Download pdf - Resolucion de Problemas VPN Ipsec Cisco

Transcript

  • Resolucin de los problemas ms comunes con VPN IPSec L2L y deacceso remoto

    ContenidoIntroduccin Requisitos previos Requerimientos Componentes utilizados ConvencionesProblema: una configuracin de VPN IPSec no funciona Soluciones Activacin de NAT-Traversal (problema VPN RA n 1) Prueba de conectividad correcta Activacin de ISAKMP Borrado de las asociaciones de seguridad (tneles) antiguas o existentes Activacin de seales de mantenimiento de ISAKMP Reintroduccin de claves previamente compartidas Eliminacin y reemplazo de mapas de cifrados Verificacin de la presencia de comandos sysopt (slo PIX/ASA) Verificacin de que las ACL son correctas Verificacin de que el enrutamiento es correcto Verificacin de nmeros de secuencia del mapa de cifrado Desactivacin de XAUTH para pares L2LProblema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros recursos Soluciones Tnel dividido Devolucin de llamadas Acceso LAN local

    IntroduccinEste documento contiene las soluciones ms comunes para los problemas de VPN IPSec. Estas soluciones provienen directamente de lassolicitudes de servicio que el Sitio de Soporte de Cisco ha resuelto. Muchas de estas soluciones pueden implementarse antes de profundizar en laresolucin de problemas relacionados con una conexin VPN IPSec. Por tanto, este documento se ha diseado como una lista de control de losprocedimientos ms comunes que se deben llevar a cabo antes de intentar resolver el problema o ponerse en contacto con el Sitio de Soporte deCisco.

    Nota: A pesar de que los ejemplos de configuracin de este documento se han diseado para routers y dispositivos de seguridad, casi todos losconceptos aqu contenidos pueden aplicarse a un concentrador VPN 3000.

    Nota: Puede buscar cualquier comando que contenga este documento mediante la herramienta Command Lookup Tool (slo para clientesregistrados).

    Advertencia: Muchas de las soluciones contenidas en este documento pueden causar una prdida temporal de conectividad VPN IPSec enun dispositivo. Se recomienda implementar estas soluciones con sumo cuidado y siguiendo las polticas de control de cambios pertinentes.

    Requisitos previosRequerimientos

    Cisco recomienda poseer ciertos conocimientos acerca de estos temas:

    Configuracin de VPN IPSec en dispositivos de Cisco:

    Dispositivo de seguridad de la serie PIX 500 de CiscoDispositivo de seguridad de la serie ASA 5500 de Cisco

  • Routers de Cisco IOSConcentradores de la serie VPN 3000 de Cisco (opcional)

    Componentes utilizados

    La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:

    Dispositivo de seguridad de la serie ASA 5500 de CiscoDispositivo de seguridad de la serie PIX 500 de CiscoCisco IOS

    La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivosque se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de habercomprendido el impacto que puede tener cualquier comando.

    Convenciones

    Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.

    Problema: una configuracin de VPN IPSec no funcionaUna solucin de VPN IPSec recientemente configurada o modificada no funciona.

    Una configuracin actual de VPN IPSec no funciona.

    SolucionesEsta seccin contiene soluciones a los problemas de VPN IPSec ms comunes. Aunque no estn enumeradas siguiendo un orden en particular,estas soluciones pueden servir como una lista de control de elementos que se deben verificar o probar antes de pasar a una resolucin deproblemas ms exhaustiva o ponerse en contacto con el Sitio de Soporte de Cisco. Todas estas soluciones provienen directamente de solicitudesde servicio del Sitio de Soporte de Cisco y han resuelto numerosos problemas de los clientes.

    Nota: Algunos de los comandos de estas secciones se han separado en dos lneas debido a problemas de espacio.

    Activacin de NAT-Traversal (problema VPN RA n 1)

    NAT-Traversal o NAT-T permite que el trfico VPN pase a travs de los dispositivos NAT o PAT, como un router Linksys SOHO. Si NAT-T noest activada, a menudo parece que los usuarios del cliente VPN pueden conectarse a PIX o ASA sin problemas, pero no pueden acceder a la redinterna detrs del dispositivo de seguridad.

    Nota: Con IOS 12.2(13)T y versiones posteriores, NAT-T est activada de forma predeterminada en IOS.

    ste es el comando para activar NAT-T en un dispositivo de seguridad de Cisco. En este ejemplo, 20 es el tiempo de seal de mantenimiento(predeterminado).

    PIX/ASA 7.1 y versiones anteriores

    pix(config)# isakmp nat-traversal 20PIX/ASA 7.2(1) y versiones posteriores

    securityappliance(config)# crypto isakmp nat-traversal 20

    Nota: Este comando es el mismo para PIX 6.x y PIX/ASA 7.x.

    Prueba de conectividad correcta

    Lo adecuado es que la conectividad VPN se pruebe desde dispositivos ubicados detrs de los dispositivos de puntos finales que realizan elcifrado. A pesar de ello, muchos usuarios prueban de conectividad VPN mediante el comando ping en los dispositivos que realizan el cifrado.Aunque el comando ping normalmente funciona para este propsito, es importante que se origine desde la interfaz correcta. Si el ping no seorigina correctamente, puede parecer que la conexin VPN falla cuando en realidad funciona. Tome este escenario como ejemplo:

  • ACL de cifrado en router A

    access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

    ACL de cifrado en router B

    access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

    En esta situacin, se debe originar un ping desde la red "interna" detrs de cualquiera de los routers. Esto se debe a que las ACL de cifrado sloestn configuradas para cifrar trfico con esas direcciones de origen. Un ping originado desde las interfaces orientadas a Internet de cualquiera delos routers no se cifrar. Utilice las opciones extendidas del comando ping del modo EXEC con privilegios para originar un ping desde la interfaz"interna" de un router:

    routerA# pingProtocol [ip]:Target IP address: 192.168.200.10Repeat count [5]:Datagram size [100]:Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 192.168.100.1Type of service [0]:Set DF bit in IP header? [no]:Validate reply data? [no]:Data pattern [0xABCD]:Loose, Strict, Record, Timestamp, Verbose[none]:Sweep range of sizes [n]:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:Packet sent with a source address of 192.168.100.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    Imagine que los routers de este diagrama se han reemplazado con dispositivos de seguridad PIX o ASA. El ping que se utiliza para probar laconectividad tambin se puede originar desde la interfaz interna con la palabra clave inside:

    securityappliance# ping inside 192.168.200.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    Nota: No se recomienda dirigir la interfaz interna de un dispositivo de seguridad mediante ping. Si debe dirigir una interfaz interna medianteping, deber activar management-access en dicha interfaz o el dispositivo no responder.

    securityappliance(config)# management-access inside

    Activacin de ISAKMP

    Si no existen indicaciones de ninguna activacin en un tnel de VPN IPSec, puede deberse a que ISAKMP no est activado. Asegrese de activarISAKMP en los dispositivos. Utilice uno de estos comandos para activar ISAKMP en los dispositivos:

    Cisco IOS

    router(config)#crypto isakmp enableCisco PIX 7.1 y versiones anteriores (reemplace outside con la interfaz deseada)

    pix(config)# isakmp enable outsideCisco PIX/ASA 7.2(1) y versiones posteriores (reemplace outside con la interfaz deseada)

    securityappliance(config)# crypto isakmp enable outside

    Borrado de las asociaciones de seguridad (tneles) antiguas o existentes

    Borrar las asociaciones de seguridad (SA) ISKAMP (fase I) y IPSec (fase II) es la forma ms simple, y a menudo la mejor, de resolver problemasde VPN IPSec. Si borra las SA, puede resolver una gran variedad de mensajes de error y comportamientos extraos sin necesidad de acudir a laresolucin de problemas. A pesar de que esta tcnica se puede emplear fcilmente en cualquier situacin, casi siempre es necesario borrar las SAuna vez modificadas o agregadas a una configuracin VPN IPSec actual. Adems, aunque es posible borrar slo determinadas asociaciones de

  • seguridad, lo ms recomendable es borrar todas las AS del dispositivo.

    Nota: Una vez que se han borrado las asociaciones de seguridad, puede que sea necesario enviar trfico a travs del tnel para poderreestablecerlas.

    Advertencia: A menos que especifique qu asociaciones de seguridad desea borrar, los comandos a continuacin pueden borrar todas lasasociaciones de seguridad del dispositivo. Acte con precaucin si hay algn otro tnel de VPN IPSec en uso.

    Revise las asociaciones de seguridad antes de borrarlas.1.

