VPN entre un ASA con una IP estática y un router con una IP dinámica

Buenas,

Hace poco recibí una consulta acerca de cómo crear un VPN túnel entre dos sitios si uno de estos tenía una IP dinámica.

En el escenario con el que vamos a trabajar el sitio que utiliza un router para poder ir a internet obtiene la IP mediante DHCP por parte del ISP.

Del lado del ASA tenemos una IP asignada de manera estática.

VPN

Configuración básica del ASA (Corriendo la versión 8.4.2)


ASA Version 8.4(2)
!
hostname San-Jose
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 50.50.50.1 255.255.255.0
!
interface GigabitEthernet1
nameif Inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
object network Inside_LAN
subnet 192.168.10.0 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 50.50.50.2 1

policy-map global_policy
class inspection_default
inspect icmp

Configuration básica del router


version 15.1
!
interface FastEthernet1/0
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 60.60.60.1 254
!
ip access-list extended No_NAT
permit ip 192.168.20.0 0.0.0.255 any

Ahora vamos a empezar a configurar la información relacionada a VPN.

Empezamos del lado del Router


No hay cambios en la configuración ya que el otro sitio tiene una IP estática.

ip access-list extended No_NAT
1 permit ip 192.168.20.0 0.0.0.255 any
!
crypto isakmp policy 10
encryption aes
group 2
hash sha
authentication pre-share
!
crypto isakmp key cisco123 address 50.50.50.1
!
crypto ipsec transform-set cisco123 esp-aes esp-sha-hmac
!
ip access-list extended Crypto_ACL
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
!
crypto map San-Jose 10 ipsec-isakmp
set transform-set cisco123
set peer 50.50.50.1
!
interface fastEthernet 1/0
crypto map San-Jose

Configuremos el ASA:


  1. Utilizamos el DefaultL2LGroup como tunnel-group: Debido a que en el ASA se pone siempre en el tunnel-group la IP del otro Sitio del VPN.
  2. No hace falta configurar el ¨set peer ¨en el crypto map debido a que la IP es dinámica en el otro sitio y podría cambiar en cualquier momento.
  3. No hace falta configurar el crypto-ACL debido a que nuestro sitio nunca va a iniciar la conexión del VPN (El VPN siempre lo iniciara el sitio con la IP Dinámica). Por ende basado en lo que el crypto IPSec sa que el otro sitio diga el responderá.
  4. Se requiere del uso de un crypto-map dinámico debido a que no sabemos la IP del sitio remoto y este crypto-map dinámico se utiliza para recibir sesiones de sitios con IP dinámicos [Clientes de acceso remoto de VPN por ejemplo].

object network Remote_LAN
subnet 192.168.20.0 255.255.255.0
!
nat (Inside,outside) 1 source static Inside_LAN Inside_LAN destination static Remote_LAN Remote_LAN
!
crypto ikev1 enable outside
!
crypto ikev1 policy 10
encryption aes
group 2
hash sha
authentication pre-share
crypto ipsec ikev1 transform-set cisco esp-aes esp-sha-hmac
!
crypto dynamic-map LAB 10 set ikev1 transform-set cisco
!
crypto map Static 65535 ipsec-isakmp dynamic LAB
crypto map Static interface outside
!
tunnel-group DefaultL2LGroup ipsec-attributes
ikev1 pre-shared-key cisco123
Esa sería la configuración. Llego la hora de probarlo:


  1. Enviaremos un paquete ICMP desde 192.168.20.2 hacia 192.168.10.1 (Recordar que solo el Sitio de la IP Dinámica puede iniciar la sesión).

Colorado_Client#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 164/230/368 ms

Colorado#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
50.50.50.1 60.60.60.2 QM_IDLE 1001 ACTIVE

IPv6 Crypto ISAKMP SA

San-Jose(config)# sh crypto isakmp sa

IKE Peer: 60.60.60.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE

There are no IKEv2 SAs

IKEv1 SAs:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

Vamos a inspeccionar ahora la política de IPSec en el ASA


San-Jose(config)# sh crypto ipsec sa
interface: outside
Crypto map tag: LAB, seq num: 10, local addr: 50.50.50.1

local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer: 60.60.60.2

Vemos que el ASA aprendió de manera dinámica cual es la IP del otro lado del VPN.


Por ende ahora podremos enviar tráfico de la red de detrás del ASA hacia el Router:


Client-SanJose#ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 136/173/220 ms

Espero y les haya servido de mucho

Jcarvaja

Para mas información visita mi sitio web en http://laguiadelnetworking.com

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎09-10-2013 09:18 AM
Actualizado por:
 
Etiquetas (1)
Comentarios
New Member

Hola julio

Excelente documento,  pero la mayoria de las veces que se requiere una VPN con uno de los extremos con IP dinamica, es porque se usa un modem ADSL, es decir como configuras el router para que obtenga esa IP dinamica en vez del modem?

Gracias

Buenas Jaime,

Gracias por el comentario,

Bueno pues si el router va a recibir una IP dinámica tienes primero que determinar que protocolo de encaspulacion vas a usar en el link (Ethernet, PPP, etc).

Posteriormente configuras tu dispositivo para que obtenga la IP de la manera correcta

Ejemplo con DHCP

interface gig 0/0

ip address dhcp

Saludos,

Recuerda visitar http://laguiadelnetworking.com para mucha más información