Documente Academic
Documente Profesional
Documente Cultură
acceso remoto
Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Problema: una configuracin de VPN IPSec no funciona
Soluciones
Activacin de NAT-Traversal (problema VPN RA n 1)
Prueba de conectividad correcta
Activacin de ISAKMP
Borrado de las asociaciones de seguridad (tneles) antiguas o existentes
Activacin de seales de mantenimiento de ISAKMP
Reintroduccin de claves previamente compartidas
Eliminacin y reemplazo de mapas de cifrados
Verificacin de la presencia de comandos sysopt (slo PIX/ASA)
Verificacin de que las ACL son correctas
Verificacin de que el enrutamiento es correcto
Verificacin de nmeros de secuencia del mapa de cifrado
Desactivacin de XAUTH para pares L2L
Problema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros recursos
Soluciones
Tnel dividido
Devolucin de llamadas
Acceso LAN local
Introduccin
Este documento contiene las soluciones ms comunes para los problemas de VPN IPSec. Estas soluciones provienen directamente de las
solicitudes de servicio que el Sitio de Soporte de Cisco ha resuelto. Muchas de estas soluciones pueden implementarse antes de profundizar en la
resolucin de problemas relacionados con una conexin VPN IPSec. Por tanto, este documento se ha diseado como una lista de control de los
procedimientos ms comunes que se deben llevar a cabo antes de intentar resolver el problema o ponerse en contacto con el Sitio de Soporte de
Cisco.
Nota: A pesar de que los ejemplos de configuracin de este documento se han diseado para routers y dispositivos de seguridad, casi todos los
conceptos aqu contenidos pueden aplicarse a un concentrador VPN 3000.
Nota: Puede buscar cualquier comando que contenga este documento mediante la herramienta Command Lookup Tool (slo para clientes
registrados).
Advertencia: Muchas de las soluciones contenidas en este documento pueden causar una prdida temporal de conectividad VPN IPSec en
un dispositivo. Se recomienda implementar estas soluciones con sumo cuidado y siguiendo las polticas de control de cambios pertinentes.
Requisitos previos
Requerimientos
Cisco recomienda poseer ciertos conocimientos acerca de estos temas:
Configuracin de VPN IPSec en dispositivos de Cisco:
Dispositivo de seguridad de la serie PIX 500 de Cisco
Dispositivo de seguridad de la serie ASA 5500 de Cisco
Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
Dispositivo de seguridad de la serie ASA 5500 de Cisco
Dispositivo de seguridad de la serie PIX 500 de Cisco
Cisco IOS
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.
Soluciones
Esta seccin contiene soluciones a los problemas de VPN IPSec ms comunes. Aunque no estn enumeradas siguiendo un orden en particular,
estas soluciones pueden servir como una lista de control de elementos que se deben verificar o probar antes de pasar a una resolucin de
problemas ms exhaustiva o ponerse en contacto con el Sitio de Soporte de Cisco. Todas estas soluciones provienen directamente de solicitudes
de servicio del Sitio de Soporte de Cisco y han resuelto numerosos problemas de los clientes.
Nota: Algunos de los comandos de estas secciones se han separado en dos lneas debido a problemas de espacio.
En esta situacin, se debe originar un ping desde la red "interna" detrs de cualquiera de los routers. Esto se debe a que las ACL de cifrado slo
estn configuradas para cifrar trfico con esas direcciones de origen. Un ping originado desde las interfaces orientadas a Internet de cualquiera de
los routers no se cifrar. Utilice las opciones extendidas del comando ping del modo EXEC con privilegios para originar un ping desde la interfaz
"interna" de un router:
routerA# ping
Protocol [ip]:
Target IP address: 192.168.200.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.100.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Imagine que los routers de este diagrama se han reemplazado con dispositivos de seguridad PIX o ASA. El ping que se utiliza para probar la
conectividad tambin se puede originar desde la interfaz interna con la palabra clave inside:
securityappliance# ping inside 192.168.200.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Nota: No se recomienda dirigir la interfaz interna de un dispositivo de seguridad mediante ping. Si debe dirigir una interfaz interna mediante
ping, deber activar management-access en dicha interfaz o el dispositivo no responder.
securityappliance(config)# management-access inside
Activacin de ISAKMP
Si no existen indicaciones de ninguna activacin en un tnel de VPN IPSec, puede deberse a que ISAKMP no est activado. Asegrese de activar
ISAKMP en los dispositivos. Utilice uno de estos comandos para activar ISAKMP en los dispositivos:
Cisco IOS
router(config)#crypto isakmp enable
Cisco PIX 7.1 y versiones anteriores (reemplace outside con la interfaz deseada)
pix(config)# isakmp enable outside
Cisco PIX/ASA 7.2(1) y versiones posteriores (reemplace outside con la interfaz deseada)
securityappliance(config)# crypto isakmp enable outside
Advertencia: A menos que especifique qu asociaciones de seguridad desea borrar, los comandos a continuacin pueden borrar todas las
asociaciones de seguridad del dispositivo. Acte con precaucin si hay algn otro tnel de VPN IPSec en uso.