    Cisco IOSa.

    router#show crypto isakmp sarouter#show crypto ipsec sa

    Dispositivos de seguridad Cisco PIX/ASAb.

    securityappliance# show crypto isakmp sasecurityappliance# show crypto ipsec sa

    Nota: Estos comandos son los mismos para Cisco PIX 6.x y PIX/ASA 7.x

    Borre las asociaciones de seguridad. Cada uno de los comandos se puede introducir como se indica en negrita o con las opciones que semuestran con ellos.

    2.

    Cisco IOSa.

    ISAKMP (fase I)a.

    router#clear crypto isakmp ? connection id of SA

    IPSec (fase II)b.

    router#clear crypto sa ? counters Reset the SA counters map Clear all SAs for a given crypto map peer Clear all SAs for a given crypto peer spi Clear SA by SPI

    Dispositivos de seguridad Cisco PIX/ASAb.

    ISAKMP (fase I)a.

    securityappliance# clear crypto isakmp sa

    IPSec (fase II)b.

    security appliance# clear crypto ipsec sa ?

    counters Clear IPsec SA counters entry Clear IPsec SAs by entry map Clear IPsec SAs by map peer Clear IPsec SA by peer

    Activacin de seales de mantenimiento de ISAKMP

    La configuracin de seales de mantenimiento de ISAKMP contribuye a evitar interrupciones espordicas de tneles de VPN LAN a LAN, ascomo la interrupcin de tneles LAN a LAN tras un perodo de inactividad. Esta caracterstica permite que el punto extremo del tnel supervisela presencia continua de un par remoto e informe de su propia presencia a dicho par. Si el par deja de responder, el punto extremo elimina laconexin. Ambos puntos extremos de VPN deben admitir las seales de mantenimiento de ISAKMP para que stas funcionen.

    Configure las seales de mantenimiento de ISAKMP en ISO mediante el siguiente comando:

  • router(config)# crypto isakmp keepalive 15Utilice estos comandos para configurar las seales de mantenimiento de ISAKMP en los dispositivos de seguridad de PIX/ASA:

    Cisco PIX 6.x

    pix(config)# isakmp keepalive 15Cisco PIX/ASA 7.x, para el grupo de tneles designado 10.165.205.222

    securityappliance(config)# tunnel-group 10.165.205.222 ipsec-attributes

    securityappliance(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10

    Reintroduccin de claves previamente compartidas

    En muchos casos, un simple error tipogrfico puede ser la causa de que un tnel de VPN IPSec no se active. Por ejemplo, en el dispositivo deseguridad, las claves previamente compartidas se ocultan una vez que se han introducido. Esta confusin hace imposible comprobar si la clave esincorrecta. Asegrese de que ha introducido correctamente todas las claves previamente compartidas en cada punto extremo de VPN.Vuelva a introducir una clave para asegurarse de que es correcta; sta es una solucin sencilla que puede evitar pasar a una resolucin deproblemas ms exhaustiva.

    Advertencia: Si elimina comandos relacionados con el cifrado, es probable que desactive uno o todos los tneles de VPN. Utilice estoscomandos con precaucin y consulte la poltica de control de cambios de su organizacin antes de seguir con estos pasos.

    Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 o el grupovpngroup en IOS:

    VPN LAN a LAN de Cisco

    router(config)# no crypto isakmp key secretkey address 10.0.0.1router(config)# crypto isakmp key secretkey address 10.0.0.1

    VPN de acceso remoto de Cisco

    router(config)# crypto isakmp client configuration group vpngrouprouter(config-isakmp-group)# no key secretkeyrouter(config-isakmp-group)# key secretkey

    Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 en losdispositivos de seguridad PIX/ASA:

    Cisco PIX 6.x

    pix(config)# no isakmp key secretkey address 10.0.0.1pix(config)# isakmp key secretkey address 10.0.0.1

    Cisco PIX/ASA 7.x

    securityappliance(config)# tunnel-group 10.0.0.1 ipsec-attributessecurityappliance(config-tunnel-ipsec)# no pre-shared-keysecurityappliance(config-tunnel-ipsec)# pre-shared-key secretkey

    Eliminacin y reemplazo de mapas de cifrados

    Si borra asociaciones de seguridad, pero no se resuelve un problema de VPN IPSec, elimine y reemplace el mapa de cifrado pertinente pararesolver una amplia variedad de problemas.

