Solucionado: VPN con NO-IP

nmartin01 · ‎01-19-2014

Hola amigos,

sabeis si se puede crear una VPN punto a punto sin tener ips estaticas...

Espero vuestras respuestas. Gracias

laramire2 · ‎02-18-2014

Hola Nacho,

No hay problema. Como te mencione anteriormente no creo que la configuracion se pueda realizar usando SDM. Yo lo he configurado solo usando CLI. Lo primero que tenemos que verificar es que podemos resolver una de las IPs publicas usando DNS. Despues de eso podremos decidir cual va ser el lado estatico y el lado dinamico. El comando set peer DOMAIN NAME dynamic nos va ayudar a resolver la IP address de cualquiera de los 2 lados usando DNS. Lo que quiero decir con esto es que un lado va llevar la configuracion del crypto map estatico y el otro el crypto map dinamico. Por favor mandeme la configuracion que tiene actualmente y cual IP publica se puede resolver usando DNS. Con esa informacion yo podre enviarte un template con la configuracion que necesitarias aplicar.

Si tienes alguna pregunta por favor no dudes en contactarme.

Luis.

Ver la solución en mensaje original publicado

laramire2 · ‎01-22-2014

Hola Nacho,

Si estas usando Routers si se puede configurar un VPN punto a punto usando direcciones IP dinamicas en ambos lados. Aparte de la configuracion basica tienes que usar la siguiente configuracion:

-El comando “set peer dynamic” en el lado del tunel que vas a usar el crypto map estatico.

-En el router remoto tienes que configurar un crypto map dinamico normal.

Con el comando “set peer dynamic” el nombre del peer remoto va ser resuelto usando DNS lookup antes de establecer la VPN.

Tenemos que tener presente que solo el router con el crypto map estatico va poder iniciar la VPN.

Aca te muestro un ejemplo de como configurar que el router pueda resolver DNS en tiempo real para el peer remoto. Como dije anteriormente esto va a pasar antes de establecer la VPN

crypto map vpn_outside 100 ipsec-isakmp

match address 111

set peer vpn.cisco.com dynamic

set transform-set 3DES-SHA

Gracias y espero que sirva de ayuda.

Luis.

nmartin01 · ‎01-23-2014

Hola Luis,

en primer lugar 1000 gracias por contestar.

Comentarte que la configuración la estoy realizando con SDM.

Estoy siguiendo este tutorial

http://gnunick.blogspot.com.es/2011/09/configurando-tunel-vpn-en-router-cisco.html

Voy a intentar utilizar este tutorial para realizar la conexión dinamica ptp.

Gracias amigo

laramire2 · ‎01-24-2014

Con mucho gusto Nacho, no se si el SDM tenga esa opcion exactamente pero lo que puede hacer es configurar el VPN basico y despues hacer los cambios respectivos atravez de la linea de comando.

Recuerda calificar el post se te sirvio la respuesta.

Muchas Gracias,

Luis.

nmartin01 · ‎01-28-2014

Hola Luis,

¿Se puede configurar que el Router (crypto map estatico) levante automaticamente el servicio VPN, sin tener que hacer un PING manualmente al crypto map dinamico cuando se reinicia el Router?

Muchas gracias y un saludo

nmartin01 · ‎02-17-2014

Hola Luis,

sigo sin poder hacer un tunel vpn entre dos sedes con ip dinamico.

Podrías ayudarme un poco más y profundizar un poco en como hacerlo paso a paso. Me estoy volviendo loco jejej

Gracias

laramire2 · ‎02-18-2014

Hola Nacho,

No hay problema. Como te mencione anteriormente no creo que la configuracion se pueda realizar usando SDM. Yo lo he configurado solo usando CLI. Lo primero que tenemos que verificar es que podemos resolver una de las IPs publicas usando DNS. Despues de eso podremos decidir cual va ser el lado estatico y el lado dinamico. El comando set peer DOMAIN NAME dynamic nos va ayudar a resolver la IP address de cualquiera de los 2 lados usando DNS. Lo que quiero decir con esto es que un lado va llevar la configuracion del crypto map estatico y el otro el crypto map dinamico. Por favor mandeme la configuracion que tiene actualmente y cual IP publica se puede resolver usando DNS. Con esa informacion yo podre enviarte un template con la configuracion que necesitarias aplicar.

Si tienes alguna pregunta por favor no dudes en contactarme.

Luis.

nmartin01 · ‎02-19-2014

Este es el extremo que quiero que sea su ip fija

!This is the running config of the router: 10.10.10.1

!----------------------------------------------------------------------------

!version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname MADRID

!

boot-start-marker

boot-end-marker

!

no aaa new-model

clock timezone Paris 1

clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00

!

crypto pki trustpoint TP-self-signed-721716759

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-721716759

revocation-check none

rsakeypair TP-self-signed-721716759

!

crypto pki certificate chain TP-self-signed-721716759

certificate self-signed 01

3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 37323137 31363735 39301E17 0D313430 31323932 30343130

