VPN copn overlapping

Pregunta respondida
Mar 7th, 2012

Buenas tardes

dispongo de 3 sites, las tres dentro de la misma subred 192.168.0.0 y en distintos sites. Los tres sites tiene conexión a Internet por ADSL y mediante NAT overload.

He visto este artículo, donde indica como realizar la configuración en los routers cisco 877

http://www.cisco.com/en/US/products/ps5855/products_configuration_example09186a0080a0ece4.shtml

Pero mi pregunta es la siguiente, y se refiere a la configuracion IP de los PC.

Si tenemos la configuración IP del site A, 192.168.0.100/24 , gateway 192.168.0.1 y el del site B 192.168.0.101/24 gt 192.168.0.2,

Aunque lo routers se vean entre si, y estén bien configurador para realizar vpn overlapping, si el PC A quiere buscar al PC B, ¿Cómo lo encuentra? Es decir, el PC A solo utilizaría el Gateway si están en distinta subred, pero están en la misma. Si hacemos un tracert nunca saldrá por el Gateway.

¿Cómo podemos solucionar esta situación?

Muchas gracias

I have this problem too.
0 votos
Correct Answer by jose cortes about hace 3 años 4 meses

Hola Ignacio,

Revisando la configuracion en un route que tengo encontre la forma que las IPs siempre hagan match con su IP de traduccion. El pool deberia definirse de la siguiente manera

ip nat pool FAKE-NET 10.0.0.0 10.0.0.1 prefix-length 24 type match-host

o asi (es lo mismo)

ip nat pool XXXX 10.0.0.0 10.0.0.1 mask 255.255.255.0 type match-host

de esta manera aseguras que La IP 192.168.0.200 siempre sea traducida al a IP 10.0.0.200 en el Site A. Asi mismo para los otros Sites. Con esto podrias configurar los PC de manera que si quieren acceder a un recurso compartido en la otra oficina on tiene que estar cambiando la IP cada vez que la traduccion cambie.

Jose

---------Por favor no olvides calificar el post si la respuesta te es util.----------

Correct Answer by jose cortes about hace 3 años 4 meses

Ignacio,

Hasta donde se tu podiras hacer varias VPNs hacia distintas sedes, lo que debes hacer es siempre utilizar el mismo crypto-map ya que solo puedes asignar un crypto map por interfaz. De ahi viene la razon por la cual puedes numerar el mismo crypto map por ejemplo:

En el Site A:

crypto map MAP-OUTSIDE 10 ipsec-isakmp

set peer (IP publica del Site B)

set transform-set ESP-AES-SHA ...

match address CRYPTO-A2B

!

crypto map  MAP-OTUSIDE 20 ipsec-isakmp

set peer (IP publica del Site D)

set transform-set ESP-AES-SHA

match address CRYPTO-A2D

!

ahora bien, ya que para la oficina D no se da el caso de Overlapping entonces no necesitarias hacer el enmascaramiento de tu red local o remota. Simplement excluyes el trafico de la red 192.168.0.0/24 de tu Site A hacia tu Site B (asumamos que el Site B utilizar el segmento: 172.17.0.0/24) en tu lista de NAT global deberias adicionar las siguientes reglas:

ip access-list extended NAT

deny ip 192.168.0.0 0.0.0.255 172.17.0.0 0.0.0.255

permit ip any any

y simplemente la lista de acceso para la encrypcion seria:

ip access-list extended CRYPTO-A2D

permit ip 192.168.0.0 0.0.0.255 172.17.0.0 0.0.0.255

deny ip any any

En tu site D tendiras que utilizar el mismo esquema es decir no necesitarias enmascarar la red.

Ten en cuenta que Todo este escenario no considera una configuracion de Hub-and-Spoke ya que si quieres que todas las sedes se conecten mediante el Site A el tema de enmascaramiento puede ser problematico.

Ahora bien, si quieres que el Site D se comunique con las otras sedes debes crear un segundo enmascaramiento en los Sites B y C ya que se esta manejando el Site A con la IP 192.168.0.0/24 desde el punto de vista del Site D y solo se podira tener un tunel VPN apuntando directamente dicho segmento.

respecto al tema del NAT overlapping estoy verificando porque no se si sea del todo cierto para los Routers. Como te decia para el ASA me funciona a la perfeccion pero no encuentro una definicion exacta para la configuracion en los routers.