    Advertencia: Si elimina un mapa de cifrado de una interfaz, se desactivan de manera definitiva todos los tneles IPSec asociados adicho mapa de cifrado. Siga estos pasos con precaucin y tenga en cuenta la poltica de control de cambios de su organizacin antes de proceder.

  • Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en IOS:

    Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.

    router(config-if)# no crypto map mymap

    Contine utilizando la forma no para eliminar un mapa de cifrado completo.

    router(config)# no crypto map mymap 10

    Reemplace el mapa de cifrado en la interfaz Ethernet0/0 para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria paraun mapa de cifrado:

    router(config)# crypto map mymap 10 ipsec-isakmprouter(config-crypto-map)# match address 101router(config-crypto-map)# set transform-set mySETrouter(config-crypto-map)# set peer 10.0.0.1router(config-crypto-map)# exitrouter(config)# interface ethernet0/0router(config-if)# crypto map mymap

    Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en PIX o ASA:

    Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.

    securityappliance(config)# no crypto map mymap interface outside

    Contine utilizando la forma no para eliminar los comandos del otro mapa de cifrado.

    securityappliance(config)# no crypto map mymap 10 match address 101securityappliance(config)# no crypto map mymap set transform-set mySETsecurityappliance(config)# no crypto map mymap set peer 10.0.0.1

    Reemplace el mapa de cifrado para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para un mapa de cifrado:

    securityappliance(config)# crypto map mymap 10 ipsec-isakmpsecurityappliance(config)# crypto map mymap 10 match address 101securityappliance(config)# crypto map mymap 10 set transform-set mySETsecurityappliance(config)# crypto map mymap 10 set peer 10.0.0.1securityappliance(config)# crypto map mymap interface outside

    Verificacin de la presencia de comandos sysopt (slo PIX/ASA)

    Los comandos sysopt connection permit-ipsec y sysopt connection permit-vpn permiten que los paquetes del tnel IPSec y sus cargas tileseludan las ACL de la interfaz del dispositivo de seguridad. Los tneles IPSec que finalizan en el dispositivo de seguridad pueden fallar si uno deestos comandos no est activado.

    En las versiones 7.0 y anteriores del software del dispositivo de seguridad, el comando sysopt pertinente para esta situacin es sysopt connectionpermit-ipsec.

    En las versiones 7.1(1) y posteriores del software del dispositivo de seguridad, el comando sysopt pertinente para esta situacin es sysoptconnection permit-vpn.

    En PIX 6.x, esta funcionalidad est desactivada de manera predeterminada. En PIX/ASA 7.0(1) y versiones posteriores, esta funcionalidad estactivada de manera predeterminada. Utilice estos comandos show para determinar si el comando sysopt pertinente est activado en eldispositivo:

    Cisco PIX 6.x1.

    pix# show sysoptno sysopt connection timewaitsysopt connection tcpmss 1380sysopt connection tcpmss minimum 0no sysopt nodnsalias inbound

  • no sysopt nodnsalias outboundno sysopt radius ignore-secretno sysopt uauth allow-http-cacheno sysopt connection permit-ipsec

    !--- sysopt connection permit-ipsec is disabled

    no sysopt connection permit-pptpno sysopt connection permit-l2tpno sysopt ipsec pl-compatible

    Cisco PIX/ASA 7.x2.

    securityappliance# show running-config sysoptno sysopt connection timewaitsysopt connection tcpmss 1380sysopt connection tcpmss minimum 0no sysopt nodnsalias inboundno sysopt nodnsalias outboundno sysopt radius ignore-secretsysopt connection permit-vpn

    !--- sysopt connection permit-vpn is enabled!--- This device is running 7.2(2)

    Utilice estos comandos para activar el comando sysopt correcto para el dispositivo:

    Cisco PIX 6.x y PIX/ASA 7.0

    pix(config)# sysopt connection permit-ipsecCisco PIX/ASA 7.1(1) y posteriores

    securityappliance(config)# sysopt connection permit-vpn

    Verificacin de que las ACL son correctas

    En una configuracin VPN IPSec tpica se utilizan dos listas de acceso. Una de las listas de acceso sirve para liberar trfico destinado al tnel deVPN desde el proceso NAT. La otra lista de acceso define qu trfico se debe cifrar; esto incluye una ACL de cifrado en una configuracin LANa LAN o una ACL de tunelizacin dividida (split-tunneling) en una configuracin de acceso remoto. Cuando estas ACL no estn o se encuentranconfiguradas incorrectamente, el trfico no se enviar al tnel de VPN o fluir slo en una nica direccin a travs de ste.

