VPN de acceso por PPTP,L2TP y EAP-TLS con Windows Server

Aquí os dejo un .doc de Microsoft con un ejemplo de configuración de un servidor 2003 con servidor de entrada para VPN de acceso a través de PPTP,L2TP y EAP-TLS. El ejemplo también es aplicable a Windows 2008 Server ya que la consola de Enrutamiento y acceso remoto no a cambiado nada desde Windows Server 2003. Lo unico que ha cambiado es la instalacion de la entidad certificadora y del IIS en Server 2008 que como sabéis es un poco distinta. El documenrto pertenece a las pagina blancas de Microsoft. Espero que os sirva de ayuda.

VPNRemoteAccess



 

 

Configuracion de una VPN con Server 2008

Video para la creacion deun pequeña VPN de acceso remoto entre un cliente y un Windows Server 2008

[tube]nTVyEpNS_zE[/tube]

En los próximos días iré dejando unas entradas de como montar una VPN vía PPTP,L2TP y SSTP, hasta entonces aquí tenéis un bonito vídeo.



Cisco PIX:Acceso remoto con Preshared-key y Easy VPN

Cisco Pix Firewall que va a operar con Cisco Easy VPN utilizando Xauth,IKE y autorización AAA con servidor de Radius. El esquema a seguir:
pix-easyvpn-pre

1- Definimos los parametros AAA. Servidor de RADIUS, secreto compartido abcdef
aaa-server radius protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5

2-Configuramos la directiva de IKE. Cifrado 3DES, hash MD5 con preshared-keys
isakmp enable outside
isakmp policy 8 encr 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication pre-share

Nota:Si tenemose Cisco VPN Client Version 3.x, incluiremos la line isakmp policy 8 group 2 que configura Diffie-Helman 2
3-Configuramos la clave preshared a cisco1234
isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
4-Configuramos el pool de direcciones a dar a los clientes
ip local pool dealer 10.1.1.1-10.1.1.254
5-Excluimos a los host internos de hacer NAT cuando se conectan por la VPN
access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
nat (inside) 0 access-list 80

6-Creamos la lista de acceso que me define que servicios van a utilizar los clientes externos. El servidor de RADIUS va a autorizar a los usuarios el uso de los servicios definidos en la lista de acceso al AAA.
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq telnet
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq ftp
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq http

7-Configuramos el transform-set
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
8-Creamos el crypto map dinamico
crypto dynamic-map cisco 4 set transform-set strong-des
9-Asociamos el crypto map dinamico al crypto map estatico
crypto map partner-map 20 ipsec-isakmp dynamic cisco
10-Aplicamos el crypto map al interfaz externo
crypto map partner-map interface outside
11-Habilitamos XAUTH
crypto map partner-map client authentication partnerauth
12-Configuramos la directiva para el Cisco Easy VPN Remoto
vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam split-tunnel 80
vpngroup superteam idle-time 1800

13-Habilitamos el IPSec en nuestro PIX
sysopt connection permit-ipsec

3-

Acceso remoto con Cisco Easy VPN (Pre Shared)

dibujo2.jpg

Configuracion Router:

!
hostname Router1
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!
!
aaa authentication login VPNAUTHEN local
aaa authorization network VPNAUTHOR local
!
aaa session-id common
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.1.1 10.0.1.12
!
ip dhcp pool POD1_INSIDE
   network 10.0.1.0 255.255.255.0
   default-router 10.0.1.2
!
!
no ip ips deny-action ips-interface
no ip domain lookup
!
no ftp-server write-enable
!
!
!
username sdm privilege 15 password 0 sdm
username vpnstudent password 0 cisco
!
!
!
crypto isakmp policy 3
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group SALES
 key cisco123
 domain cisco.com
 pool IPPOOL
!
!
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
 set transform-set MYSET
 reverse-route
!
!
crypto map CLIENTMAP client authentication list VPNAUTHEN
crypto map CLIENTMAP isakmp authorization list VPNAUTHOR
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP
!
!
!
interface FastEthernet0/0
 description inside
 ip address 10.0.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description outside
 ip address 172.30.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map CLIENTMAP
!
router eigrp 1
 network 10.0.0.0
 network 172.30.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip local pool IPPOOL 11.0.1.20 11.0.1.30
ip classless
!
ip http server
ip http authentication local
no ip http secure-server
!
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password cisco
 transport input telnet ssh
!
!
end

Pasos:
1- Configuracion de autenticaion con AAA
aaa new-model
aa authentication login VPNAUTHEN local
aaa authorization network VPNAUTHOR local
2-Definimos la directiva para la VPN que va a ser puesta al cliente y el pool de ip que van a utilizar los ususarios remotos cuando se conecten
ip local pool IPPOOL 11.0.1.20 11.0.1.30
crypto isakmp policy 3
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group SALES
key cisco123
domain cisco.com
pool IPPOOL
3-Configuramos y verificamos los Transforms y CryptoMaps
crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
(Creamos el cryptoMap dinamico)
crypto dynamic-map DYNMAP 10
set transform-set MYSET
reverse-route
(Creamos el cryptoMap estatico)
crypto map CLIENTMAP client authentication list VPNAUTHEN
crypto map CLIENTMAP isakmp authorization list VPNAUTHOR
crypto map CLIENTMAP client configuration address respond (Da respuesta a peticiones de clientes)
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNMAP (asociamos crypto dinamico)

4-Aplicamos cryptoMap estatico a interfaz
interface FastEthernet0/1
crypto map CLIENTMAP

Y listo en el router.

Cisco VPN Site to Site con Preshared Keys

site2.jpg

Ejemplo configuracion RouterQ:

!
hostname Router2
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.2.1 10.0.2.12
!
ip dhcp pool POD1_INSIDE
   network 10.0.2.0 255.255.255.0
   default-router 10.0.2.2
!
!
no ip ips deny-action ips-interface
no ip domain lookup
!
no ftp-server write-enable
!
!
!
username sdm privilege 15 password 0 sdm
!
!
!
crypto isakmp policy 110
 hash md5
 authentication pre-share
crypto isakmp key cisco1234 address 172.30.1.2
!
!
crypto ipsec transform-set MINE esp-des
!
crypto map MYMAP 10 ipsec-isakmp
 set peer 172.30.1.2
 set transform-set MINE
 match address 102
!
!
!
interface FastEthernet0/0
 description inside
 ip address 10.0.2.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description outside
 ip address 172.30.2.2 255.255.255.0
 duplex auto
 speed auto
 crypto map MYMAP
!
router eigrp 1
 network 10.0.0.0
 network 172.30.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip classless
!
ip http server
ip http authentication local
no ip http secure-server
!
access-list 102 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password cisco
 login local
 transport input telnet ssh
!
!
end

En este ejemplo de VPN con Pre Shared Keys , creamos yna directiva de creacion de VPN (110) con hash md5 y autenticacion preshare con contraseña cisco1234.

Utilizamos como transform-set el tipo de cifrado basico DES, de 64 bits ylo asociamos al crypto map MYMAP, en el cual definimos el trafico que va a pasar por nuestra VPN con la lista de acceso 102.

Por ultimo aplicamos el crypto map al interfaz y listo.

En el RouterP se configuraria exactamente igual, logicamente cambienado IP y nombres.