Cordialmente,

Jose

Correct Answer by jose cortes about hace 3 años 4 meses

Ignacio,  Yo tengo una configuracion similar en una ASA5510, no sabría decirte por que pero para mi caso al asignación que hace el dispositivo es uno a uno, es decir a la IP 192.168.0.1 le asigna la ip 10.0.0.1, a las 192.168.0.200 le asigna la 10.0.0.200, para mi caso se que funciona ya que hace poco tiempo reemplazamos una Impresora de red que se ve a traves de la VPN a la nueva maquina se le asigno la IP 192.168.0.9 y la traduccion fue siempre la 10.0.0.9 por lo cual la impresora nunca parecio cambiar para el servidor de impresion al otro extremo del tunel. Dejame investigar un poco mas a ver si puedo darte una razón de peso.  Cordialmente,  Jose

Correct Answer by jose cortes about hace 3 años 4 meses

Hola Ignacio,

Para poder conectar estas redes mediante una VPN IPSec debes utilizar un proceso de enmascaramiento meidante NAT. La idea es la siguiente, digamos que escojes tres segmentos IP que no esten en uso en tu red:

Site A: 10.0.0.0/24

Site B: 10.1.1.0/24

Site C: 10.2.2.0/24

Ahora digamos que queremos conectar los sitios A y B. Dado que tienen el mismo segmento de red 192.168.0.0/24 esto no sera posible a menos que las IPs sean diferentes. Para cambiar la IP de un segmento utilizamos el siguiente proceso de NAT:

Creas una ACL la cual se utilizara para realizar el NAT unicamente a la comunicacion entre tu red local y el Site B (asumiendo que el site B va a utilizar le segmento 10.1.1.0/24)

ip access-list extended NAT-A2B

permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255

deny ip any any

!

Creas entonces un NAT pool para hacer la traduccion de la red 192.168.0.0/24

ip nat pool FAKE-NET 10.0.0.0 10.0.0.254 netmask 255.255.255.0

Ahora creas una regla de NAT para que todo el trafico que va desde tu Site A hacia el Site B (con al IP fake) sea enmascarado en el nuevo segmento 10.0.0.0/24

ip nat inside source NAT-A2B pool FAKE-NET overload

ahora que tienes la red enmascarada configuras la ACL para encriptar el trafico. Recuerda que el orden de procesos dentro de la comunicacion mediante un tunel es: Primero se realiza el NAT y luego se realiza la encrypcion por lo tanto aqui ya tenemos que asumir que la red local del Site A es la 10.0.0.0/24

ip access-list extended CRYPTO-A2B

permit ip 10.0.0.0 0.0.0.255 10.1.1.0 0.0.0.255

deny ip any any

A partir de este punto la configuracion de los parametros para los tuneles ISAKMP e IPSEC es el estandar. Tienes que tener presente que este mismo proceso lo debes realizar en le Site remoto con los parametros definidos para dicho Site.

Cordialmente,

Jose

Correct Answer
jose cortes Mié, 03/07/2012 - 14:47

Hola Ignacio,

Para poder conectar estas redes mediante una VPN IPSec debes utilizar un proceso de enmascaramiento meidante NAT. La idea es la siguiente, digamos que escojes tres segmentos IP que no esten en uso en tu red:

Site A: 10.0.0.0/24

Site B: 10.1.1.0/24

Site C: 10.2.2.0/24

Ahora digamos que queremos conectar los sitios A y B. Dado que tienen el mismo segmento de red 192.168.0.0/24 esto no sera posible a menos que las IPs sean diferentes. Para cambiar la IP de un segmento utilizamos el siguiente proceso de NAT:

Creas una ACL la cual se utilizara para realizar el NAT unicamente a la comunicacion entre tu red local y el Site B (asumiendo que el site B va a utilizar le segmento 10.1.1.0/24)

ip access-list extended NAT-A2B

permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255

deny ip any any

!

Creas entonces un NAT pool para hacer la traduccion de la red 192.168.0.0/24

ip nat pool FAKE-NET 10.0.0.0 10.0.0.254 netmask 255.255.255.0

Ahora creas una regla de NAT para que todo el trafico que va desde tu Site A hacia el Site B (con al IP fake) sea enmascarado en el nuevo segmento 10.0.0.0/24

ip nat inside source NAT-A2B pool FAKE-NET overload

ahora que tienes la red enmascarada configuras la ACL para encriptar el trafico. Recuerda que el orden de procesos dentro de la comunicacion mediante un tunel es: Primero se realiza el NAT y luego se realiza la encrypcion por lo tanto aqui ya tenemos que asumir que la red local del Site A es la 10.0.0.0/24

ip access-list extended CRYPTO-A2B

permit ip 10.0.0.0 0.0.0.255 10.1.1.0 0.0.0.255

deny ip any any

A partir de este punto la configuracion de los parametros para los tuneles ISAKMP e IPSEC es el estandar. Tienes que tener presente que este mismo proceso lo debes realizar en le Site remoto con los parametros definidos para dicho Site.

