[Insider Sharing] cómo configurar L2TP sobre IPsec con el compendio de NAT traversal

80 0 0 0

¿Adicto a las VPN’s? ¡Mira esto! Deje que los usuarios encuentren una forma sencilla de conectarse de forma segura a la oficina. ¿Qué piensa de L2TP sobre IPSec con la solución NAT traversal vpn? L2TP está ampliamente desplegado en la red empresarial y como empleado de viajes, puede iniciar la sesión de dialup para que el gateway pueda identificarlo y gestionar su acceso.

Por supuesto, tenemos que garantizar la seguridad, el tráfico debe ser encapsulado a través de IPSec y el router de rama de gateway debe funcionar como LNS con servicio de firewall desplegado.

Por lo general, cuando usted viaja su conexión a Internet pasa por el dispositivo NAT. Por lo tanto, tendremos que considerar la posibilidad de habilitar la función NAT traversal para IKE.

Supongamos que tu router de sucursal es un AR157 y estás localizado en algún lugar de Internet.

Para hacerlo simple, dividamos las configuraciones del AR en 3 partes.

1. Configuración L2TP:

#

l2tp enable                      //Habilitar L2TP.

#

ip pool lns                         //Crear un pool de direcciones IP llamado lns desde el cual se asignan direcciones IP para acceder a los usuarios.

gateway-list 192.168.0.1

 network 192.168.0.0 mask 255.255.255.0

#

aaa                                                         //Configurar el usuario y contraseña para el acceso L2TP.

local-user admin password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@

 local-user admin server-type ppp      

interface Virtual-Template1                           //Crear un grupo L2TP y establecer los parámetros para la creación del túnel L2TP.

 ppp authentication-mode pap                                //Elegir un modo de autenticación, ya sea CHAP o PAP

remote address pool lns                                                    //Unir la IP del pool con la interfaz lóigica

ip address 192.168.0.1 255.255.255.0                                       //Dirección IP del gateway.

#

l2tp-group 1

 undo tunnel authentication                                     //Se recomienda el modo de no autenticación para el dialup de PC.

 allow l2tp virtual-template 1                                                        //Unir la interfaz lógica con el grupo.

#

2. Configuración IPSec

#

 ike local-name xp      //Utilice el nombre local para la negociación IKE. El nombre local debe ser utilizado para NAT traversal en IPSec.

#

ipsec proposal 1

#

ike peer xp v1                                                                  

 exchange-mode aggressive        //Configure el modo agresivo. NAT traversal sólo se puede utilizar en modo agresivo.

 pre-shared-key simple huawei                                               //Se utiliza Huawei Pre-shared-key.

local-id-type name                                                   //Establecer el nombre del ID local para la negociación IKE.

 nat traversal                                                                              //Habilitar NAT traversal.

#

ipsec policy-template xptemp 2                    //Configure una plantilla de políticas IPSec para que se puedan procesar las solicitudes de negociación de múltiples PC.

ike-peer xp                                                                   

 proposal 1

#

ipsec policy xp 1 isakmp template xptemp                                  //Referencia de una plantilla de política IPSEC dentro de una politica IPSEC.

#

interface GigabitEthernet1/0/0

 ip address 79.115.174.167 255.255.255.0

 ipsec policy xp                                                                                         /Unir una politica IPSEC a una interfaz.

#

3. Configuración de un Firewall

#

acl number 3001                                                                                    //Configure una ACL.

 rule 5 permit udp destination-port eq 1701                //Configure una regla ACL que permita los paquetes provenientes del Puerto L2TP

 rule 10 permit udp destination-port eq 4500                       //Configure una regla ACL para permitir paquetes desde un puerto L2TP especificado después de la ruta NAT en IPSec.

 rule 15 permit udp destination-port eq 500                //Configure una regla ACL para permitir paquetes desde un puerto L2TP especificado antes de la ruta NAT en IPSec.

#                                                                               

firewall zone untrust                                                                               //Establecer zona de prioridades.                                 

priority 1                                                                    

#                                                                               

firewall zone trust                                                            

 priority 15                                                                   

#

firewall interzone trust untrust                                                 //Configure una politica de interzonas.                                            

 firewall enable                                                               

packet-filter 3001 inbound                                     //Configure el firewall y habilite el filtrado de paquetes.

#

interface GigabitEthernet1/0/0                                         //Añadir una interfaz WAN a la zona untrust.

 zone untrust

#

La configuración del router ha terminado, ahora deberíamos centrarnos en PC. Recomiendo utilizar Secoway Client de Huawei. Es muy fácil de usar. Pasos de configuración:

  1. Configurar dirección IP del servidor LNS, usuario y contraseña.  

      2. Configurar autenticación PAP

 

      3. Ajustar configuraciones de IPSEC

 

      4. Configure el intercambio IKE, así como el tipo de ID y el nombre del Gateway remoto así como aparece a continuación

 



Se ha terminado la configuración del cliente VPN. Inicializar el túnel desde el lado del cliente VPN. Una vez que la conexión IPSEC esté funcionando, el AR 157 enviará una dirección IP al PC y el acceso abierto.

 

En el lado AR, si el túnel está arriba, podemos observar la fase 1 y fase 2 de IKE, y los SAs IPSec ESP están disponibles para entrada y salida:

 

<AR157VW>dis ike sa                                                             
       Conn-ID  Peer            VPN   Flag(s)                Phase                 
       ---------------------------------------------------------------               
            72    109.166.132.98  0     RD                     2                     
            71    109.166.132.98  0     RD                     1                     
                                                                                
       Flag Description:                                                             
       RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
       HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
                                                                                      
       

<AR157VW>dis ipsec sa   

---------------------------------------------------------

          [Outbound ESP SAs]                                                          
      SPI: 430133074 (0x19a34f52)                                               
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5                                 
      SA remaining key duration (bytes/sec): 1887410207/3451                    
      Max sent sequence-number: 309                                             
      UDP encapsulation used for NAT traversal: Y                               
                                                                                
    [Inbound ESP SAs]                                                           
      SPI: 857401420 (0x331ae84c)                                               
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5                                 
      SA remaining key duration (bytes/sec): 1887400228/3451                    
      Max received sequence-number: 411                                         
      Anti-replay window size: 32                                               
      UDP encapsulation used for NAT traversal: Y          

Túnel L2TP esta arriba y tenemos una dirección IP asociada al dispositivo remoto

           <AR157VW>dis l2tp tunnel                                                        
                                                                                
                 Total tunnel = 1                                                               
                  LocalTID   RemoteTID     RemoteAddress     Port    Sessions      RemoteName                 
                         2              1               192.168.0.195       2193         1  

 

Eso es todo, si tienen algo que agregar,, favor de postearlo aqui.


 
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje