Router(config)#aaa new‐model “Activa el modo de Autenticación y Autorización de cuentas de usuarios” Router(config)#aaa authentication login VPNAUTH local “Define el método de autenticación que tendrán los usuarios de la VPN cuando se loguean” Router(config)#aaa authorization network VPNAUTH local “Establece los parámetros que permiten autorizar el uso de los servicios de red en la VPN local” Router(config)#crypto isakmp policy 10 “Crea una nueva política de intercambio de contraseñas IKE (Internet Key Exchange). Cada política se identifica por su número de prioridad (1‐10000) siendo 1 la prioridad mas alta. Router(config‐isakmp)#encryption aes 256 “Utiliza el algoritmo de cifrado AES a 256 bits) Router(config‐isakmp)#authentication pre‐share “Es el método de autenticación en el cual las partes se ponen de acuerdo con una clave secreta compartida para permitir la autenticación” Router(config‐isakmp)#group 2 “Especifica el identificador de grupo 2 Diffie‐Hellman, correspondiente a 1536 bits, también pueden configurarse DH Group 1: 768‐bit group, DH Group 2: 1024‐bit group, DH Group 5 2048 esto se utiliza para incrementar la longitud de los bits encriptados de la clave compartida. Mayor grupo + seguridad pero también mayor tiempo de acceso para desencriptar la clave.” Router(config‐isakmp)#exit Router(config)#crypto isakmp client configuration group feudgroup “Crea un grupo para el intercabio de llaves que se llamará feudgroup, este grupo se puede cambiar” Router(config‐isakmp‐group)#key feud “Establece la clave compartida para el grupo de usuarios que utilizará la VPN es feud y se puede cambiar” Router(config‐isakmp‐group)#pool VPNCLIENTES ”Define una etiqueta para el pool de direcciones que obtendrán los usuarios de la VPN por DHCP” Router(config‐isakmp‐group)#netmask 255.255.255.0 “Define la máscara que tendrá el rango de las direcciones IP que obtendrán los usuarios que se conecten a la VPN” Router(config‐isakmp‐group)#exit Router(config)#crypto ipsec transform‐set myset esp‐3des esp‐sha‐hmac “Establece “Establece las políticas de encriptación y autenticación que se utilizarán en el túnel VPN”
Router(config)#crypto dynamic‐map mymap 10 “Crea un mapa dinámico para establecer las conexiones de diferentes VPNs cuando las direcciones que estas utilizan son dinámicas. El 10 es el número de secuencia del mapa, entre menor sea el número mayor privilegio” Router(config‐crypto‐map)#set transform‐set myset “Combina el método de encriptación con el método de autenticación en el mapa dinámico para efectivamente permitir la autenticación entre diferentes túneles VPN por ejemplo que hacen parte de varias sucursales dentro de la misma empresa” Router(config‐crypto‐map)#reverse‐route “Utiliza Reverse Route Injection, para inyectar rutas de acceso remoto y distribuirlas a las tablas de enrutamiento de los demás enrutadores dentro de una topología de red” Router(config‐crypto‐map)#exit Router(config)#crypto map mymap client authentication list VPNAUTH “Define el grupo de usuarios con permisos de autenticación” Router(config)#crypto map mymap isakmp authorization list VPNAUTH “Establece el grupo de usuarios y los parámetros de autenticación en la red” Router(config)#crypto map mymap client configuration address respond “configura un crypto map estático que puede ser configurado a una interface para que los usuarios se conecten por la misma” Router(config)#crypto map mymap 10 ipsec‐isakmp dynamic mymap “Asigna el crypto map dinámico para los clients de acceso remoto” Router(config)#int f0/1 (O la que tengan como entrada de la red externa) Router(config‐if)#crypto map mymap “Activa la Interface para que los clientes se puedan conectar a la VPN a través de esa interfaz”. Router(config‐if)#exit Router(config)#ip local pool VPNCLIENTES 172.10.0.1 172.10.0.10 “Define el pool de direcciones para la VPN 10 en Total)
PARA AUTENTICARSE EN LA VPN DESDE LA RED INTERNA Router(config)#int FastEthernet 0/0 Router(config‐if)#crypto map mymap Glosario:
IKE (Internet Key Exchange) significa intercambio de claves por Internet. En la configuración podemos determinar si en el establecimiento de un túnel VPN queremos utilizar IKE o una configuración manual de las claves. Lo más habitual es utilizar IKE. En una negociación IKE, es decir, en el momento en que los dos dispositivos negocian el intercambio de claves, hay dos fases : Primera Fase: Autentificación Antes de iniciar el intercambio de claves los dos dispositivos se aseguran que su interlocutor es quién dice ser.
Segunda Fase: Intercambio de claves Una vez los dispositivos se han autentificado entre si realizan el intercambio de claves. En la primera fase se establece el IKE SA, es decir, se definen/acuerdan los parámetros de intercambio, y en la segunda se utilizan esos parámetros para realizar el intercambio.