Cordialmente,

Jose

Ignacio Bajo Garcia Jue, 03/08/2012 - 01:10

Hola Jose

Muchas gracias por tu rapida respuesta, entiendo como debe ser la configuracion, aunque me sigue quedando la duda de la configuracion IP de los PC a los extremos de las VPN.

El SIte A, 192.168.0.0/24, enamascarado como 10.0.0.0/24. IP LAN del router 192.168.1.100/24

El SIte B, 192.168.0.0/24, enamascarado como 10.1.1.0/24. IP LAN del router 192.168.1.101/24

Teniendo en cuenta esto un PC en A, tendria por ejemplo una IP 192.168.1.1/24 , y el PC de la B la 192.168.1.2/24. Sus gateways serian tambien 192.168.1.100/24 y 101 respectivamente.

Supnemos qeu en los routers están configuradas las VPN correctamente tal y como indicas

Que pasa con los PC? Pues que cuando el PC A envía un paquete al PC B, no enviara el paquete al gateway, ya que esta dentro de su misma subred, por lo tanto, nunca llegara al router y este no podrá enmascarar la IP para enviarla a través de la VPN y finalmente al PC B. Lo mismo pasaría al revés.

Probablemente entonces estoy equivocado en algo,

Un saludo y gracais

jose cortes Jue, 03/08/2012 - 05:22

Ignacio,

en primera medid asumo que las IP lan de los routers son las 192.168.0.100 y 192.168.0.101 (es que en tu ultimo post aparecen como 1.100 y  1.101)

ahora bien, para poder que los paquetes se encripten debes empezar a asumir que tu side remoto no esta en el Segmento 192.168.0.0/24 ya que para eso es el enmascaramiento. De esta forma si estas en el Site A cualquiere computador que quiera alcanzar al Site B tiene que hacerlo mediante la IP 10.1.1.X de esta manera cuando envies un paquete a digamos la IP 10.1.1.2 el proceso sera el siguiente:

Site A:

PC1 (192.168.0.1) envia paquete a la PC2 (10.1.1.2) hacia su gateway 192.168.0.100.

El router recibe el paquete y revisa su tabla de enrutamiento y no encuentra un mejor match que 0.0.0.0 0.0.0.0 (Internet).

El router revisa el NAT y encuentra la siguiente lista NAT-A2B y realiza un NAT utilizado el NAT Pool FAKE-NET.

(ahora la IP del PC1 es 10.0.0.1)

Despues el router revisa la lista de encripcion CRYPTO-A2B y encuentra un match.

El paquete es encriptado y enviado por el tunel a la con IP destino 10.1.1.2 e IP origen 10.0.0.1.

Site B:

Se recibe un paquete por el tunel VPN con destino 10.1.1.2 y origen 10.0.0.1.

Se realiza un proceso de NAT en cual la IP 10.1.1.2 se traduce a la 192.168.0.2.

(ahora el origen del paquete es la 10.0.0.1 y el destino es la 192.168.0.2)

El router revisa su tabla de enrutamiento y envia el paquete por su interfaz LAN (192.168.0.101)

El paquete es recibido por el PC2 en tu Site B y el proceso para responder al paqutes deberia ser el Mismo.

Cordialmente,

Jose

Ignacio Bajo Garcia Jue, 03/08/2012 - 08:14


Entendido Jose,

AHora otra pregunta, al crear el pool direcciones de emascaramiento, asigna cada direccion I`P LAN a una direccion de enamscaramiento, y esta puede ir cambiando. Ejemplo, si tengo la direccion IP 192.168.0.2, esta se enamascara en la 10.1.1.2, hasta ahi correcto. ¿Pero como sabe el usuario de un PC en el otro extemo que para alcanzar la direcion 192.168.0.2, tiene que utilizar la 10.1.1.2 y no la 10.1.1.3? Ademas entiendo que la direccion que se otorge en el esmascaramiento estara dentro de un rango y por lo tanto sea aleatroria dentro de ese rango.

Espero explicarme corectamente

¿Como lo soluciona el router esta cuestion?

