L2TP VPNs LAC auto-iniciadas

128 0 0 0

Las VPN LAC auto-iniciadas, también se denominan VPN LAC de marcación automática. Estos hacen exactamente lo que suenan como lo hacen, después de que se completa la configuración  LAC, el LAC marcará automáticamente el LNS y establecerá un túnel y una sesión de L2TP, lo que significa que no es necesario que el usuario de la sucursal de la organización marque para activar esto. Para el usuario de la organización de sucursal, esto significa que acceder a la red de la Sede es lo mismo que acceder a la red de su propia organización de sucursal, y él/ella no se sentirá como si estuvieran en una conexión remota. Sin embargo, en este método, el LNS solo autentica el LAC, de modo que mientras el usuario de la organización de la sucursal pueda conectarse al LAC, puede usar el túnel L2TP para conectarse a la Sede, lo que significa que éste método ofrece una seguridad ligeramente menor en comparación con las VPN NAS iniciadas.


1 Principios y configuración de VPN LAC auto-iniciada


Como se muestra en la Figura 1-1, el proceso de configuración para las VPN LAC auto-iniciadas, es similar al de las VPN iniciadas por el cliente, excepto que para las VPN LAC auto-iniciadas, la LAC ha reemplazado el rol que desempeña el cliente L2TP para las VPN iniciadas por el cliente.

 

Figura 1-1 Proceso de configuración para VPN LAC auto-iniciadas


110705eaqkxk80basfr0kk.png


Cada paso en el proceso de configuración es en gran parte similar al proceso de configuración para las VPN iniciadas por el cliente, y no diré nada más excepto que puede revisar "5.4 VPN iniciadas por el cliente de L2TP". Un punto a tener en cuenta es que en el paso 3, el LNS solo autentica el LAC, y luego de una autenticación exitosa, el LNS asigna una dirección IP a la interfaz VT del LAC, no al usuario de la organización de la sucursal. Aunque el LNS no asigna una dirección IP para la sucursal de la organización, esto no significa que la dirección IP de la sucursal se pueda configurar a voluntad. Para garantizar el acceso normal entre la red de la sucursal y la red de la Sede, planifique segmentos de red privada independientes para la sucursal y las redes de la Sede, y asegúrese de que los segmentos de la red para las dos no se superpongan.

 

La configuración de las VPN LAC auto-iniciadas no es complicada, y podemos configurar una red como la que se muestra en la Figura 1-2.


Figura 1-2 red VPN LAC auto-iniciada.


110717x4854zu8u452i3s8.png


La configuración para el LAC y LNS se muestra en la Tabla 1-1. Un punto clave es que las conexiones entre LAC, LNS y el servidor interno son conexiones directas, lo que elimina la necesidad de configurar el enrutamiento. La autenticación de usuarios también utiliza una autenticación local relativamente simple. Además, las puertas de enlace deben configurarse tanto para el usuario de la sucursal como para el servidor de red interno, para garantizar que los paquetes intercambiados entre los dos puedan enviarse al LAC y al LNS.

 

Tabla 1-1 Configurando una VPN L2TP LAC auto-iniciada.


LAC

LNS

l2tp enable

l2tp-group 1

 tunnel authentication

tunnel password cipher Password1

 tunnel name lac

 start l2tp   ip 1.1.1.2 fullusername lac //Designa una dirección para la otra terminal del   túnel.

interface Virtual-Template 1

 ppp authentication-mode chap

 ppp chap user lac

 ppp chap password cipher   Password1

 ip address ppp-negotiate

 call-lns local-user lac   binding l2tp-group 1   //LAC marca LNS.

ip   route-static 192.168.0.0 255.255.255.0 Pantilla Virtual 1  // Configura   una ruta estática a la red Sede; esto es diferente al de las VPN iniciadas   por el cliente y las VPN iniciadas *****AS, y el LAC debe configurar esta   ruta para guiar a los paquetes de usuarios de sucursales que buscan acceder a   la red Sede en el túnel L2TP.

l2tp enable

interface Virtual-Template 1

 ppp authentication-mode chap

 ip address 10.1.1.1   255.255.255.0

 remote address pool 1

l2tp-group 1

tunnel authentication

 tunnel password cipher   Password1

 allow l2tp virtual-template 1   remote lac  //Permite acceso remoto.

aaa

local-user lac password Password1

 local-user lac service-type   ppp

ip pool 1   10.1.1.2   // Como el LNS solo asigna direcciones para el LAC, solo se necesita   configurar una dirección IP en el conjunto de direcciones.

ip   route-static 172.16.0.0 255.255.255.0 Pantilla Virtual 1   // Configura   una ruta estática a la red de la sucursal; sí se configura un NAT de origen   en el LAC, no es necesario configurar esta ruta, y más detalles sobre esto se   proporcionan a continuación.