305A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3732 31373136

37353930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

98A83810 CD64F448 5DA2A544 294C1F2E C0DD16BC 3EA9FBEA 6F5CFBB5 A0D36A63

06E891A4 A4354E06 804826E9 46E05EA3 F1A2CE53 B821F5F5 FEF90CD9 04763DDA

8DC26274 D4C3F0F1 4E9325FF A6EF67CD 36EE0708 FD333636 2625A89A 11934EB8

46F68077 2585A8DA B7B2C5AA 16789018 2D28CD9A 1A101CBA CB6384CB 46AD0B21

02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D

11040A30 0882064D 41445249 44301F06 03551D23 04183016 80146B3B E10F7607

DFDE2198 853F5E9D C4424F9F C8FA301D 0603551D 0E041604 146B3BE1 0F7607DF

DE219885 3F5E9DC4 424F9FC8 FA300D06 092A8648 86F70D01 01040500 03818100

007C92A8 C4DCC8D0 3D31506B BAF7D459 23207D00 8EA0B6CC C8E0C55C 0AFA0976

4B17BA09 214C8D16 8665832D 11EAFF46 85BB15C5 79D1BA21 EE45BBC5 F2202082

8B15F8ED 68CED28C D36C3116 F1105291 E4253958 A731ECC2 A978BCCB D1402613

6F2385FA 7A5885C6 99327183 0A8F421D 7348E193 A9CCD342 B4D03E6B 80E3D4B2

quit

dot11 syslog

ip cef

!

ip name-server 87.216.1.65

ip name-server 87.216.1.66

ip ddns update method sdm_ddns1

HTTP

add http://vpnpruebas:1234567890@members.dyndns.org/nic/update?system=dyndns&hostname=1234567890@members.dyndns.org/nic/update?system=dyndns&hostname=&myip=

remove http://vpnpruebas:1234567890@members.dyndns.org/nic/update?system=dyndns&hostname=1234567890@members.dyndns.org/nic/update?system=dyndns&hostname=&myip=

!

multilink bundle-name authenticated

!

username usuario privilege 15 password 0 clave

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key Clave VPN address 0.0.0.0 0.0.0.0

!

crypto ipsec transform-set VPN esp-3des esp-sha-hmac

!

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set VPN

match address 100

!

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

!

archive

log config

hidekeys

!

interface ATM0

no ip address

no atm ilmi-keepalive

dsl operating-mode auto

!

interface ATM0.1 point-to-point

pvc 8/35

pppoe-client dial-pool-number 1

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

!

interface Dialer0

ip ddns update hostname MADRID.vpnpruebas.dyndns.org

ip ddns update sdm_ddns1

ip address negotiated

ip mtu 1452

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication chap callin

ppp chap hostname usuario jazztel

ppp chap password 0 clave jazztel

crypto map SDM_CMAP_1

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer0

!

ip http server

ip http authentication local

ip http secure-server

ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload

!

access-list 1 remark INSIDE_IF=Vlan1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.255

access-list 100 remark SDM_ACL Category=4

access-list 100 remark IPSec Rule

access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.60.0 0.0.0.255

access-list 101 remark SDM_ACL Category=2

access-list 101 remark IPSec Rule

access-list 101 deny ip 10.10.10.0 0.0.0.255 192.168.60.0 0.0.0.255

access-list 101 permit ip 10.10.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

!

route-map SDM_RMAP_1 permit 1

match ip address 101

!

control-plane

!

line con 0

no modem enable

line aux 0

line vty 0 4

privilege level 15

login local

!

scheduler max-task-time 5000

ntp clock-period 17179615

ntp server 87.216.1.241 source Dialer0 prefer

ntp server 87.216.1.249 source Dialer0 prefer

end

laramire2 · ‎02-19-2014

Gracias por la informcacion Nacho!

Basado en la configuracion que me enviaste este seria el lado con dynamic DNS y crypto map dynamico para aceptar la conneccion del lado remoto. Imaginandome que DDNS esta trabajando apropiadamente ahora tenemos que configurar el lado remoto con un crypto map estatico señalando el peer MADRID.vpnpruebas.dyndns.org. Esta seria un ejemplo para la configuracion para el lado remoto:

Ejemplo:

access-list 100 permit ip 192.168.60.0 0.0.0.255 10.10.10.0 0.0.0.255

!

crypto isakmp policy 1

encryption 3des

hash sha

authentication pre-share

group 2

!

crypto isakmp key cisco hostname MADRID.vpnpruebas.dyndns.org no-xauth

crypto ipsec transform-set VPN esp-3des esp-sha-hmac

!

crypto map vpn 10 ipsec-isakmp

set peer MADRID.vpnpruebas.dyndns.org dynamic

set transform-set VPN

match address 100

!

interface (outside)

crypto map vpn

!

access-list 101 deny ip 192.168.60.0 0.0.0.255 10.10.10.0 0.0.0.255

access-list 101 permit ip 192.168.60.0 0.0.0.255 any

!

route-map SDM_RMAP_1 permit 1

match ip address 101

!

ip nat inside source route-map SDM_RMAP_1 interface (outside) overload

Recuerde que el tunel solo se podra iniciar del lado que tiene la configuracion del crypto map estatico. Lo que significa que el trafico se va a iniciar de este lado.

Espero que le sirva de ayuda. Pruebe la configuracion y me mantiene al tanto de lo que sucede.

Luis.