Interconectando sucursales mediante una VPN IPsec Site-to-Site

Paulo Colomés October 7, 2010 1 Comment

En este artículo mostraré como levantar una conexión VPN de tipo site-to-site que permite
interconectar dos redes LAN geográficamente distantes a través de Internet de manera segura.
Este tipo de configuración es ideal para interconectar sucursales de una compañía que tienen
distintos ISPs para salir a Internet.

El caso de interconexiones de sucursales es bastante recurrente y se debe emplear una

solución que permita tener a todos los empleados sincronizados en la red remota y además
que la conexión cuando pase por Internet desde A hacia B se haga mediante un túnel seguro
(cifrado) para prevenir problemas de interceptación de las transacciones.

Algunas cosas que hay que saber antes de configurar son, por ejemplo, que IPsec es un
estándar de la industria, por lo que no solamente funciona bien en routers Cisco, si no que
también en Huawei, Juniper, Routers Linux, Windows, entre varios. Uno de los componentes
principales de IPsec es IKE (Internet Key Exchange) el cual tiene como objetivo intercambiar
información entre los peers involucrados. La información que intercambia Router_A con
Router_B va desde las claves precompartidas (Preshared Key) hasta el tipo de algoritmos de
hash y cifrado que se utilizarán (AES, DES, 3DES, MD5, SHA, etc).

Además existe ISAKMP (Internet Security Association and Key Management Protocol) que se
encarga de establecer el túnel entre las dos LAN remotas.

Los paquetes cifrados con IPsec pueden utilizar AH (Authentication Header) o ESP (Encryption
Security Payload). Con AH, solamente se protege el encabezado del paquete IP y utiliza el
protocolo IP 51 (no puerto TCP ni UDP), mientras que ESP cifra el paquete completo
incluyendo la carga útil de las capas superiores (payload), utilizando el protocolo IP 50.

Pasos para configurar la VPN IPsec de tipo site-to-site

1. Se define la fase 1 de IKE (ISAKMP Policy)

2. Se define la fase 2 de IKE (Transform Set)

3. Definir una ACL para seleccionar el tráfico que se irá por la VPN

4. Crear un Crypto Map para asociar los pasos 1, 2 y 3 a una interface de salida
Configuración Router_A

!Fase IKE 1
Router_A(config)# crypto isakmp policy 10
Router_A(config-isakmp)# authentication pre-share
Router_A(config-isakmp)# hash sha
Router_A(config-isakmp)# encryption aes 256
Router_A(config-isakmp)# group 2
Router_A(config-isakmp)# lifetime 86400
Router_A(config-isakmp)# exit
Router_A(config)# crypto isakmp key PASSWORD address 200.2.2.2
!Fase IKE 2
Router_A(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_A(config)# access-list 102 permit ip 192.168.1.0 255.255.255.0 192.168.2.0
255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_A(config)# crypto map CMAP1 10 ipsec-isakmp
Router_A(config-crypto-map)# set peer 200.2.2.2
Router_A(config-crypto-map)# match address 102
Router_A(config-crypto-map)# set transform-set MyTS
Router_A(config-crypto-map)# exit
Router_A(config)# interface f0/0
Router_A(config-if)# crypto map CMAP1

Configuración Router_B

!Fase IKE 1
Router_B(config)# crypto isakmp policy 10
Router_B(config-isakmp)# authentication pre-share
Router_B(config-isakmp)# hash sha
Router_B(config-isakmp)# encryption aes 256
Router_B(config-isakmp)# group 2
Router_B(config-isakmp)# lifetime 86400
Router_B(config-isakmp)# exit
Router_B(config)# crypto isakmp key PASSWORD address 200.2.2.1
!Fase IKE 2
Router_B(config)# crypto ipsec transform-set MyTS esp-aes esp-sha-hmac
!Definir ACL de tráfico interesante
Router_B(config)# access-list 102 permit ip 192.168.2.0 255.255.255.0 192.168.1.0
255.255.255.0
!crear Crypto MAP y aplicarlo a la interfaz de salida del router hacia Internet
Router_B(config)# crypto map CMAP1 10 ipsec-isakmp
Router_B(config-crypto-map)# set peer 200.2.2.1
Router_B(config-crypto-map)# match address 102
Router_B(config-crypto-map)# set transform-set MyTS
Router_B(config-crypto-map)# exit
Router_B(config)# interface f0/0
Router_B(config-if)# crypto map CMAP1
Con eso ya se tiene un túnel entre sucursales funcionando. Para verificar que los paquetes
generados desde una LAN a la otra efectivamente se estén cifrando con IPsec (pkts encaps,
pkts decaps, pkts encrypt, pkts decrypt)

Router_A# show crypto ipsec sa

interface: FastEthernet0/0
Crypto map tag: CMAP1, local addr 200.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0)
current_peer 200.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
#pkts decaps: 13, #pkts decrypt: 13, #pkts verify: 13
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
local crypto endpt.: 200.1.1.1, remote crypto endpt.: 200.2.2.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x8590D11F(2240860447)