos una cuenta de usuario que usaran los cliente vpn para autenticarse en el servidor
El primer comando crea una nuevo política IKE, cada política se identifica por el numero de prioridad
El segundo comando especificamos el algoritmo de cifrado a utilizar
Con el tercer comando elegimos el algoritmo hash a usar
Con el ultimo comando determinamos el método de autenticacion
Seguridad y alta disponibilidad
11 Gabriel Montañés León
El primer comando especificamos el identificador de grupo diffie-hellman
El segundo comando crea un grupo IKE para los clientes VPN
El tercer comando establece el secreto compartido para el grupo
El último comando selecciona el rango de direcciones para los clientes
El primer comando establece las políticas de seguridad IPSEC que se usaran en las comunicaciones
El segundo comando crea un crypto map dinamico que se usa cuando la IP del host remoto no se conoce, como es
en este caso de vpn de acceso remoto
El tercer comando asocia el transfor set VPNSET al crypto map dinamico
El ultimo comando activa el reverse router injection
El primer comando configura un crypto map estatico que puede ser asociado a una interfaz
El segundo comando define el conjunto de usuarios con permisos de autenticación
El tercer comando establece el grupo de usuarios y los parámetros de acceso a la red
El cuarto comando asocia el crypto map dinamico creado para los clientes de acceso remoto
Con el primer comando accedemos a la interfaz por la que se conectaran los clientes VPN
El segundo Asociamos el crypto map a la interfaz
Seguridad y alta disponibilidad
12 Gabriel Montañés León
Nos vamos a la parte de conexión vpn y rellenamos los campos que nos hacen falta para podernos conectar, y como
vemos en la imagen no nos deja conectarnos ya que nos da conexión timed out
VPN de acceso remoto armario ccp
Nos creamos un usuario para poder configurar el router de forma CCP.
Seguridad y alta disponibilidad
13 Gabriel Montañés León
Después abrimos la aplicación e introducimos el usuario y contraseña creada con la dirección Ip a configurar.
Después pulsamos ok.
Se nos mostrara la siguiente pantalla donde pulsaremos a discover sobre la ip a configurar.
Después pulsamos al botón configure situada en la esquina superior izquierda y podremos ver que podemos
modificar y configurar las carpetas de la barra izquierda.
Seguridad y alta disponibilidad
14 Gabriel Montañés León
Nos vamos a Security > Firewall, marcamos la opcion de basic firewall y le damos a launch the search task
Marcamos la interfaz que va a estar dentro y fuera del router 1 y le damos a siguiente
Seguridad y alta disponibilidad
15 Gabriel Montañés León
Ponemos la seguridad a nivel bajo del firewall y le damos a siguiente
Permitimos las actualizaciones de eigrp a través del firewall y le damos a siguiente
Seguridad y alta disponibilidad
16 Gabriel Montañés León
Marcamos la opción para que se guarden las configuraciones en el router y le damos a deliver
Nos vamos a security > firewall > vpn > easy vpn server, le damos a launch
Seguridad y alta disponibilidad
17 Gabriel Montañés León
Pulsamos la casilla de guardar la configuración en el router y le damos a deliver para que tengan efecto los cambios
Nos saldrá esta pantalla de bienvenida, le damos a siguiente
Seguridad y alta disponibilidad
18 Gabriel Montañés León
Marcamos la opción de unnumbered to y seleccionamos el serial, le damos a siguiente
Seleccionamos el que viene por defecto y le damos a siguiente
Seguridad y alta disponibilidad
19 Gabriel Montañés León
Seleccionamos el que viene por defecto y le damos a siguiente
Seleccionamos la opción del método local y le damos a siguiente
Seguridad y alta disponibilidad
20 Gabriel Montañés León
Habilitamos la autenticación por usuarios, luego marcamos la opción de solo local
Añadimos los usuarios con su contraseña y ponemos el nivel de privilegios en 1 y Ok
Seguridad y alta disponibilidad
21 Gabriel Montañés León