    Asegrese de que ha configurado todas las listas de acceso necesarias para completar la configuracin de VPN IPSec y que dichas listas deacceso definen el trfico correcto. Esta lista contiene elementos simples que debe comprobar si sospecha que una ACL es la causa de losproblemas que est experimentando con VPN IPSec.

    Asegrese de que la exencin de NAT y las ACL de cifrado especifican el trfico correcto.Si tiene varios tneles de VPN y varias ACL de cifrado, asegrese de que dichas ACL no se superponen.No reutilice las ACL. Aunque la ACL de exencin de NAT y la ACL de cifrado especifiquen el mismo trfico, utilice dos listas de accesodiferentes.Asegrese de que el dispositivo est configurado para utilizar la ACL de exencin de NAT. En un router, esto significa que debe utilizar elcomando route-map. En PIX o ASA, esto significa que debe utilizar el comando nat (0). Se necesita una ACL de exencin de NAT paraconfiguraciones LAN a LAN y de acceso remoto.

    En el siguiente ejemplo, se configura un router IOS para liberar trfico que se enva entre 192.168.100.0 /24 y 192.168.200.0 /24 o192.168.1.0 /24 desde NAT. El trfico destinado a cualquier otro sitio depende de la sobrecarga de NAT:

    access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255access-list 110 permit ip 192.168.100.0 0.0.0.255 any

    route-map nonat permit 10 match ip address 110

    ip nat inside source route-map nonat interface FastEthernet0/0 overloadEn este ejemplo, se configura un PIX para liberar trfico que se enva entre 192.168.100.0 /24 y 192.168.200.0 /24 o 192.168.1.0 /24desde NAT. El resto de trfico depende de la sobrecarga de NAT:

    access-list noNAT extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0

  • access-list noNAT extended permit ip 192.168.100.0 255.255.255.0 192.168.1.0 255.255.255.0

    nat (inside) 0 access-list noNATnat (inside) 1 0.0.0.0 0.0.0.0

    global (outside) 1 interfaceAsegrese de que las ACL no estn configuradas en sentido inverso y que son el tipo correcto.

    Las ACL de exencin NAT y de cifrado para configuraciones LAN a LAN se deben escribir desde la perspectiva del dispositivo enel que se configura la ACL. Esto significa que las ACL deben reflejarse unas a otras. En este ejemplo, se configura un tnel LAN aLAN entre 192.168.100.0 /24 y 192.168.200.0 /24.

    ACL de cifrado en router A

    access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

    ACL de cifrado en router B

    access-list 110 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

    Nota: Aunque no se ilustra en el presente documento, tambin se puede aplicar el mismo concepto a los dispositivos de seguridadPIX y ASA.

    Las ACL de tnel divido para configuraciones de acceso remoto deben ser listas de acceso estndar que permitan trfico hacia la reda la que los clientes VPN necesitan acceso.

    Cisco IOS

    router(config)# access-list 10 permit ip 192.168.100.0router(config)#crypto isakmp client configuration group MYGROUProuter(config-isakmp-group)#acl 10

    Cisco PIX 6.x

    pix(config)# access-list 10 permit 192.168.100.0 255.255.255.0pix(config)# vpngroup MYGROUP split-tunnel 10

    Cisco PIX/ASA 7.x

    securityappliance(config)# access-list 10 standard permit 192.168.100.0 255.255.255.0securityappliance(config)# group-policy MYPOLICY internalsecurityappliance(config)# group-policy MYPOLICY attributessecurityappliance(config-group-policy)# split-tunnel-policy tunnelspecifiedsecurityappliance(config-group-policy)# split-tunnel-network-list value 10

    Verificacin de que el enrutamiento es correcto

    El enrutamiento es una parte crtica de casi todas las implementaciones de VPN IPSec. Asegrese de que todos los dispositivos de cifrado, comorouters y dispositivos de seguridad PIX o ASA, cuentan con la informacin de enrutamiento necesaria para enviar trfico a travs del tnel deVPN. Asimismo, si existen otros routers detrs del dispositivo de puerta de enlace, asegrese de que dichos routers saben cmo llegar al tnel yqu redes se encuentran en el otro lado.