Las características de los túneles de VPN LAC auto-iniciados se resumen brevemente a continuación:


Como se muestra en la Figura 1-3, en los escenarios de VPN LAC auto-iniciados, se establece un túnel permanente entre el LAC y LNS, que solo transporta una sesión L2TP permanente y una conexión PPP. La sesión L2TP y la conexión PPP solo existen entre el LAC y el LNS.Las características de los túneles de VPN LAC auto-iniciados se resumen brevemente a continuación:


Figura 1-3 Relación entre el túnel/sesión L2TP y la conexión PPP en una VPN LAC auto-iniciada.


110836u1pfxpoy1imfamnf.png


La encapsulación PPP y la encapsulación L2TP en una VPN LAC auto-iniciada se limitan solo a los paquetes intercambiados entre LAC y LNS, como se muestra en la Figura 1-4.


Figura 1-4 Proceso de encapsulación de paquetes VPN LAC auto-iniciada.


110858a8qbdabeeve4l4qx.png


Además, todavía hay otro problema que requiere atención especial, siendo esta la forma en que los paquetes de retorno ingresan al túnel. Este proceso es diferente al de las VPN iniciadas por el cliente y las VPN iniciadas por el NAS; en las VPN LAC auto-iniciadas, el LNS solo emite una dirección de destino para la ruta UNR de la dirección de la interfaz VT del LAC, y no tiene una ruta que vaya a la red de la organización. En respuesta a esto, el LNS afirma: "Soy el único responsable de asignar las direcciones IP, y puedo asegurar que se llegue a la interfaz VT de LAC. No asigno las direcciones de la red de la organización, y ni siquiera sé cuáles son sus direcciones, así que solo puedo decir 'Lo siento, no puedo ayudarte' ".

 

¿Cómo se puede resolver este problema? El método más simple es configurar manualmente una ruta estática a la red de la organización en el LNS, guiando los paquetes de retorno hacia el túnel:

[LNS] ip route-static 172.16.0.0 255.255.255.0 Plantilla Virtual 1

¿Hay otros métodos que podamos usar además de configurar una ruta estática? Acabo de recordar, ¡NAT, el cual mencionamos anteriormente! Incluso si el LNS solo reconoce las direcciones IP que asigna, podemos configurar una función NAT de origen en el LAC para convertir las direcciones de origen de los paquetes de las sucursales que acceden a la red Sede hacia la dirección de la interfaz VT: este es el método de la IP fácil "fuente NAT". Después de que el LNS reciba un paquete de retorno y descubra que la dirección de destino es la dirección de la interfaz VT del LAC, la enviará por una ruta directa hacia el túnel. De esta manera, no es necesario configurar una ruta estática en el LNS.

A continuación, usaré una red real que se muestra en la Figura 1-5 como ejemplo para presentar brevemente todo el proceso de encapsulación y desencapsulación de paquetes cuando un usuario de una organización accede al servidor Sede luego de la configuración de la fuente NAT en un LAC:

'

Figura 1-5 El proceso de encapsulación de paquetes VPN LAC auto-iniciada siguiendo la configuración de la fuente NAT en el LAC.


110914kasz0qg05umgqs6o.png


1. Después de que el LAC recibe un paquete original de un usuario de la organización que busca acceder al servidor Sede, comprueba la ruta de acuerdo con la dirección de destino, selecciona nuestra ruta estática configurada manualmente y envía el paquete a la interfaz VT.

 

2. El LAC realiza la conversión de NAT en el paquete original en la interfaz VT, convirtiendo la dirección de origen en la dirección de la interfaz VT, y luego encapsula un encabezado PPP, un encabezado L2TP y una dirección de red pública en el paquete. El LAC luego verifica la ruta basándose en la dirección de destino de la red pública y envía el paquete encapsulado al LNS.

3. Una vez que el LNS recibe el paquete, elimina el encabezado PPP y el encabezado L2TP, verifica la ruta según la dirección de destino (esta es una ruta conectada directamente) y luego envía el paquete al servidor Sede.

4. Después de que el LNS recibe el paquete de retorno del servidor Sede, comprueba la ruta según la dirección de destino, selecciona la ruta emitida automáticamente por el LNS y envía el paquete a la interfaz VT.