1. Revise las asociaciones de seguridad antes de borrarlas.
a. Cisco IOS
router#show crypto isakmp sa
router#show crypto ipsec sa
Nota: Estos comandos son los mismos para Cisco PIX 6.x y PIX/ASA 7.x
2. Borre las asociaciones de seguridad. Cada uno de los comandos se puede introducir como se indica en negrita o con las opciones que se
muestran con ellos.
a. Cisco IOS
a. ISAKMP (fase I)
router#clear crypto isakmp ?
<0 - 32766> connection id of SA
<cr>
router#clear crypto sa ?
counters Reset the SA counters
map
Clear all SAs for a given crypto map
peer
Clear all SAs for a given crypto peer
spi
Clear SA by SPI
<cr>
Clear
Clear
Clear
Clear
IPsec
IPsec
IPsec
IPsec
SA counters
SAs by entry
SAs by map
SA by peer
Utilice estos comandos para configurar las seales de mantenimiento de ISAKMP en los dispositivos de seguridad de PIX/ASA:
Cisco PIX 6.x
pix(config)# isakmp keepalive 15
Advertencia: Si elimina comandos relacionados con el cifrado, es probable que desactive uno o todos los tneles de VPN. Utilice estos
comandos con precaucin y consulte la poltica de control de cambios de su organizacin antes de seguir con estos pasos.
Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 o el grupo
vpngroup en IOS:
VPN LAN a LAN de Cisco
router(config)# no crypto isakmp key secretkey
address 10.0.0.1
router(config)# crypto isakmp key secretkey
address 10.0.0.1
Utilice estos comandos para eliminar e introducir de nuevo la clave previamente compartida secretkey para el par 10.0.0.1 en los
dispositivos de seguridad PIX/ASA:
Cisco PIX 6.x
pix(config)# no isakmp key secretkey address 10.0.0.1
pix(config)# isakmp key secretkey address 10.0.0.1
Advertencia: Si elimina un mapa de cifrado de una interfaz, se desactivan de manera definitiva todos los tneles IPSec asociados a
dicho mapa de cifrado. Siga estos pasos con precaucin y tenga en cuenta la poltica de control de cambios de su organizacin antes de proceder.
Reemplace el mapa de cifrado en la interfaz Ethernet0/0 para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para
un mapa de cifrado:
router(config)# crypto map mymap 10 ipsec-isakmp
router(config-crypto-map)# match address 101
router(config-crypto-map)# set transform-set mySET
router(config-crypto-map)# set peer 10.0.0.1
router(config-crypto-map)# exit
router(config)# interface ethernet0/0
router(config-if)# crypto map mymap
Utilice estos comandos para eliminar y reemplazar un mapa de cifrado en PIX o ASA:
Comience con la eliminacin del mapa de cifrado de la interfaz. Utilice la forma no del comando crypto map.
securityappliance(config)# no crypto map mymap interface outside
Contine utilizando la forma no para eliminar los comandos del otro mapa de cifrado.
securityappliance(config)# no crypto map mymap 10 match
address 101
securityappliance(config)# no crypto map mymap set
transform-set mySET
securityappliance(config)# no crypto map mymap set
peer 10.0.0.1
Reemplace el mapa de cifrado para el par 10.0.0.1. Este ejemplo muestra la configuracin mnima necesaria para un mapa de cifrado:
securityappliance(config)#
securityappliance(config)#
match address 101
securityappliance(config)#
transform-set mySET
securityappliance(config)#
peer 10.0.0.1
securityappliance(config)#
no
no
no
no
sysopt
sysopt
sysopt
sysopt
nodnsalias outbound
radius ignore-secret
uauth allow-http-cache
connection permit-ipsec
Utilice estos comandos para activar el comando sysopt correcto para el dispositivo:
Cisco PIX 6.x y PIX/ASA 7.0
pix(config)# sysopt connection permit-ipsec
En este ejemplo, se configura un PIX para liberar trfico que se enva entre 192.168.100.0 /24 y 192.168.200.0 /24 o 192.168.1.0 /24
desde NAT. El resto de trfico depende de la sobrecarga de NAT:
access-list noNAT extended permit ip 192.168.100.0
255.255.255.0 192.168.200.0 255.255.255.0
Asegrese de que las ACL no estn configuradas en sentido inverso y que son el tipo correcto.
Las ACL de exencin NAT y de cifrado para configuraciones LAN a LAN se deben escribir desde la perspectiva del dispositivo en
el que se configura la ACL. Esto significa que las ACL deben reflejarse unas a otras. En este ejemplo, se configura un tnel LAN a
LAN entre 192.168.100.0 /24 y 192.168.200.0 /24.
Nota: Aunque no se ilustra en el presente documento, tambin se puede aplicar el mismo concepto a los dispositivos de seguridad
PIX y ASA.
Las ACL de tnel divido para configuraciones de acceso remoto deben ser listas de acceso estndar que permitan trfico hacia la red
a la que los clientes VPN necesitan acceso.