  • En una implementacin VPN, uno de los componentes clave del enrutamiento es la inyeccin de ruta inversa (RRI). La RRI coloca entradasdinmicas para redes remotas o clientes VPN en la tabla de enrutamiento de una puerta de enlace VPN. Estos routers son tiles para el dispositivoen los que se encuentran instalados, as como para otros dispositivos en la red, porque las rutas instaladas por RRI se pueden redistribuir a travsde un protocolo de enrutamiento como EIGRP u OSPF.

    En una configuracin LAN a LAN es importante que cada punto extremo tenga una ruta o rutas hacia las redes para las que se supone quese cifra el trfico. En este ejemplo, el router A debe tener rutas hacia las redes detrs del router B a travs de 10.89.129.2. El router B debetener una ruta similar a 192.168.100.0 /24:

    La primera manera de comprobar que cada router conoce las rutas apropiadas consiste en configurar rutas estticas para cada red dedestino. Por ejemplo, el router A puede tener configuradas las siguientes declaraciones de ruta:

    ip route 0.0.0.0 0.0.0.0 172.22.1.1ip route 192.168.200.0 255.255.255.0 10.89.129.2ip route 192.168.210.0 255.255.255.0 10.89.129.2ip route 192.168.220.0 255.255.255.0 10.89.129.2ip route 192.168.230.0 255.255.255.0 10.89.129.2

    Si el router A se ha reemplazado con un PIX o ASA, la configuracin puede ser as:

    route outside 0.0.0.0 0.0.0.0 172.22.1.1route outside 192.168.200.0 255.255.255.0 10.89.129.2route outside 192.168.200.0 255.255.255.0 10.89.129.2route outside 192.168.200.0 255.255.255.0 10.89.129.2route outside 192.168.200.0 255.255.255.0 10.89.129.2

    Si existe un mayor nmero de redes detrs de cada punto extremo, la configuracin de rutas estticas puede llegar a ser difcil demantener. Como alternativa, se recomienda utilizar la inyeccin de ruta inversa, como se indica. La RRI coloca en la tabla deenrutamiento rutas para todas las redes remotas incluidas en la ACL de cifrado. Por ejemplo, la ACL de cifrado y el mapa de cifradodel router A pueden ser as:

    access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.210.0 0.0.0.255access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.220.0 0.0.0.255access-list 110 permit ip 192.168.100.0 0.0.0.255 192.168.230.0 0.0.0.255

    crypto map myMAP 10 ipsec-isakmpset peer 10.89.129.2reverse-route

    set transform-set mySETmatch address 110

    Si el router A se ha reemplazado con un PIX o ASA, la configuracin puede ser as:

    access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.210.0 255.255.255.0access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.220.0 255.255.255.0access-list cryptoACL extended permit ip 192.168.100.0 255.255.255.0 192.168.230.0 255.255.255.0

    crypto map myMAP 10 match address cryptoACLcrypto map myMAP 10 set peer 10.89.129.2crypto map myMAP 10 set transform-set mySETcrypto map mymap 10 set reverse-route

    En una configuracin de acceso remoto, los cambios de ruta no son siempre necesarios. A pesar de ello, si existen otros routers detrs delrouter de puerta de enlace VPN o del dispositivo de seguridad, es necesario que dichos routers conozcan de alguna manera la ruta hacia losclientes VPN. En este ejemplo se supone que a los clientes VPN se les asignan direcciones en el intervalo de 10.0.0.0 /24 cuando seconectan.

  • Si no se utiliza ningn protocolo de enrutamiento entre la puerta de enlace y otros routers, se pueden utilizar rutas estticas en routers comoel router 2:

    ip route 10.0.0.0 255.255.255.0 192.168.100.1

    Si se utiliza un protocolo de enrutamiento como EIGRP u OSPF entre la puerta de enlace y otros routers, se recomienda que la inyeccinde ruta inversa se utilice como se describe. La RRI agrega de manera automtica rutas para el cliente VPN en la tabla de enrutamiento de lapuerta de enlace. Estas rutas se pueden distribuir a los dems routers de la red.