Creamos el grupo y le ponemos la contraseña, ponemos un rango de direcciones que se pueden conectar a la red a
través de la vpn por acceso remoto
Habilitamos el grupo y en el id túnel ponemos un 1
Seguridad y alta disponibilidad
22 Gabriel Montañés León
En esta pantalla le damos a Ok
Nos aparece un resumen y le damos a finalizar
Seguridad y alta disponibilidad
23 Gabriel Montañés León
Marcamos la casilla para que se guarden la configuración en el router y le damos a deliver
Le damos a test tunnel y start, esperamos a que termine el chequeo y vemos que testa el túnel up
Seguridad y alta disponibilidad
24 Gabriel Montañés León
VPN sobre red local
WINDOWS XP
Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server
Nos vamos a mis sitios de red y le vamos a dar a ver conexiones de red
Ahora le vamos a dar a crear una conexión nueva
Nos aparecerá este asistente que es para crear una conexión nueva y le damos a siguiente
Seguridad y alta disponibilidad
25 Gabriel Montañés León
En esta pantalla lo que hacemos es marcar la opción de configurar una conexión avanzada y le damos a
siguiente
Aquí le vamos a marcar la primera opción que es aceptar las conexiones entrantes y le damos a siguiente
En esta ventana le vamos a dar a siguiente sin marcar nada
Seguridad y alta disponibilidad
26 Gabriel Montañés León
En esta ventana vamos a marcar la opción de permitir conexiones privadas virtuales y le damos a siguiente
En esta ventana vamos a elegir un usuario con privilegios de los que tenemos ya creados o como en
nuestro caso nos vamos a crear un usuario que va a ser con el que nos vamos a identificar al realizar la
conexión remota
Aquí como podemos ver ya tenemos nuestro usuario con el que nos vamos a conectar creado, le damos a
siguiente.
Seguridad y alta disponibilidad
27 Gabriel Montañés León
En esta ventana nos muestra los protocolos que usara la conexión para permitir el acceso remoto, dejamos
todo como esta y le damos a siguiente
Hacemos clic en finalizar para terminar el asistente de la nueva conexión
Aquí podemos ver en mis sitios de red como se ha creado una conexión nueva
Seguridad y alta disponibilidad
28 Gabriel Montañés León
WINDOWS 2003 SERVER
Para instalar el servicio le vamos a dar a administre su servidor
Nos saldrá esta pantalla, le daremos a agregar o quitar función
Seguridad y alta disponibilidad
29 Gabriel Montañés León
Primero nos saldrá un asistente y le daremos a siguiente hasta llegar a esta pantalla, aquí vamos a seleccionar
servidor de acceso remoto y le vamos a dar a siguiente
Nos saldrá un asistente para instalar el servicio, le damos a siguiente
En esta pantalla le vamos a dar a la opción de configuración personalizada y le damos a siguiente
Seguridad y alta disponibilidad
30 Gabriel Montañés León
Marcamos las opciones que vamos a habilitar y le damos a siguiente
Le damos a finalizar para terminar el asistente
Cuando le damos a finalizar nos sale un mensaje y le decimos si para iniciar el servicio
Seguridad y alta disponibilidad
31 Gabriel Montañés León
Una vez instalado nos vamos a inicio > herramientas administrativas > enrutamiento y acceso remoto
Aquí podemos ver la configuración de nuestro servidor VPN
Ahora nos vamos a inicio > herramientas administrativas > administración de equipo y le vamos a dar de alta a un
usuario para que tenga permisos de acceso remoto para conectarse a la VPN
Seguridad y alta disponibilidad
32 Gabriel Montañés León
Nos vamos a usuarios y grupos y vamos a agregar un usuario nuevo
Rellenamos los campos y marcamos la opción de que la contraseña nunca caduca y le damos a crear
Nos ponemos sobre el usuario que hemos creado y le damos botón derecho > propiedades, nos vamos a la pestaña
de control remoto y marcamos la opción de habilitar el control remoto
Seguridad y alta disponibilidad
33 Gabriel Montañés León
Ahora nos vamos a la pestaña de marcado y marcamos la opción de permitir acceso y aceptamos
Instalación de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal,…).
