VPN Remote Access Cisco ASA

Esta guia es para configurar una VPN Remote Access (Cisco VPN Client) en un Cisco ASA.
Este ejemplo lo arme en un 5505 pero es lo mismo para cualquier IOS 8 y calculo que en 7 funcionara tambien.

Definimos el nombre del Host

Código:
hostname CISCOASA

Definimos el nombre de domino

Código:
domain-name tecnologiayredes.com.ar

Añadimos un usuario que sera con el que nos leguearemos a nuestra VPN

Código:
username nombre_usuario password pass1234

La access-list nonat se usa en este caso no como control de acceso sino para definir el trafico que sera encriptado en el nat. Solo se encriptara lo que matchee con esta ACL

Código:
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 10.0.10.0 255.255.255.0

IPs que seran asignadas a la PC que se conecte via VPN

Código:
ip local pool VPN-POOL 10.0.10.1-10.0.10.254 mask 255.255.255.0

Definimos los NAT y GLOBAL. Nat 0 es el que define el trafico que sera encriptado de acuerdo a la ACL nonat que definimos antes.

Código:
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0 0

Definimos el default gateway del ASA

Código:
route outside 0 0 172.16.1.1 1

Creamos la politica de grupo

Código:
group-policy GP-TECNOLOGIAYREDES internal
group-policy GP-TECNOLOGIAYREDES attributes
 dns-server value 8.8.8.8
 vpn-idle-timeout 30
 default-domain value tecnologiayredes.com.ar

Creamos la politica ISAKMP para los clientes

Código:
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 43200

El Tunnel-group define el tipo de conexion VPN que sera establecida.

Código:
tunnel-group TN-TECNOLOGIAYREDES type ipsec-ra
tunnel-group TN-TECNOLOGIAYREDES general-attributes
 address-pool VPN-POOL
 default-group-policy GP-TECNOLOGIAYREDES
 authentication-server-group LOCAL
tunnel-group TN-TECNOLOGIAYREDES ipsec-attributes
 pre-shared-key cisco123

Crear el transform.set y los MAPs. La etiqueta AES-SHA y 3DES-SHA son nombres identificativos de la politica que conllevan.

Código:
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map dinomap 10 set transform-set AES-SHA
crypto dynamic-map dinomap 20 set transform-set 3DES-SHA
crypto map mymap 90 ipsec-isakmp dynamic dinomap

Aplicamos el crypto-map a la interface outside.

Código:
crypto map mymap interface outside

Y con eso deberia estar.
Luego en el Cisco VPNClient configuran el grupo TN-TECNOLOGIAYREDES y la pass cisco123

Conceptos Basicos VPN

Suerte y espero que les funcione
Mariano

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General