Buen dia, en el siguiente post, veremos cómo implementar VPN IPSec de LAN a LAN cuando los dispositivos en diferentes sitios usan la misma dirección IP privada
Figura 1. Topologia de Red.
Como se muestra en la figura anterior, la empresa X tiene tres sitios. El sitio 1 es el sitio principal, y los sitios 2 y 3 son sitios de sucursales. Los firewalls en los tres sitios se conectan a Internet a través de enlaces WAN. El cliente requiere que la VPN IPSec de LAN a LAN se despliegue entre los sitios 1 y 2 y entre los sitios 1 y 3 (como se muestra en la figura), para que Server1 pueda comunicarse con Server2 y Server3 de forma segura. Los tres servidores utilizan la misma dirección IP privada, que es 192.168.1.1 en este ejemplo. El cliente no desea ajustar las direcciones IP de los dispositivos en la red para cumplir con los nuevos requisitos.
Figura 2. Topologia con NAT.
El roadmap de la implementación es la siguiente: Primero, implemente la función del servidor NAT en el firewall en cada sitio para asignar la dirección IP del servidor local (192.168.1.1) a una dirección IP pública. Por ejemplo, en FW1, asigne 192.168.1.1 a 1.1.1.1; en FW2, el mapa 192.168.1.1 a 2.2.2.2; en FW3, el mapa 192.168.1.1 a 3.3.3.3, como se muestra en la figura anterior. A continuación, implemente túneles VPN IPSec entre FW1 y FW2, y entre FW1 y FW3. El tráfico protegido por el túnel IPSec VPN desde FW1 a FW2 es el tráfico enviado desde 1.1.1.1 a 2.2.2.2. El tráfico protegido por el túnel VPN IPSec de FW2 a FW1 es el tráfico enviado desde 2.2.2.2 a 1.1.1.1. De manera similar, el tráfico protegido por el túnel VPN IPSec de FW3 a FW1 es el tráfico enviado desde 3.3.3.3 a 1.1.1.1.
Después de implementar IPSec VPN y NAT, analice la secuencia de intercambio de paquetes de datos, como se muestra en la siguiente figura. A continuación se describe la secuencia del Server1 enviando un paquete a Server2. La dirección IP de destino es 2.2.2.2. Una vez que el paquete llega a FW1, se realiza NAT para traducir la dirección IP de origen a 1.1.1.1. Luego, el paquete se enruta a la interfaz de salida GE0 / 0/2. El paquete coincide con la política de IPSec implementada en la interfaz de salida porque el tráfico está protegido por el túnel VPN de IPSec. Por lo tanto, los datos se cifran, se analizan y luego se encapsulan con un encabezado de túnel. El paquete modificado se envía a FW2. FW2 elimina el encabezado del túnel del paquete, realiza la comprobación de integridad y descifrado para obtener datos en texto sin formato, traduce la dirección IP de destino (2.2.2.2) del paquete en 192.168.1.1 y envía el paquete al Servidor1 en el sitio local. El tráfico entre otros servidores se evalua de la misma manera.
Figura 3. Intercambio de paquetes.
Este documento se centra en la configuración VPN IPSec. El metodo de configuración de interfaces en firewalls, adición de interfaces a zonas y configuración de políticas IPSec no se proporciona aquí.
Las configuraciones clave en FW1 son las siguientes:
# Configure la función del servidor NAT para asignar la dirección IP privada 192.168.1.1 a 1.1.1.1.
nat server global 1.1.1.1 inside 192.168.1.1
# Configure ACL 3001 para que coincida con el tráfico enviado desde Server1 a Server2. Configure ACL 3002 para que coincida con el tráfico enviado desde Server1 a Server3.
acl number 3001
rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
acl number 3002
rule 5 permit ip source 1.1.1.1 0 destination 3.3.3.3 0
# Configure una propuesta de seguridad utilizada en la fase IKE 1. Para simplificar la configuración, use el algoritmo de cifrado predeterminado y el algoritmo hash.
