aplausos

solo falta aclarar lo siguiente: se necesita crear rutas estáticas de extremo a extremo entre las redes privadas para que los paquetes ICMP sean entregados a través de la VPN, pues recordemos que entre ambas existe NAT

Aquí tienes uno amigo. Espero te sea de utilidad kzbin.info/www/bejne/bqS1hKCobpeaick

Ninguno. Es una VPN de tipo Policy-Based, a diferencia de otras que son de tipo Route-Based

@@pcolomes muchas gracias

Si, pero necesitarías levantar un túnel GRE En vez de una VPN IPsec. La otra opción es, si te preocupa la seguridad, levantar un túnel GRE+IPsec y luego levantar OSPF

Normalmente los valores por defecto que traen los equipos Cisco no se ven en el running-config. Para ver cual es el lifetime tienes que ejecutar el comando "show crypto isakmp policy" o "show crypto map"

No amigo. No he hecho ese trabajo aún...

lograste hacer la VPN de acceso remoto?

Si, pero depende. Lo que hace la ACL llamada NAT, es que definir qué cosa sale a Internet y qué cosa no. Lo que ocurre, es que es habitual decir que todo el tráfico desde la LAN salga a Internet (por eso generalmente la ACL NAT es algo asi como permit ip 192.168.0.0 0.0.0.255 any) y, como el router primero procesa el tráfico de tipo NAT y después el tráfico VPN, normalmente en la misma ACL llamada NAT definimos lo que NO quiere salir a Internet (con los deny respectivos) para que si se vaya por la VPN. Ahora, si tu ACL llamada NAT, por defecto no permite que el host X salga a Internet, no es necesario volver a definirlo, y el router buscará procesarlo mediante IPsec hacia la VPN. Ej (un caso raro, pero para explicar lo que quieres saber) Tu red es 192.168.0.0/24 pero tu quieres que solamente los primeros 128 IP salgan a Internet, y los 128 restantes no, y que estos últimos solamente sean los que salen por la VPN. En este caso tienes 2 formas de definir las ACL y las dos funcionan, solo que una es mas corta que la otra: Opción 1: ip access-list extended NAT permit ip 192.168.0.0 0.0.0.127 any deny ip any any ip access-list extended VPN permit ip 192.168.0.128 0.0.0.127 any deny ip any any Opción 2 (similar al video): ip access-list extended NAT deny ip 192.168.0.128 0.0.0.127 any permit ip 192.168.0.0 0.0.0.127 any ip access-list VPN permit ip 192.168.0.0 0.0.0.127 any deny ip 192.168.0.128 0.0.0.127 any Espero no haberte confundido más jaja, pero en el fondo, cuando preguntaste si estabas en lo correcto, si. Estás en lo correcto.

@@pcolomes Muchisimas gracias por tomarte el tiempo en una respuesta tan amplia de verdad, me quedo super claro Mi consulta era porque tengo un caso de un router cisco que tiene una vpn y solamente esta para eso, no necesita salida a internet, asi que en este caso si aplicaria la logica de mi pregunta

La VPN se pueden hacer con o sin NAT. Incluso hay una tecnología auxiliar para estos casos que se llama NAT Traversal ;)

@@pcolomes Muchas gracias Paulo, me comentas como puedo contactarte necesito de tu apoyo.

Claro. Siempre el ancho de banda contratado es el límite máximo al cual podemos transferir datos

@@pcolomes paulo, pero si en la sucursal tengo 4 mb contratado y en la sede pppal tengo contratado 6 el tunel se establece pero el consumo maximo seria pasar 4mb. * tambien tengo una duda con el lifetime si lo pongo a 86400 quiere decir que cada 24 hora el tunel se cae i vuelven a compararse la phase 1 (polity) * cuando establezco el tunel al momento de yo mandar datos de un extremo al otro extemo es que el tunel se levanta de otra forma el tunel se encuentra caido? o siempre se encuentra Up asi pase o no datos? porfa si me pudieras aclarar esas dudas saludos.