    Router Cisco IOS:

    crypto dynamic-map dynMAP 10set transform-set mySETreverse-route

    crypto map myMAP 60000 ipsec-isakmp dynamic dynMAPDispositivo de seguridad Cisco PIX o ASA:

    crypto dynamic-map dynMAP 10 set transform-set mySETcrypto dynamic-map dynMAP 10 set reverse-route

    crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP

    Verificacin de nmeros de secuencia del mapa de cifrado

    Si los pares estticos y dinmicos estn configurados en el mismo mapa de cifrado, es muy importante el orden de las entradas del mapa decifrado. El nmero de secuencia de la entrada del mapa de cifrado dinmica debe ser mayor que el resto de entradas del mapa de cifradoestticas. Si estas entradas estticas se numeran con cifras superiores a las de la entrada dinmica, las conexiones con dichos pares fallarn.

    El siguiente ejemplo muestra un mapa de cifrado correctamente numerado que contiene una entrada esttica y una dinmica. Observe que laentrada dinmica presenta el nmero de secuencia ms alto y que se ha dejado espacio para agregar otras entradas estticas adicionales:

    crypto dynamic-map cisco 20 set transform-set mysetcrypto map mymap 10 match address 100crypto map mymap 10 set peer 172.16.77.10crypto map mymap 10 set transform-set mysetcrypto map mymap 60000 ipsec-isakmp dynamic cisco

    Desactivacin de XAUTH para pares L2L

    Si un tnel LAN a LAN y un tnel de VPN de acceso remoto se configuran en el mismo mapa de cifrado, se solicitar informacin XAUTH alpar LAN a LAN y el tnel LAN a LAN fallar.

    Nota: Este problema slo se aplica a Cisco IOS y PIX 6.x. Este problema no afecta a PIX/ASA 7.x, puesto que utiliza grupos de tneles.

    Utilice la palabra clave no-xauth cuando introduzca la clave isakmp, de forma que el dispositivo no solicite al par informacin XAUTH (nombrede usuario y contrasea). Esta palabra clave desactiva XAUTH para los pares IPSec estticos. Introduzca un comando similar a ste en eldispositivo que tenga VPN L2L y RA configurados en el mismo mapa de cifrado.

    router(config)# crypto isakmp key cisco123 address 172.22.1.164 no-xauth

    Problema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otrosrecursosLos usuarios de acceso remoto no tienen conectividad con Internet una vez que se han conectado a la VPN.

    Los usuarios de acceso remoto no pueden acceder a los recursos ubicados detrs de otras VPN en el mismo dispositivo.

    Los usuarios de acceso remoto slo pueden tener acceso a la red local.

  • SolucionesTnel dividido

    La tunelizacin dividida (split-tunneling) permite a los usuarios IPSec de acceso remoto dirigir condicionalmente paquetes a travs del tnelIPSec de forma cifrada, o bien dirigir paquetes no cifrados a una interfaz de red en donde se enrutan a un destino final. La tunelizacin dividida(split-tunneling) est desactivada de forma predeterminada, con lo que se cuenta con el trfico de toda la tunelizacin.

    split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

    Para obtener ejemplos detallados acerca de la configuracin de la tunelizacin dividida (split-tunneling), consulte:

    PIX/ASA 7.x y cliente VPN para Internet pblico con una sola interfaz (en ingls)Router y cliente VPN para Internet pblico con una sola interfaz (en ingls)

    Devolucin de llamadas

    Esta caracterstica se utiliza para el trfico VPN que entra en una interfaz pero, a continuacin, se enruta fuera de la misma. Por ejemplo, si tieneuna red VPN radial (hub and spoke), donde el dispositivo de seguridad es la estrella (hub) y las redes VPN remotas son los radios (spoke), paraque un radio se comunique con otro, el trfico debe dirigirse hacia el dispositivo de seguridad y, a continuacin, salir hacia el otro radio.

    Utilice la configuracin same-security-traffic para permitir que el trfico entre y salga de la misma interfaz.

    securityappliance(config)# same-security-traffic permit intra-interface

    Acceso LAN local

    Los usuarios de acceso remoto se conectan a la VPN y slo pueden conectarse a la red local.

    Para obtener ejemplos de configuracin ms detallados, consulte PIX/ASA 7.x: acceso a LAN local para clientes VPN (en ingls).

