Spanish
Configurar un Server VPN
|
|||||||||
|
Orden
|
|
Tarea
|
|
Detalle
|
|
Comando
|
|
Ejemplo
|
1: Crear la politica ISAKMP para los VPN Client. | |||||||||
firewall(config)# isakmp enable outside | |||||||||
firewall(config)# isakmp policy 20 authentication pre-share | |||||||||
firewall(config)# isakmp policy 20 encryption des | |||||||||
firewall(config)# isakmp policy 20 hash sha | |||||||||
firewall(config)# isakmp policy 20 group 2; | |||||||||
Nota: Con DH Group 5 el Cisco VPN Client suele traer problemas para conectar. | |||||||||
2: Definir un pool de direcciones IP. | |||||||||
*Estas seran asignadas a los clientes que utilicen direccionamiento por DHCP | |||||||||
firewall(config)# ip local pool my_pool 192.168.11.1-192.168.11.254 | |||||||||
3: Definir la politica de grupo. | |||||||||
Configurar el tipo de tunnel group. | |||||||||
*Nombrar el tunnel-group y definir el tipo de conexion VPN que sera establecida | |||||||||
tunnel-group name type type | |||||||||
firewall(config)# tunnel-group my_tunnel type ipsec-ra | |||||||||
Configurar la clave pre-shared. | |||||||||
*Definir una pre-shared key | |||||||||
firewall(config)# tunnel-group my_tunnel ipsec-attributes | |||||||||
firewall(config-ipsec)# pre-shared-key my_password | |||||||||
Especifiquar el pool de direcciones locales. | |||||||||
*Asociar un rango de direcciones IP | |||||||||
address-pool [interface name] address_pool1 [...address_pool6] | |||||||||
firewall(config)# tunnel-group my_tunnel general-attributes | |||||||||
firewall(config-general)# address-pool my_pool | |||||||||
Configurar el tipo de group policy. | |||||||||
group-policy {name internal [from group-policy name]} | |||||||||
firewall(config)# group-policy my_tunnel internal | |||||||||
Ingresar al submodo group-policy attributes. | |||||||||
group-policy {name} attributes | |||||||||
firewall(config)# group-policy my_tunnel attributes | |||||||||
firewall(config-group-policy)# | |||||||||
Definir el servidor DNS. | |||||||||
dns-server {value ip_address [ip_address] | none} | |||||||||
firewall(config-group-policy)# dns-server value 192.168.0.15 | |||||||||
Definir el servidor WINS. | |||||||||
wins-server value {ip_address} [ip_address] | none | |||||||||
firewall(config-group-policy)# wins-server value 192.168.0.15 | |||||||||
Definir el nombre de dominio DNS. | |||||||||
default-domain {value domain-name | none} | |||||||||
firewall(config-group-policy)# default-domain value mi_dominio | |||||||||
Definir el idle timeout. | |||||||||
vpn-idle-timeout {minutes | none} | |||||||||
firewall(config-group-policy)# vpn-idle-timeout 600 | |||||||||
4: Crear el transform set. | |||||||||
crypto ipsec transform-set transform_name transform1 [transform2]] | |||||||||
firewall(config)# crypto ipsec transform-set remoteuser1 esp-des esp-sha-hmac | |||||||||
5: Crear el crypto map dinamico. | |||||||||
crypto dynamic-map my_dynmap dynamic-seq-num set transform-set transform_name1 [...9] | |||||||||
firewall(config)# crypto dynamic-map dyna-map 10 set transform-set remoteuser1 | |||||||||
6: Asignar el crypto map dinamico a un crypto map estatico. | |||||||||
crypto map map-name seq-num ipsec-isakmp dynamic my_dynmap | |||||||||
firewall(config)# crypto map user-map 10 ipsec-isakmp dynamic dyna-map | |||||||||
7: Apliquar el crypto map a una interfaz. | |||||||||
crypto map map-name interface nombre_interface | |||||||||
firewall(config)# crypto map user-map interface outside | |||||||||
8: Configurar Xauth. | |||||||||
Habilitar la autenticacion AAA. | |||||||||
aaa-server server-tag protocol server-protocol | |||||||||
firewall(config)# aaa-server mytacacs protocol tacacs+ | |||||||||
firewall(config-aaa-server-group)# | |||||||||
Definir la IP del server AAA y la clave de encripcion. | |||||||||
aaa-server server-tag [(interface-name)] host server-ip [key] [timeout seconds] | |||||||||
firewall(config)# aaa-server mytacacs (inside) host 192.168.0.15 my_password timeout 5 | |||||||||
firewall(config-aaa-server-host)# | |||||||||
Habilitar IKE Xauth para el tunnel group. | |||||||||
authentication-server-group [(interface name)] server group [LOCAL | NONE] | |||||||||
firewall(config)# tunnel-group my_tunnel general-attributes | |||||||||
firewall(config-general)# authentication-server-group mytacacs | |||||||||
9: Configurar NAT y NAT 0. | |||||||||
firewall(config)# access-list 101 permit ip 192.168.0.0 255.255.255.0 172.16.11.0 255.255.255.0 | |||||||||
firewall(config)# nat (inside) 0 access-list 101 | |||||||||
firewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0 0 0 | |||||||||
firewall(config)# global (outside) 1 interface | |||||||||
*Los paquetes que mapeen con la access-list 101 viajaran encriptados con nat0 | |||||||||
*Los paquetes que no mapeen serán enviados en texto plano con NAT/Global | |||||||||
10: Habilitar IKE Keepalive | |||||||||
isakmp keepalive [threshold seconds] [retry seconds] [disable] | |||||||||
firewall(config)# tunnel-group my_tunnel ipsec-attributes | |||||||||
firewall(config-ipsec)# isakmp keepalive threshold 30 retry 10 | |||||||||