Pues, nat es un protocolo de traducción de direcciones ip , mientras que bgp detalla las rutas que anuncia ( border gateway protocol) A tu pregunta , si quieres aplicar esta config vpn usando bgp , en el router divides los traficos anunciando prefix de trafico inet y otro prefix para trafico de la vpn , bgp anunciaría ambos diferenciando segun el destino. Eso es lo montamos desde integración, en los routers que anuncian al Bsr

Hola Alexis, Se pueden implementar VPNs cuando las IPs son dinámicas apuntando el 'peer' remoto a un nombre de dominio (DNS) dinámico como DynDNS, No-IP o similares. Acá hay un link que explica bien eso: www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-architecture-implementation/118048-technote-ipsec-00.html

Muchisimas gracias Paulo por tu pronta respuesta y por el aporte del link.

No lo sé. Soy enemigo de las GUI :D

Cuando dice "destino inalcanzable", es muy importante ver desde que IP se devuelve ese mensaje. Típicamente diria algo así como "unreachable from 192.168.1.1". Esto significa que en el dispositivo que tiene justamente esa dirección IP es donde falta la ruta para llegar al destino.

Realmente cualquier router Cisco soporte VPNs de este tipo. Solo debes fijarte que el IOS que traiga diga K9 (Criptografía)

@@pcolomes sabes si hay ROUTER LINKSYS que pueden hacer este tipo de configuración VPN

@@henrysanchez4821 Si, en algunos casos, pero con opciones muy básicas y limitadas.Generlamente a esos dispositivos hay que ponerles un firmware DD-WRT

Hola Diego. No, IPsec solo sirve para proteger el tráfico IP. Si necesitas pasar Multicast por una VPN debes usar GRE. GRE es un método de encapsulación que no va cifrado. Si necesitas enviar este tráfico Multicast a través de una red insegura (como Internet), puedes usar IPSec + GRE

@@pcolomes ok, es lo que habia averiguado pero queria estar seguro. Muchisimas gracias por tu rapida respuesta. Un gran saludo desde Montreal.

Paulo una pregunta mas por favor, que pasa si creo un ipsec vpn tunel con un router donde el puerto wan es una ip de la red local? es decir una ip privada? es esto posible? Muchas gracias

@@diegogudino4923 Eso es posible pero es problemático. Tienes que habilitar NAT Traversal y también debes configurar un NAT 1:1 en el router de borde para que tu router interno quede como punto de terminación de la VPN. Es posible, sí. Es problemático a veces: si.

@@pcolomes Gracias Paulo.

Buena pregunta. EN ese caso la VPN es imposible de establecer a menos que se haga una configuración extremadamente compleja aplicando NAT inverso. LO más fácil es coordinar para que las sucursales tengan rangos IP diferentes.

si, es posible, pero depende de la versión del IOS que tenga ese router. Es probable que no es K9 (código Cisco para el soporte de criptografía). Si ejecutas un show version y el nombre del IOS no incluye k9, es por eso. Otra opción puede ser que tengas el IOS universal pero debas activar el feature de Security con una licencia. Show license te servirá. Puedes pedir licencias demo para esos routers

Agustin Quevedo es un único crypto map con múltiples configuraciones. En ese caso debes definir un sitio principal y desde ahí levantas la 2da VPn agregando un numero de secuencia mayor al crypto map (va de 10 en 10)

@@pcolomes no se si entendi bien lo que hice fue poner el mismo nombre de cryptomap con otro numero de secuencia y en este numero le puse el nuevo peer(el de la tercera sucursal) y una access list que corresponde a las redes que tiene esta tercera sucursal. Faltaria cambiar algo mas?

con el cambio que hice me queda que las 2 VPN estan activas pero no me esta haciendo encriptacion a una de las sucursales.

ya esta listo, tenia razón usted, tenia que crear una secuencia mas en el mismo crypto map con cada secuencia individual teniendo su access list correspondiente y para solucionar el problema que mencionaba arriba solo cambie el lifetime de 86400 a 60 y eso lo soluciono parece que si un tunel se mantiene activo el otro no se puede levantar en el mismo puerto y por eso no me encriptaba lo que debia ir a la otra sucursal.

muchas gracias por su ayuda!!

GNS3

Si, se podría pero en el router de borde habría que crear un redireccionamiento de puertos para que el puerto 500/UDP (IKE) apunte al R3 interno.

OK, pero si estoy bajo de un WISP y no tengo control deNAT/ PAT, ¿que opción seria recomendable? l2tp o alguna otra

Si no eres dueño de tu IP pública, no hay mucho que puedas hacer.