Instalamos el servidor vpn con el siguiente comando: apt-get install pptpd
Nos vamos al fichero de configuración /etc/ppp/pptpd-options y vamos a escribir la siguientes líneas que no vemos
comentadas en el fichero de configuración
Seguridad y alta disponibilidad
34 Gabriel Montañés León
Vamos comentar todas las líneas del fichero menos esta línea que vemos al final ya que hemos escrito las líneas que
nos hacían falta al principio del fichero como vemos en la imagen anterior
Nos vamos al fichero de configuración /etc/pptpd.conf y vamos a descomentar las siguientes líneas:
ppp /usr/sbin/pppd
Option /etc/ppp/pptpd-options
Seguimos bajando en el fichero y descomentamos la lines:
Logwtmp
Seguridad y alta disponibilidad
35 Gabriel Montañés León
Nos vamos al final del fichero y vamos a configurar las siguientes líneas que vemos descomentadas
Nos vamos al fichero de configuración /etc/ppp/chap-secrets y configuramos la siguiente línea, esa línea significa
que usuariovpn es el usuario con el que nos conectaremos a la red vpn gabriel es el nombre de la red vpn, inves la
contraseña con la que vamos a acceder y * es que con cualquier ip pueden acceder a la red vpn
Ahora vamos a reiniciar el servicio vpn con el siguiente comando: /etc/init.d/pptpd restart
Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN.
Windows
Nos vamos a conexiones de red y le decimos crear una conexión nueva
Seguridad y alta disponibilidad
36 Gabriel Montañés León
Nos saldrá un asistente, le daremos a siguiente y nos aparecerá esta ventana y vamos a seleccionar la opción de
conectarse a la red de mi lugar de trabajo y le damos a siguiente
En esta ventana vamos a seleccionar la opción de conexión de red privada virtual y le damos a siguiente
Le ponemos un nombre y le damos a siguiente
Seguridad y alta disponibilidad
37 Gabriel Montañés León
Ponemos la dirección ip del servidor VPN y le damos a siguiente
En esta ventana nos sale el nombre que le hemos puesto a la conexión y marcamos la opción de agregar un acceso
directo al escritorio de la conexión y le damos a finalizar
Ponemos el nombre de usuario y la contraseña del usuario que nos creamos en el servidor, en nuestro caso lo
estamos realizando con el servidor de Windows 2003 server y le damos a conectar
Seguridad y alta disponibilidad
38 Gabriel Montañés León
Ahora nos vamos a las conexiones de red y podemos ver cómo estamos conectados al servidor VPN
Linux
Nos vamos a las conexiones de red y le damos a añadir para crear una vpn nueva
Elegimos el único tipo de conexión que nos da que es de punto a punto
Seguridad y alta disponibilidad
39 Gabriel Montañés León
Donde pone pasarla le pondremos la dirección ip del servidor vpn, luego pondremos usuario y contraseña y le damos
a guardar y abrimos el network manager y le damos a conectar
Configurar el router Linksys RV200 como un servidor VPN sobre red local.
Nos vamos a la pestaña vpn client Access ponemos el nombre de usuario y la contraseña, le damos
add/save
Seguridad y alta disponibilidad
40 Gabriel Montañés León
Nos saldrá esta pantalla y pondremos la dirección ip y la submascara y le daremos a save settings para
guardar los cambios
Cuando tenemos esto configurado ya nos tenemos que ir a un cliente y configurarlo para poder
conectarnos
Configurar el router Linksys RV042 como un servidor VPN sobre red local.
Nos vamos a vpn y le damos a client to Gateway, marcamos la opción de tunnel y le ponemos un nombre como
vemos en la imagen y en la interface le dejamos la WAN1
En el desplegable vamos a seleccionar la opción de solo ip y nos saldrá la dirección ip que tengamos configurada en
nuestro router, luego pondremos la dirección ip con la que va a tener nuestra subred y la máscara, luego volvemos a
seleccionar solo ip y ponemos la dirección ip del equipo con el que vamos a hacer la vpn
Seguridad y alta disponibilidad
41 Gabriel Montañés León
En esta parte lo que podemos ver son configuraciones de seguridad que las dejaremos como vienen en la
imagen y le daremos a save settings para guardar los cambios.
Ahora nos iremos al cliente y configuraremos el software necesario para podernos conectar.