Gracias

Ignacio

Correct Answer
jose cortes Jue, 03/08/2012 - 09:31

Ignacio,  Yo tengo una configuracion similar en una ASA5510, no sabría decirte por que pero para mi caso al asignación que hace el dispositivo es uno a uno, es decir a la IP 192.168.0.1 le asigna la ip 10.0.0.1, a las 192.168.0.200 le asigna la 10.0.0.200, para mi caso se que funciona ya que hace poco tiempo reemplazamos una Impresora de red que se ve a traves de la VPN a la nueva maquina se le asigno la IP 192.168.0.9 y la traduccion fue siempre la 10.0.0.9 por lo cual la impresora nunca parecio cambiar para el servidor de impresion al otro extremo del tunel. Dejame investigar un poco mas a ver si puedo darte una razón de peso.  Cordialmente,  Jose

Ignacio Bajo Garcia Jue, 03/08/2012 - 09:35

Muchas gracias Jose

Si em permit4s ahora viene otra pregunta, imagina que ademas de quere hacer las VPN con overlapping, tengo otra sede D, que no esta dentro de la misma subred, y tambien quiero hacer VPN con ella. ¿Seria posible tener las dossimultaneas?

Muchas gracias

Ignacio

Correct Answer
jose cortes Jue, 03/08/2012 - 10:07

Ignacio,

Hasta donde se tu podiras hacer varias VPNs hacia distintas sedes, lo que debes hacer es siempre utilizar el mismo crypto-map ya que solo puedes asignar un crypto map por interfaz. De ahi viene la razon por la cual puedes numerar el mismo crypto map por ejemplo:

En el Site A:

crypto map MAP-OUTSIDE 10 ipsec-isakmp

set peer (IP publica del Site B)

set transform-set ESP-AES-SHA ...

match address CRYPTO-A2B

!

crypto map  MAP-OTUSIDE 20 ipsec-isakmp

set peer (IP publica del Site D)

set transform-set ESP-AES-SHA

match address CRYPTO-A2D

!

ahora bien, ya que para la oficina D no se da el caso de Overlapping entonces no necesitarias hacer el enmascaramiento de tu red local o remota. Simplement excluyes el trafico de la red 192.168.0.0/24 de tu Site A hacia tu Site B (asumamos que el Site B utilizar el segmento: 172.17.0.0/24) en tu lista de NAT global deberias adicionar las siguientes reglas:

ip access-list extended NAT

deny ip 192.168.0.0 0.0.0.255 172.17.0.0 0.0.0.255

permit ip any any

y simplemente la lista de acceso para la encrypcion seria:

ip access-list extended CRYPTO-A2D

permit ip 192.168.0.0 0.0.0.255 172.17.0.0 0.0.0.255

deny ip any any

En tu site D tendiras que utilizar el mismo esquema es decir no necesitarias enmascarar la red.

Ten en cuenta que Todo este escenario no considera una configuracion de Hub-and-Spoke ya que si quieres que todas las sedes se conecten mediante el Site A el tema de enmascaramiento puede ser problematico.

Ahora bien, si quieres que el Site D se comunique con las otras sedes debes crear un segundo enmascaramiento en los Sites B y C ya que se esta manejando el Site A con la IP 192.168.0.0/24 desde el punto de vista del Site D y solo se podira tener un tunel VPN apuntando directamente dicho segmento.

respecto al tema del NAT overlapping estoy verificando porque no se si sea del todo cierto para los Routers. Como te decia para el ASA me funciona a la perfeccion pero no encuentro una definicion exacta para la configuracion en los routers.

Cordialmente,

Jose

Correct Answer
jose cortes Jue, 03/08/2012 - 18:21

Hola Ignacio,

Revisando la configuracion en un route que tengo encontre la forma que las IPs siempre hagan match con su IP de traduccion. El pool deberia definirse de la siguiente manera

ip nat pool FAKE-NET 10.0.0.0 10.0.0.1 prefix-length 24 type match-host

o asi (es lo mismo)

ip nat pool XXXX 10.0.0.0 10.0.0.1 mask 255.255.255.0 type match-host

de esta manera aseguras que La IP 192.168.0.200 siempre sea traducida al a IP 10.0.0.200 en el Site A. Asi mismo para los otros Sites. Con esto podrias configurar los PC de manera que si quieren acceder a un recurso compartido en la otra oficina on tiene que estar cambiando la IP cada vez que la traduccion cambie.

Jose

---------Por favor no olvides calificar el post si la respuesta te es util.----------

Ignacio Bajo Garcia Vie, 03/09/2012 - 00:44

Hola Jose

ya he marcado las respuetas como corectas, disculpa no haberlo hecho, pero creia que no tenia influecia, veo que si.

Supongo que no habria problemas para implantarlo para VoIP.

Otra cosa mas, ¿donde puedo revisar que direccion enmascarada se asigna a las IP reales? Entenderas por qeu lo pregunto,

Un saludo

Ignacio

Acciones

This Discussion