R2 tiene una ruta por defecto hacia R1 R4 tiene una ruta por defecto hacia R3 R1 tiene una ruta por defecto hacia ISP1 R3 tiene una ruta por defecto hacia ISP2 ISP1 tiene una ruta estática apuntando hacia ISP2 para llegar a la red 200.0.0.0/4 ISP2 tiene una ruta estática apuntando hacia ISP1 para llegar a la red 199.0.0.0/1 Así de simple. Ya que R1 y R3 hacen NAT hacia sus redes interiores, no se necesita otro tipo de enrutamiento más que ese.

Generalmente entre ISP se usa BGP

En esta topología basta con una ruta estática en ISP1 apuntando a la red entre ISP2-R3 y otra ruta estática en ISP2 apuntando a la red entre ISP1-R1. Eso lo hice para simular conectividad en Internet. En la vida real, los ISP trabajan con protocolos dinámicos ya que sus redes son muy grandes. También puedes levantar un IGP entre ISP1 e ISP2 y el efecto será el mismo.

Muchas Gracias por la oportuna y rápida respuesta.

Paulo, una gran duda he escuchado que EIGRP fue liberado, osea se puede utilizar EIGRP en equipos que no sean CISCO , me ayudarías aclarando esa duda y algún link sobre esa documentación

EIGRP siempre ha sido un protocolo propietario de Cisco, pero hace un par de años se tomó la decisión de hacerlo estándar. El IETF ya publicó al menos 3 RFCs respecto a EIGRP (acá el último: tools.ietf.org/html/rfc7868) lo que significa que cualquier fabricante ahora puede tomar este documento e implementar EIGRP en sus sistemas. Cisco reservó algunas de las funciones más avanzadas de este protocolo (EIGRP Stub, entre otras) para equipos Cisco únicamente, pero todo el resto es ahora estándar. El tema es ver si alguien lo implementará o no, pero definitivamente ya es estándar.

Los routers vienen con la config básica (direccionamiento IP) y adicionalmente el resto de los comandos (NAT, IPSEC, ACLs, etc) vienen dentro del archivo GNS3 que está debajo de la descripción del video

Paulo, solo complace e KusaNakuAfal, no es la unica que ve tus videos, digo.....please!!!

Pero si la config está disponible en el mismo archivo ZIP donde viene la topología. El link está en la descripción del video ;)

Nop. NAT es solo para sacar internet un montón e máquinas a través de una sola IP. IPsec, por otro lado, es para levantar túneles remotos de forma segura. En el ejemplo he mezclado las dos tecnologías ya que es el escenario más común de encontrar en las empresas.

@@pcolomes Gracias!!!!

Es un error de GNS3. Haz lo siguiente (Suponiendo que la interfaz donde te da el problema sea la FastEthernet 0/0) interface Fa0/0 no cdp enable y listo.

muchas gracias profesor, podría hacer mas videos de gns3, explica muy bien!!

Solo un par de rutas estáticas para llegar a las IP públicas de los routers VPN

en ambos routers solo necesitas una ruta por defecto apuntando al router siguiente.

sube a pastebin.com el running-config de ambos routers (R1 y R3) y luego copia acá la dirección donde quedaron para yo poder verla

@@pcolomes Hola, de la misma manera, a mi no me funcionó. ¿Podría echarle un vistazo? pastebin.com/BGihG8w7

No. Es solo un video tutorial que quise subir aquí ;)

Gracias!

Porque VPCS es un software muy lleno de errores. Es normal que pase eso. Si buscas más estabilidad, te recomiendo que conectes TinyCore Linux o alguna distro minimalista :)

esto me sale. PC1> Good-bye Connection closed by foreign host. logout Saving session... ...copying shared history... ...saving history...truncating history files... ...completed. Deleting expired sessions...48 completed. [Proceso completado] ¿no hay ninguna forma de evitarlo?@@pcolomes

profesor @@pcolomes cuales son los comando para limitar ancho de banda a los dispositivos que se conecten. "Cisco"

Revisa el lifetime

Es muy probable eso. No debes usar enrutamiento entre los routers de borde e Internet

ajjajajaj CMAMUT