Configuracin de VPN Site To Site entre Firewall ASA 5510 y Router 2811

Jhonatan Reyes Julian Cardenas SENA 2012

Configuracin de VPN SiteToSite entre Firewall ASA 5510 y Router 2811

Utilizamos los siguientes dispositivos - Router 2811, con el IOS en versin 12.4 - ASA 5510, con el Software 8.2 - Switch Catalyst 2960, Con el IOS en version 12.2

Configuracin de firewall ASA 5510

Primero configuramos las interfaces INSIDE y OUTSIDE con sus respectivas direcciones ips

ciscoasa(config)# interface Ethernet 0/0 ciscoasa(config-if)# ip address 192.168.0.1 255.255.255.0 ciscoasa(config-if)# nameif inside INFO: Security level for inside set to 100 by default ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface Ethernet 0/1 ciscoasa(config-if)# ip address 10.10.10.1 255.255.255.0 ciscoasa(config-if)# nameif outside INFO: Security level for outside set to 0 by default ciscoasa(config-if)# no shutdown

Configuramos el servidor http, un usuario para poder acceder va web, y la interfaz por donde se acceder

ciscoasa(config)# username admin password sena2012 privilege 15 ciscoasa(config)# http server enable ciscoasa(config)# http 192.168.0.0 255.255.255.0 inside

Hacemos una ruta por defecto para que el trfico de la interfaz INSIDE lo mande a la interfaz del prximo salto

ciscoasa(config)# route outside 0 0 10.10.10.2

Ahora accedemos al ASA desde el cliente de la interfaz INSIDE con la siguiente URL https://192.168.0.1/admin

Damos en la opcin INSTALL ASDM y nos pedir las credenciales del usuario que creamos anteriormente

Ahora nos pedir la direccin ip del Firewall ASA y de nuevo las credenciales de usuario

Cargando la interfaz grfica de administracin del firewall ASA

Ahora iniciamos el asistente de configuracin de la VPN

Seleccionamos la VPN Site To Site

Colocamos la direccin IP del otro router que est conectado con el ASA y asignamos una contrasea.

Seleccionamos el mtodo de encriptacin de autenticacin y el identificador de grupo

Para la fase 2 seleccionamos el mtodo de encriptacin y autenticacin

Configuramos el trafico interesante que seria las direcciones ip de las dos LAN que activara el tnel

Finalizamos el asistente de configuracin de la VPN

Antes de que los cambios sean aplicados el asistente nos mostrara todo lo que hicimos pero en modo comando, ahora enviamos los comandos al ASA con SEND

Configuracin del Router 2811

Configuramos las interfaces

Configuramos nuestra interfaz WAN

Router(config)#interface fastEthernet 0/1 Router(config-if)#ip add 10.10.10.2 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit

Router(config)#interface fastEthernet 0/1 Router(config-if)#ip add 10.10.10.2 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit

Ahora configuramos la puerta de enlace para nuestra LAN

Router(config)#interface fastEthernet 0/0 Router(config-if)#ip add 192.168.10.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit

-Habilitamos el http y la autenticacin local

Router(config)#ip http server Router(config)#ip http authentication local Router(config)#username usuarioad privilege 15 password 123456 Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh Router(config-line)#exit

-Ahora configuramos una ruta por defecto para poder enrutar el trfico saliente

Router(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1

Luego de instalar el SDM en nuestro equipo e importante tener la versin 1.4 del Java, iniciamos un navegador, Preferiblemente, el Internet Explorer e ingresamos la IP de donde tenemos conectado el Router.

Ahora, luego de autenticarnos en nuestro navegador, permitimos (Si) la ejecucin de "Subprogramas"

Navegamos atravez de la interfaz web, hasta VPN y luego, "VPN sitio a sitio", luego en "Crear una VPN sitio a sitio" Finalmente "inicar la tarea seleccionada"

Luego comenzamos el "Asistente por pasos"

Ahora, configuramos la direccin con la cual haremos la VPN, sera el siguiente salto en la WAN

En este paso lo dejamos por defecto

Este tambin lo dejaremos por defecto

En est seccin, pondremos la direccin de red de nuestra LAN, que es la que origina el trfico, ya que en este caso, estamos en el Router, tambin pondremos la direccin de red a la red LAN donde queremos llegar.

Ac nos mostrar un breve resumen de nuestra configuracin, tambin verificamos nuestro Tunnel

Antes, nos mostrar todos los comandos que se enviaran al Router, esto lo activamos en "Editar" > "Preferencias" y seleccionamos "Obtener una vista previa de los comandos antes de enviarlos al Router" y aceptamos

Ahora, se iniciara la prueba de la conexin, primero aparecer que el VPN Tunnel, estar abajo, luego nos dira que si queremos depurar la conexin, Le damos que si y ahora si estar nuestro Tunnel Activado.

Ahora en nuestro cliente verificamos la conexin por medio de Ping

Tambin verificamos la conexin TCP, por medio del puerto 80 (Peticin Web)

Hacemos una verificacin con PortMirror en un Switch en el intermedio de la conexin WAN, quedando las conexiones as en el Switch

- Fastethernet 0/1 = Tendremos conectado nuestro ASA - Fastethernet 0/2 = Tendremos conectado nuestro Router - Fastethernet 0/3 = Es nuestra mquina con la cual haremos nuestro Sniffeo

Adjunto el pantallazo de la configuracin de PortMirror en nuestro Switch

Router> en Router# config t Router (config)# monitor session 1 source interface fastEthernet 0/1 Router (config)# monitor session 1 destination interface f0/3

Verificamos que la interfaz fastEthernet 0/3 est en modo monitoreo

Captura del Wireshark desde la conexin WAN