¿Adicto a las VPN’s? ¡Mira esto! Deje que los usuarios encuentren una forma sencilla de conectarse de forma segura a la oficina. ¿Qué piensa de L2TP sobre IPSec con la solución NAT traversal vpn? L2TP está ampliamente desplegado en la red empresarial y como empleado de viajes, puede iniciar la sesión de dialup para que el gateway pueda identificarlo y gestionar su acceso.
Por supuesto, tenemos que garantizar la seguridad, el tráfico debe ser encapsulado a través de IPSec y el router de rama de gateway debe funcionar como LNS con servicio de firewall desplegado.
Por lo general, cuando usted viaja su conexión a Internet pasa por el dispositivo NAT. Por lo tanto, tendremos que considerar la posibilidad de habilitar la función NAT traversal para IKE.
Supongamos que tu router de sucursal es un AR157 y estás localizado en algún lugar de Internet.
Para hacerlo simple, dividamos las configuraciones del AR en 3 partes.
1. Configuración L2TP:
#
l2tp enable //Habilitar L2TP.
#
ip pool lns //Crear un pool de direcciones IP llamado lns desde el cual se asignan direcciones IP para acceder a los usuarios.
gateway-list 192.168.0.1
network 192.168.0.0 mask 255.255.255.0
#
aaa //Configurar el usuario y contraseña para el acceso L2TP.
local-user admin password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@
local-user admin server-type ppp
#
interface Virtual-Template1 //Crear un grupo L2TP y establecer los parámetros para la creación del túnel L2TP.
ppp authentication-mode pap //Elegir un modo de autenticación, ya sea CHAP o PAP
remote address pool lns //Unir la IP del pool con la interfaz lóigica
ip address 192.168.0.1 255.255.255.0 //Dirección IP del gateway.
#
l2tp-group 1
undo tunnel authentication //Se recomienda el modo de no autenticación para el dialup de PC.
allow l2tp virtual-template 1 //Unir la interfaz lógica con el grupo.
#
2. Configuración IPSec
#
ike local-name xp //Utilice el nombre local para la negociación IKE. El nombre local debe ser utilizado para NAT traversal en IPSec.
#
ipsec proposal 1
#
ike peer xp v1
exchange-mode aggressive //Configure el modo agresivo. NAT traversal sólo se puede utilizar en modo agresivo.
pre-shared-key simple huawei //Se utiliza Huawei Pre-shared-key.
local-id-type name //Establecer el nombre del ID local para la negociación IKE.
nat traversal //Habilitar NAT traversal.
#
ipsec policy-template xptemp 2 //Configure una plantilla de políticas IPSec para que se puedan procesar las solicitudes de negociación de múltiples PC.
ike-peer xp
proposal 1
#
ipsec policy xp 1 isakmp template xptemp //Referencia de una plantilla de política IPSEC dentro de una politica IPSEC.
#
interface GigabitEthernet1/0/0
ip address 79.115.174.167 255.255.255.0
ipsec policy xp /Unir una politica IPSEC a una interfaz.
#
3. Configuración de un Firewall
#
acl number 3001 //Configure una ACL.
rule 5 permit udp destination-port eq 1701 //Configure una regla ACL que permita los paquetes provenientes del Puerto L2TP
rule 10 permit udp destination-port eq 4500 //Configure una regla ACL para permitir paquetes desde un puerto L2TP especificado después de la ruta NAT en IPSec.
rule 15 permit udp destination-port eq 500 //Configure una regla ACL para permitir paquetes desde un puerto L2TP especificado antes de la ruta NAT en IPSec.
#
firewall zone untrust //Establecer zona de prioridades.
priority 1
#
firewall zone trust
priority 15
#
firewall interzone trust untrust //Configure una politica de interzonas.
firewall enable
packet-filter 3001 inbound //Configure el firewall y habilite el filtrado de paquetes.
#
interface GigabitEthernet1/0/0 //Añadir una interfaz WAN a la zona untrust.
zone untrust
#
La configuración del router ha terminado, ahora deberíamos centrarnos en PC. Recomiendo utilizar Secoway Client de Huawei. Es muy fácil de usar. Pasos de configuración:
- Configurar dirección IP del servidor LNS, usuario y contraseña.
2. Configurar autenticación PAP
3. Ajustar configuraciones de IPSEC
4. Configure el intercambio IKE, así como el tipo de ID y el nombre del Gateway remoto así como aparece a continuación
Se ha terminado la configuración del cliente VPN. Inicializar el túnel desde el lado del cliente VPN. Una vez que la conexión IPSEC esté funcionando, el AR 157 enviará una dirección IP al PC y el acceso abierto.
En el lado AR, si el túnel está arriba, podemos observar la fase 1 y fase 2 de IKE, y los SAs IPSec ESP están disponibles para entrada y salida:
<AR157VW>dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
72 109.166.132.98 0 RD 2
71 109.166.132.98 0 RD 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
<AR157VW>dis ipsec sa
---------------------------------------------------------
[Outbound ESP SAs]
SPI: 430133074 (0x19a34f52)
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 1887410207/3451
Max sent sequence-number: 309
UDP encapsulation used for NAT traversal: Y
[Inbound ESP SAs]
SPI: 857401420 (0x331ae84c)
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
SA remaining key duration (bytes/sec): 1887400228/3451
Max received sequence-number: 411
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: Y
Túnel L2TP esta arriba y tenemos una dirección IP asociada al dispositivo remoto
<AR157VW>dis l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
2 1 192.168.0.195 2193 1
Eso es todo, si tienen algo que agregar,, favor de postearlo aqui.
