Router Cisco conectar cliente VPN haciendo NAT

Como utilizar un router de Cisco para conectarse por VPN a tu red local.
Como software cliente podemos utilizar el propietartio de Cisco "Cisco VPN Client", que solo funciona hasta Windows 7 u otro como Shrew Soft VPN Client (probado con Windows 8.1) que es el que utilizaremos.

Disponemos en este caso de un router Cisco 1841, con la versión 12.4 de IOS, está configurado para dar conexión a Internet a una red local.
Se trata de un router que tiene 2 puertos FastEthernet y un módulo de ADSL que no utilizamos(no soporta ADSL2+ y ya no funciona en la mayoría de ADSL's).

Esquema de red

tunel

 

Para implementar una VPN IPSec se necesita establecer dos túneles IKE Phase 1 e IKE Phase 2 (solo se establece si la Phase 1 ha sido exitosa).

Partiendo del router preconfigurado para la acceso a Internet de la red local, empezamos a configurar la VPN en router.
Recuerda que para configurar tienes que ser admnin y debes introducir antes el comando configure terminal y ver el prompt Router(config)#

IKE ISAKMP Phase 1

Comandos:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

Explicación de los comandos:

crypto isakmp policy 1 --> Creamos una política isakmp con el número 1
encr 3des --> Le decimos el tipo de encriptación que vamos a utilizar
 authentication pre-share --> Le decimos como nos vamos a autenticar, en este caso con una contraseña compartida, la vemos en el siguiente paso.
group 2 --> Le asignamos un grupo
crypto isakmp client configuration address-pool local dynpool --> Le decimos el rango de IP's que vamos a asignar a los clientes que se conecten, más adelante lo crearemos.
crypto isakmp xauth timeout 60 --> el tiempo de espera para autenticarse

Definimos un grupo (hw-client-groupname) para los clientes y la clave compartida que mencioné antes (hw-client-password), los DNS que configura, el nombre de dominio que asigna,el pool de direcciones (dynpool) y una ACL que controla el tráfico (acl 101):

crypto isakmp client configuration group hw-client-groupname
 key hw-client-password
 dns 8.8.8.8 8.8.4.4
 domain local.com
 pool dynpool
 acl 101

IKE ISAKMP Phase 2

Comandos:

crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap

Con estos comandos:
Creamos un transform-set (transform-1) y le decimos la encriptación soportada (esp-3des esp-sha-hmac)
Creamos un mapa de encriptado dinámico (dynmap), le asignamos el transform-set creado (transform-1) en la segunda línea de comandos y en la tercera habilitamos la creación de rutas estáticas automáticamente.
Luego le decimos que usuarios se pueden autenticar con usuario y contraseña, en este caso los creados en el router, que pertenezcan al grupo "hw-client-groupname".

Nos queda asignar el mapa de encriptado "dynmap" a la interfaz publica en este caso FastEthernet 0/0

interface Fastethernet 0/0
crypto map dynmap

Con esto tenemos lista la configuración de las 2 fases, solo nos queda crear el pool de direcciones que se asignan a los clientes y las ACL's para controlar el tráfico.

En la configuración de la fase 1 configuramos "dynpool" como pool de direcciones para los clientes que se conecten, llegó la hora de crearlo:

ip local pool dynpool 192.168.200.10 192.168.200.30

Con este pool asignará las direcciones desde la 10 hasta la 30.

Creamos la access-list 101, que configuramos también en la fase 1, para permitir el tráfico desde la LAN (192.168.10.0/24)  a la red de clientes (192.168.200.0/24)

access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255

Por último la access-list 111, para que el tráfico destinado a la red de clientes (192.168.200.0/24) desde la LAN (192.168.10.0/24) no sea nateado a Internet y vaya por el tunel.

access-list 111 deny ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 111 permit ip any any

Tenemos el router listo, vamos a configurar el cliente.

 

Configuración del cliente VPN

 A Continuación los pantallazos de la configuración del Shrew Soft VPN Client, que se puede bajar aquí

En el primer pantallazo aparece la IP 192.168.1.253 que es la WAN del router, para probar desde la misma ubicación, sustituir por la IP pública de Internet o nombre FQDN (si no tenemos IP fija, lo hacemos con un servicio del tipo noip.com)

 shrew 1shrew 2

shrew 3shrew 5

shrew 6shrew 1

 

Aquí dejo:

TXT con la configuración del router

Configuración VPN de Shrew para importar directamente

 




Joomla templates by a4joomla