Cisco IOS
router(config)# access-list 10 permit ip 192.168.100.0
router(config)#crypto isakmp client configuration group MYGROUP
router(config-isakmp-group)#acl 10
En una implementacin VPN, uno de los componentes clave del enrutamiento es la inyeccin de ruta inversa (RRI). La RRI coloca entradas
dinmicas para redes remotas o clientes VPN en la tabla de enrutamiento de una puerta de enlace VPN. Estos routers son tiles para el dispositivo
en los que se encuentran instalados, as como para otros dispositivos en la red, porque las rutas instaladas por RRI se pueden redistribuir a travs
de un protocolo de enrutamiento como EIGRP u OSPF.
En una configuracin LAN a LAN es importante que cada punto extremo tenga una ruta o rutas hacia las redes para las que se supone que
se cifra el trfico. En este ejemplo, el router A debe tener rutas hacia las redes detrs del router B a travs de 10.89.129.2. El router B debe
tener una ruta similar a 192.168.100.0 /24:
La primera manera de comprobar que cada router conoce las rutas apropiadas consiste en configurar rutas estticas para cada red de
destino. Por ejemplo, el router A puede tener configuradas las siguientes declaraciones de ruta:
ip
ip
ip
ip
ip
route
route
route
route
route
10.89.129.2
10.89.129.2
10.89.129.2
10.89.129.2
outside
outside
outside
outside
outside
10.89.129.2
10.89.129.2
10.89.129.2
10.89.129.2
Si existe un mayor nmero de redes detrs de cada punto extremo, la configuracin de rutas estticas puede llegar a ser difcil de
mantener. Como alternativa, se recomienda utilizar la inyeccin de ruta inversa, como se indica. La RRI coloca en la tabla de
enrutamiento rutas para todas las redes remotas incluidas en la ACL de cifrado. Por ejemplo, la ACL de cifrado y el mapa de cifrado
del router A pueden ser as:
access-list 110
192.168.200.0
access-list 110
192.168.210.0
access-list 110
192.168.220.0
access-list 110
192.168.230.0
permit ip
0.0.0.255
permit ip
0.0.0.255
permit ip
0.0.0.255
permit ip
0.0.0.255
192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255
192.168.100.0 0.0.0.255
map
map
map
map
myMAP
myMAP
myMAP
mymap
10
10
10
10
En una configuracin de acceso remoto, los cambios de ruta no son siempre necesarios. A pesar de ello, si existen otros routers detrs del
router de puerta de enlace VPN o del dispositivo de seguridad, es necesario que dichos routers conozcan de alguna manera la ruta hacia los
clientes VPN. En este ejemplo se supone que a los clientes VPN se les asignan direcciones en el intervalo de 10.0.0.0 /24 cuando se
conectan.
Si no se utiliza ningn protocolo de enrutamiento entre la puerta de enlace y otros routers, se pueden utilizar rutas estticas en routers como
el router 2:
ip route 10.0.0.0 255.255.255.0 192.168.100.1
Si se utiliza un protocolo de enrutamiento como EIGRP u OSPF entre la puerta de enlace y otros routers, se recomienda que la inyeccin
de ruta inversa se utilice como se describe. La RRI agrega de manera automtica rutas para el cliente VPN en la tabla de enrutamiento de la
puerta de enlace. Estas rutas se pueden distribuir a los dems routers de la red.
Router Cisco IOS:
crypto dynamic-map dynMAP 10
set transform-set mySET
reverse-route
crypto map myMAP 60000 ipsec-isakmp dynamic dynMAP
Problema: los usuarios de acceso remoto se conectan a la VPN y no tienen acceso a otros
recursos
Los usuarios de acceso remoto no tienen conectividad con Internet una vez que se han conectado a la VPN.
Los usuarios de acceso remoto no pueden acceder a los recursos ubicados detrs de otras VPN en el mismo dispositivo.
Los usuarios de acceso remoto slo pueden tener acceso a la red local.
Soluciones
Tnel dividido
La tunelizacin dividida (split-tunneling) permite a los usuarios IPSec de acceso remoto dirigir condicionalmente paquetes a travs del tnel
IPSec de forma cifrada, o bien dirigir paquetes no cifrados a una interfaz de red en donde se enrutan a un destino final. La tunelizacin dividida
(split-tunneling) est desactivada de forma predeterminada, con lo que se cuenta con el trfico de toda la tunelizacin.
Para obtener ejemplos detallados acerca de la configuracin de la tunelizacin dividida (split-tunneling), consulte:
PIX/ASA 7.x y cliente VPN para Internet pblico con una sola interfaz (en ingls)
Router y cliente VPN para Internet pblico con una sola interfaz (en ingls)
Devolucin de llamadas
Esta caracterstica se utiliza para el trfico VPN que entra en una interfaz pero, a continuacin, se enruta fuera de la misma. Por ejemplo, si tiene
una red VPN radial (hub and spoke), donde el dispositivo de seguridad es la estrella (hub) y las redes VPN remotas son los radios (spoke), para
que un radio se comunique con otro, el trfico debe dirigirse hacia el dispositivo de seguridad y, a continuacin, salir hacia el otro radio.
Utilice la configuracin same-security-traffic para permitir que el trfico entre y salga de la misma interfaz.
securityappliance(config)# same-security-traffic permit intra-interface