Post on 27-Oct-2014
Jhonatan Reyes
Configuración de VPN Site To Site entre Firewall ASA 5510 y Router 2811
Configuración de VPN SiteToSite entre Firewall ASA 5510 y Router 2811
Utilizamos los siguientes dispositivos
- Router 2811, con el IOS en versión 12.4- ASA 5510, con el Software 8.2- Switch Catalyst 2960, Con el IOS en version 12.2
Configuración de firewall ASA 5510
Primero configuramos las interfaces INSIDE y OUTSIDE con sus respectivas direcciones ip’s
ciscoasa(config)# interface Ethernet 0/0ciscoasa(config-if)# ip address 192.168.0.1 255.255.255.0ciscoasa(config-if)# nameif insideINFO: Security level for “inside” set to 100 by defaultciscoasa(config-if)# no shutdownciscoasa(config-if)# exitciscoasa(config)# interface Ethernet 0/1ciscoasa(config-if)# ip address 10.10.10.1 255.255.255.0ciscoasa(config-if)# nameif outsideINFO: Security level for “outside” set to 0 by defaultciscoasa(config-if)# no shutdown
Configuramos el servidor http, un usuario para poder acceder vía web, y la interfaz por donde se accederá
ciscoasa(config)# username admin password sena2012 privilege 15ciscoasa(config)# http server enableciscoasa(config)# http 192.168.0.0 255.255.255.0 inside
Hacemos una ruta por defecto para que el tráfico de la interfaz INSIDE lo mande a la interfaz del próximo salto
ciscoasa(config)# route outside 0 0 10.10.10.2
Ahora accedemos al ASA desde el cliente de la interfaz INSIDE con la siguiente URL
https://192.168.0.1/admin
Damos en la opción INSTALL ASDM y nos pedirá las credenciales del usuario que creamos anteriormente
Ahora nos pedirá la dirección ip del Firewall ASA y de nuevo las credenciales de usuario
Cargando la interfaz gráfica de administración del firewall ASA
Ahora iniciamos el asistente de configuración de la VPN
Seleccionamos la VPN Site To Site
Colocamos la dirección IP del otro router que está conectado con el ASA y asignamos una contraseña.
Seleccionamos el método de encriptación de autenticación y el identificador de grupo
Para la fase 2 seleccionamos el método de encriptación y autenticación
Configuramos el trafico interesante que seria las direcciones ip de las dos LAN que activara el túnel
Finalizamos el asistente de configuración de la VPN
Antes de que los cambios sean aplicados el asistente nos mostrara todo lo que hicimos pero en modo comando, ahora enviamos los comandos al ASA con SEND
Configuración del Router 2811
- Configuramos las interfaces
Configuramos nuestra interfaz WAN
Router(config)#interface fastEthernet 0/1Router(config-if)#ip add 10.10.10.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exit
Router(config)#interface fastEthernet 0/1Router(config-if)#ip add 10.10.10.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exit
Ahora configuramos la puerta de enlace para nuestra LAN
Router(config)#interface fastEthernet 0/0Router(config-if)#ip add 192.168.10.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#exit
-Habilitamos el http y la autenticación local
Router(config)#ip http serverRouter(config)#ip http authentication localRouter(config)#username usuarioad privilege 15 password 123456Router(config)#line vty 0 4Router(config-line)#login localRouter(config-line)#transport input telnet sshRouter(config-line)#exit
-Ahora configuramos una ruta por defecto para poder enrutar el tráfico saliente
Router(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1
Luego de instalar el SDM en nuestro equipo e importante tener la versión 1.4 del Java, iniciamos un navegador,
Preferiblemente, el Internet Explorer e ingresamos la IP de donde tenemos conectado el Router.
Ahora, luego de autenticarnos en nuestro navegador, permitimos (Si) la ejecución de "Subprogramas"
Navegamos atravez de la interfaz web, hasta VPN y luego, "VPN sitio a sitio", luego en "Crear una VPN sitio a sitio"
Finalmente "inicar la tarea seleccionada"
Luego comenzamos el "Asistente por pasos"
Ahora, configuramos la dirección con la cual haremos la VPN, sería el siguiente salto en la WAN
En este paso lo dejamos por defecto
Este también lo dejaremos por defecto
En está sección, pondremos la dirección de red de nuestra LAN, que es la que origina el tráfico, ya que en este caso, estamos en el Router, también pondremos la dirección de red a la red LAN donde queremos llegar.
Acá nos mostrará un breve resumen de nuestra configuración, también verificamos nuestro Tunnel
Antes, nos mostrará todos los comandos que se enviaran al Router, esto lo activamos en "Editar" > "Preferencias"
y seleccionamos "Obtener una vista previa de los comandos antes de enviarlos al Router" y aceptamos
Ahora, se iniciara la prueba de la conexión, primero aparecerá que el VPN Tunnel, estará abajo, luego nos dira que si queremos depurar la conexión,
Le damos que si y ahora si estará nuestro Tunnel Activado.
Ahora en nuestro cliente verificamos la conexión por medio de Ping
También verificamos la conexión TCP, por medio del puerto 80 (Petición Web)
Hacemos una verificación con PortMirror en un Switch en el intermedio de la conexión WAN, quedando las conexiones
así en el Switch
- Fastethernet 0/1 = Tendremos conectado nuestro ASA
- Fastethernet 0/2 = Tendremos conectado nuestro Router
- Fastethernet 0/3 = Es nuestra máquina con la cual haremos nuestro Sniffeo
Adjunto el pantallazo de la configuración de PortMirror en nuestro Switch
Router> enRouter# config tRouter (config)# monitor session 1 source interface fastEthernet 0/1Router (config)# monitor session 1 destination interface f0/3
Verificamos que la interfaz fastEthernet 0/3 está en modo monitoreo
Captura del Wireshark desde la conexión WAN