    1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

    Fecha de Generacin del PDF: 23 Marzo 2008

    http://www.cisco.com/cisco/web/support/LA/9/98/98015_common_ipsec_trouble.html


Recommended

Setup a L2TP over IPSec VPN Server on Linux - linux.vbird.orglinux.vbird.org/somepaper/20070830-setup_a_l2tp_over_ipsec_vpn_server... · Setup a L2TP over IPSec VPN Server on Linux
Setup a L2TP over IPSec VPN Server on Linux - linux.vbird.orglinux.vbird.org/somepaper/20070830-setup_a_l2tp_over_ipsec_vpn_server... · Setup a L2TP over IPSec VPN Server on Linux Documents
POLICE • IPSec VPN • PKI • IPSecVPN
POLICE • IPSec VPN • PKI • IPSecVPN Documents
第 6 章 VPN 和 IPSec
第 6 章 VPN 和 IPSec Documents
VPN IPSec sous Gnu/Linuxofppt.info/wp-content/uploads/2014/08/VPN-IPSec-sous-Gnu...VPN IPSec sous Gnu/Linux Document Millésime Page VPN IPSEC sous Gnu/Linux août 14 5 - 28 1.4. Informations
VPN IPSec sous Gnu/Linuxofppt.info/wp-content/uploads/2014/08/VPN-IPSec-sous-Gnu...VPN IPSec sous Gnu/Linux Document Millésime Page VPN IPSEC sous Gnu/Linux août 14 5 - 28 1.4. Informations Documents
hQÆRN« Q QM 9N }web.scut.edu.cn/_upload/article/files/2f/60/74c1adcc404196910d912… · PPP. Web 7.2 . GA/T 684—2007 IPSec VPN MPLS VPN Qos MPLS VPN VPN MPLS IPSec , 7.3 7.4
hQÆRN« Q QM 9N }web.scut.edu.cn/_upload/article/files/2f/60/74c1adcc404196910d912… · PPP. Web 7.2 . GA/T 684—2007 IPSec VPN MPLS VPN Qos MPLS VPN VPN MPLS IPSec , 7.3 7.4 Documents
Modulo 6 VPN Ipsec
Modulo 6 VPN Ipsec Documents
VPN IPSec Site-to-Multisite - MikroTik
VPN IPSec Site-to-Multisite - MikroTik Documents
リモート アクセス IPsec VPN の設定 - Cisco...CHAPTER 6-1 Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド 6 リモート アクセス IPsec VPN
リモート アクセス IPsec VPN の設定 - Cisco...CHAPTER 6-1 Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド 6 リモート アクセス IPsec VPN Documents
VPN IPSec Site-to-Multisite
VPN IPSec Site-to-Multisite Documents
VPN Ipsec Ubuntu
VPN Ipsec Ubuntu Documents
Howto-configurar Redes VPN Ipsec
Howto-configurar Redes VPN Ipsec Documents
Do an IPSec-VPN
Do an IPSec-VPN Documents
IPSec VPN SPA の VPN の設定 - Cisco...IPSec VPN SPA の VPN の設定 この章では、Cisco 7600 シリーズ ルータ上の IPSec VPN SPA に IP Security(IPSec)VPN を設定す
IPSec VPN SPA の VPN の設定 - Cisco...IPSec VPN SPA の VPN の設定 この章では、Cisco 7600 シリーズ ルータ上の IPSec VPN SPA に IP Security(IPSec)VPN を設定す Documents
Cliente VPN IPSec TheGreenBow - Manual de Usuario · El Cliente VPN IPSec TheGreenBow es un programa de VPN IPSec, compatible con todas las versiones de Windows, que permite establecer
Cliente VPN IPSec TheGreenBow - Manual de Usuario · El Cliente VPN IPSec TheGreenBow es un programa de VPN IPSec, compatible con todas las versiones de Windows, que permite establecer Documents
Implementasi Remote Desktop Melalui VPN Berbasis IPSec
Implementasi Remote Desktop Melalui VPN Berbasis IPSec Documents
VPN: SSL vs IPSEC
VPN: SSL vs IPSEC Technology
Cau Hinh VPN IPSec Tren Thiet Bi Cisco
Cau Hinh VPN IPSec Tren Thiet Bi Cisco Documents
VPN Ipsec Asa
VPN Ipsec Asa Documents