Configurar VPN Server PIX/ASA

Configurar un Server VPN
 
Orden
 
Tarea
 
Detalle
 
Comando
 
Ejemplo
                   
1: Crear la politica ISAKMP para los VPN Client.
  firewall(config)# isakmp enable outside
  firewall(config)# isakmp policy 20 authentication pre-share
  firewall(config)# isakmp policy 20 encryption des
  firewall(config)# isakmp policy 20 hash sha
  firewall(config)# isakmp policy 20 group 2;
      Nota: Con DH Group 5 el Cisco VPN Client suele traer problemas para conectar.
                   
2: Definir un pool de direcciones IP.
  *Estas seran asignadas a los clientes que utilicen direccionamiento por DHCP
      firewall(config)# ip local pool my_pool 192.168.11.1-192.168.11.254
 
3: Definir la politica de grupo.
Configurar el tipo de tunnel group.
  *Nombrar el tunnel-group y definir el tipo de conexion VPN que sera establecida
    tunnel-group name type type
      firewall(config)# tunnel-group my_tunnel type ipsec-ra
 
Configurar la clave pre-shared.
  *Definir una pre-shared key
      firewall(config)# tunnel-group my_tunnel ipsec-attributes
      firewall(config-ipsec)# pre-shared-key my_password
 
Especifiquar el pool de direcciones locales.
  *Asociar un rango de direcciones IP
    address-pool [interface name] address_pool1 [...address_pool6]
      firewall(config)# tunnel-group my_tunnel general-attributes
      firewall(config-general)# address-pool my_pool
 
Configurar el tipo de group policy.
    group-policy {name internal [from group-policy name]}
      firewall(config)# group-policy my_tunnel internal
 
Ingresar al submodo group-policy attributes.
    group-policy {name} attributes
      firewall(config)# group-policy my_tunnel attributes
      firewall(config-group-policy)#
 
Definir el servidor DNS.
    dns-server {value ip_address [ip_address] | none}
      firewall(config-group-policy)# dns-server value 192.168.0.15
 
Definir el servidor WINS.
    wins-server value {ip_address} [ip_address] | none
      firewall(config-group-policy)# wins-server value 192.168.0.15
 
Definir el nombre de dominio DNS.
    default-domain {value domain-name | none}
      firewall(config-group-policy)# default-domain value mi_dominio
 
Definir el idle timeout.
    vpn-idle-timeout {minutes | none}
      firewall(config-group-policy)# vpn-idle-timeout 600
 
4: Crear el transform set.
    crypto ipsec transform-set transform_name transform1 [transform2]]
      firewall(config)# crypto ipsec transform-set remoteuser1 esp-des esp-sha-hmac
 
5: Crear el crypto map dinamico.
    crypto dynamic-map my_dynmap dynamic-seq-num set transform-set transform_name1 [...9]
      firewall(config)# crypto dynamic-map dyna-map 10 set transform-set remoteuser1
 
6: Asignar el crypto map dinamico a un crypto map estatico.
    crypto map map-name seq-num ipsec-isakmp dynamic my_dynmap
      firewall(config)# crypto map user-map 10 ipsec-isakmp dynamic dyna-map
 
7: Apliquar el crypto map a una interfaz.
    crypto map map-name interface nombre_interface
      firewall(config)# crypto map user-map interface outside
 
8: Configurar Xauth.
Habilitar la autenticacion AAA.
    aaa-server server-tag protocol server-protocol
      firewall(config)# aaa-server mytacacs protocol tacacs+
      firewall(config-aaa-server-group)#
 
Definir la IP del server AAA y la clave de encripcion.
    aaa-server server-tag [(interface-name)] host server-ip [key] [timeout seconds]
      firewall(config)# aaa-server mytacacs (inside) host 192.168.0.15 my_password timeout 5
      firewall(config-aaa-server-host)#
 
Habilitar IKE Xauth para el tunnel group.
    authentication-server-group [(interface name)] server group [LOCAL | NONE]
      firewall(config)# tunnel-group my_tunnel general-attributes
      firewall(config-general)# authentication-server-group mytacacs
 
9: Configurar NAT y NAT 0.
      firewall(config)# access-list 101 permit ip 192.168.0.0 255.255.255.0 172.16.11.0 255.255.255.0
      firewall(config)# nat (inside) 0 access-list 101
      firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0
      firewall(config)# global (outside) 1 interface
  *Los paquetes que mapeen con la access-list 101 viajaran encriptados con nat0
  *Los paquetes que no mapeen serán enviados en texto plano con NAT/Global
 
10: Habilitar IKE Keepalive
    isakmp keepalive [threshold seconds] [retry seconds] [disable]
      firewall(config)# tunnel-group my_tunnel ipsec-attributes
      firewall(config-ipsec)# isakmp keepalive threshold 30 retry 10
                   

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General