Spanish
|
Configurar un Server VPN
|
|||||||||
|
|
Orden
|
|
Tarea
|
|
Detalle
|
|
Comando
|
|
Ejemplo
|
| 1: Crear la politica ISAKMP para los VPN Client. | |||||||||
| firewall(config)# isakmp enable outside | |||||||||
| firewall(config)# isakmp policy 20 authentication pre-share | |||||||||
| firewall(config)# isakmp policy 20 encryption des | |||||||||
| firewall(config)# isakmp policy 20 hash sha | |||||||||
| firewall(config)# isakmp policy 20 group 2; | |||||||||
| Nota: Con DH Group 5 el Cisco VPN Client suele traer problemas para conectar. | |||||||||
| 2: Definir un pool de direcciones IP. | |||||||||
| *Estas seran asignadas a los clientes que utilicen direccionamiento por DHCP | |||||||||
| firewall(config)# ip local pool my_pool 192.168.11.1-192.168.11.254 | |||||||||
| 3: Definir la politica de grupo. | |||||||||
| Configurar el tipo de tunnel group. | |||||||||
| *Nombrar el tunnel-group y definir el tipo de conexion VPN que sera establecida | |||||||||
| tunnel-group name type type | |||||||||
| firewall(config)# tunnel-group my_tunnel type ipsec-ra | |||||||||
| Configurar la clave pre-shared. | |||||||||
| *Definir una pre-shared key | |||||||||
| firewall(config)# tunnel-group my_tunnel ipsec-attributes | |||||||||
| firewall(config-ipsec)# pre-shared-key my_password | |||||||||
| Especifiquar el pool de direcciones locales. | |||||||||
| *Asociar un rango de direcciones IP | |||||||||
| address-pool [interface name] address_pool1 [...address_pool6] | |||||||||
| firewall(config)# tunnel-group my_tunnel general-attributes | |||||||||
| firewall(config-general)# address-pool my_pool | |||||||||
| Configurar el tipo de group policy. | |||||||||
| group-policy {name internal [from group-policy name]} | |||||||||
| firewall(config)# group-policy my_tunnel internal | |||||||||
| Ingresar al submodo group-policy attributes. | |||||||||
| group-policy {name} attributes | |||||||||
| firewall(config)# group-policy my_tunnel attributes | |||||||||
| firewall(config-group-policy)# | |||||||||
| Definir el servidor DNS. | |||||||||
| dns-server {value ip_address [ip_address] | none} | |||||||||
| firewall(config-group-policy)# dns-server value 192.168.0.15 | |||||||||
| Definir el servidor WINS. | |||||||||
| wins-server value {ip_address} [ip_address] | none | |||||||||
| firewall(config-group-policy)# wins-server value 192.168.0.15 | |||||||||
| Definir el nombre de dominio DNS. | |||||||||
| default-domain {value domain-name | none} | |||||||||
| firewall(config-group-policy)# default-domain value mi_dominio | |||||||||
| Definir el idle timeout. | |||||||||
| vpn-idle-timeout {minutes | none} | |||||||||
| firewall(config-group-policy)# vpn-idle-timeout 600 | |||||||||
| 4: Crear el transform set. | |||||||||
| crypto ipsec transform-set transform_name transform1 [transform2]] | |||||||||
| firewall(config)# crypto ipsec transform-set remoteuser1 esp-des esp-sha-hmac | |||||||||
| 5: Crear el crypto map dinamico. | |||||||||
| crypto dynamic-map my_dynmap dynamic-seq-num set transform-set transform_name1 [...9] | |||||||||
| firewall(config)# crypto dynamic-map dyna-map 10 set transform-set remoteuser1 | |||||||||
| 6: Asignar el crypto map dinamico a un crypto map estatico. | |||||||||
| crypto map map-name seq-num ipsec-isakmp dynamic my_dynmap | |||||||||
| firewall(config)# crypto map user-map 10 ipsec-isakmp dynamic dyna-map | |||||||||
| 7: Apliquar el crypto map a una interfaz. | |||||||||
| crypto map map-name interface nombre_interface | |||||||||
| firewall(config)# crypto map user-map interface outside | |||||||||
| 8: Configurar Xauth. | |||||||||
| Habilitar la autenticacion AAA. | |||||||||
| aaa-server server-tag protocol server-protocol | |||||||||
| firewall(config)# aaa-server mytacacs protocol tacacs+ | |||||||||
| firewall(config-aaa-server-group)# | |||||||||
| Definir la IP del server AAA y la clave de encripcion. | |||||||||
| aaa-server server-tag [(interface-name)] host server-ip [key] [timeout seconds] | |||||||||
| firewall(config)# aaa-server mytacacs (inside) host 192.168.0.15 my_password timeout 5 | |||||||||
| firewall(config-aaa-server-host)# | |||||||||
| Habilitar IKE Xauth para el tunnel group. | |||||||||
| authentication-server-group [(interface name)] server group [LOCAL | NONE] | |||||||||
| firewall(config)# tunnel-group my_tunnel general-attributes | |||||||||
| firewall(config-general)# authentication-server-group mytacacs | |||||||||
| 9: Configurar NAT y NAT 0. | |||||||||
| firewall(config)# access-list 101 permit ip 192.168.0.0 255.255.255.0 172.16.11.0 255.255.255.0 | |||||||||
| firewall(config)# nat (inside) 0 access-list 101 | |||||||||
| firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0 | |||||||||
| firewall(config)# global (outside) 1 interface | |||||||||
| *Los paquetes que mapeen con la access-list 101 viajaran encriptados con nat0 | |||||||||
| *Los paquetes que no mapeen serán enviados en texto plano con NAT/Global | |||||||||
| 10: Habilitar IKE Keepalive | |||||||||
| isakmp keepalive [threshold seconds] [retry seconds] [disable] | |||||||||
| firewall(config)# tunnel-group my_tunnel ipsec-attributes | |||||||||
| firewall(config-ipsec)# isakmp keepalive threshold 30 retry 10 | |||||||||