ike proposal 1
# Cree los peers IKE fw2 y fw3, que corresponden a dos puntos finales (FW2 y FW3) de túneles VPN IPSec.
ike peer fw2
pre-shared-key Huawei123
ike-proposal 1
remote-address 200.2.2.2
ike peer fw3
pre-shared-key Huawei123
ike-proposal 1
remote-address 200.3.3.3
# Configure una propuesta de seguridad utilizada en la fase IKE 2. Para simplificar la configuración, use el protocolo de seguridad, el algoritmo de cifrado y el algoritmo hash predeterminados.
ipsec proposal myset
# Configure una política IPSec con dos números de secuencia, que corresponden a dos túneles VPN IPSec.
ipsec policy test 1 isakmp
security acl 3001
ike-peer fw2
proposal myset
ipsec policy test 2 isakmp
security acl 3002
ike-peer fw3
proposal myset
# Aplique la política IPSec a la interfaz de salida GE0 / 0/2.
interface GigabitEthernet0/0/2
ipsec policy test
# Configurar la ruta por defecto.
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
Las configuraciones clave en FW2 son las siguientes:
nat server global 2.2.2.2 inside 192.168.1.1
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 1.1.1.1 0
ike proposal 1
ike peer fw1
pre-shared-key Huawei123
ike-proposal 1
remote-address 200.1.1.1
ipsec proposal myset
ipsec policy test 1 isakmp
security acl 3000
ike-peer fw1
proposal myset
interface GigabitEthernet0/0/2
ipsec policy test
ip route-static 0.0.0.0 0.0.0.0 200.2.2.1
Las configuraciones clave en FW3 son las siguientes:
nat server global 3.3.3.3 inside 192.168.1.1
acl number 3000
rule 5 permit ip source 3.3.3.3 0 destination 1.1.1.1 0
ike proposal 1
ike peer fw1
pre-shared-key Huawei123
ike-proposal 1
remote-address 200.1.1.1
ipsec proposal myset
ipsec policy test 1 isakmp
security acl 3000
ike-peer fw1
proposal myset
interface GigabitEthernet0/0/2
ipsec policy test
ip route-static 0.0.0.0 0.0.0.0 200.3.3.1
Una vez completada la configuración, haga ping en Server2 desde Server1. Las siguientes sesiones se muestran en FW1:
<FW1>display firewall session table
Current Total Sessions : 6
esp VPN:public --> public 200.2.2.2:0-->200.1.1.1:0
icmp VPN:public --> public 192.168.1.1:21053[1.1.1.1:21053]-->2.2.2.2:2048
icmp VPN:public --> public 192.168.1.1:21565[1.1.1.1:21565]-->2.2.2.2:2048
icmp VPN:public --> public 192.168.1.1:21821[1.1.1.1:21821]-->2.2.2.2:2048
icmp VPN:public --> public 192.168.1.1:22077[1.1.1.1:22077]-->2.2.2.2:2048
icmp VPN:public --> public 192.168.1.1:22333[1.1.1.1:22333]-->2.2.2.2:2048
Las siguientes sesiones se muestran en FW2:
<FW2>display firewall session table
Current Total Sessions : 6
esp VPN:public --> public 200.1.1.1:0-->200.2.2.2:0
icmp VPN:public --> public 1.1.1.1:21053-->2.2.2.2:2048[192.168.1.1:2048]
icmp VPN:public --> public 1.1.1.1:21565-->2.2.2.2:2048[192.168.1.1:2048]
icmp VPN:public --> public 1.1.1.1:21821-->2.2.2.2:2048[192.168.1.1:2048]
icmp VPN:public --> public 1.1.1.1:22077-->2.2.2.2:2048[192.168.1.1:2048]
icmp VPN:public --> public 1.1.1.1:22333-->2.2.2.2:2048[192.168.1.1:2048]
Saludos.