5. El paquete se encapsula con un encabezado PPP, un encabezado L2TP y una dirección de red pública en la interfaz VT. El LNS verifica la ruta basándose en la dirección de la red pública y envía el paquete encapsulado al LAC.

6. Una vez que el LAC recibe el paquete, elimina el encabezado PPP y el encabezado L2TP, convierte la dirección de destino del paquete en la dirección del usuario de la organización de sucursal y luego envía el paquete al usuario de la organización.

A continuación se proporciona un ejemplo de la configuración de la fuente NAT del método IP facil en el LAC (en este ejemplo se supone que la interfaz del LAC que se conecta a la red de la organización de la sucursal pertenece a la zona “Trust” y que la interfaz VT pertenece a la zona DMZ):

[LAC] nat-policy interzone trust dmz outbound

[LAC-nat-policy-interzone-trust-dmz-outbound] policy 1

[LAC-nat-policy-interzone-trust-dmz-outbound-1] policy source 172.16.0.0 0.0.0.255

[LAC-nat-policy-interzone-trust-dmz-outbound-1] action source-nat

[LAC-nat-policy-interzone-trust-dmz-outbound-1] easy-ip Virtual-Template 1

 

2 Aproximación a la configuración de la política de seguridad

El enfoque general de la configuración de la política de seguridad en las VPN LAC auto-iniciadas es básicamente el mismo que el enfoque de configuración introducido en las dos secciones anteriores, pero aún lo trataremos brevemente a continuación.

En la Figura 1-6, asumimos que en el LAC y LNS GE0/0/1s están conectados a la red privada y pertenecen a la zona Trust; Los GE0/0/2s están conectados a Internet y pertenecen a la zona “Untrust”; las interfaces VT pertenecen a la zona DMZ.

Figura 1-6 Configuración de la política de seguridad de la red en una VPN LAC auto-iniciada.


110929esoi6ytxs649x6x6.png


El proceso para la configuración de la política de seguridad es el siguiente:

1. Primero, configuramos la política de seguridad interzonal más amplia posible para ayudar con los ajustes/pruebas de VPN L2TP.

La acción de filtrado de paquetes predeterminada de la zona intermedia de LAC está configurada para "permit"(permitir):

[LAC] firewall packet-filter default permit all

La acción de filtrado de paquetes por defecto de la zona intermedia de la LNS está configurada en "permit":

[LNS] firewall packet-filter default permit all

2. Después de que LAC y LNS hayan configurado el L2TP correctamente, un usuario de la organización hace ping al servidor de la red interna para iniciar el acceso, y luego se verifican las tablas de sesión de LAC y LNS.

Tabla de sesión LAC.

[LAC] display firewall session table verbose

Current Total Sessions : 2

  l2tp  VPN:public --> public

  Zone: local--> untrust  TTL: 00:02:00  Left: 00:01:57

  Interface: GigabitEthernet0/0/2  NextHop: 1.1.1.2  MAC: 00-00-00-c5-48-00

  <--packets:38 bytes:2517   -->packets:62 bytes:4270

  1.1.1.1:60416-->1.1.1.2:1701

 

  icmp  VPN:public --> public

  Zone: trust--> dmz  TTL: 00:00:20  Left: 00:00:07

  Interface: Virtual-Template1  NextHop: 192.168.0.2  MAC: 00-00-00-c5-48-00

  <--packets:1 bytes:60   -->packets:1 bytes:60

  172.16.0.2:11749-->192.168.0.2:2048

 

*** Los datos de la tabla de sesión proporcionan la dirección de los paquetes en el LAC, como se muestra en la Figura 1-7.

 

Figura 1-7 Dirección del paquete LAC.


110939k9sc6slh3s9tghsh.png


Como se muestra arriba, el LAC debe configurar una política de seguridad de Trust -> DMZ para permitir que los paquetes de usuarios de organizaciones que deseen acceder al servidor interno pasen; también necesita configurar una política de seguridad Local -> Untrust para permitir que el LAC y el LNS establezcan un túnel L2TP.

[LNS] display firewall session table verbose

 Current Total Sessions : 2

  l2tp  VPN:public --> public

  Zone: untrust--> local  TTL: 00:02:00  Left: 00:01:52

  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00

  <--packets:18 bytes:987   -->packets:23 bytes:2057

  1.1.1.1:60416-->1.1.1.2:1701

 

  icmp  VPN:public --> public

  Zone: dmz--> trust  TTL: 00:00:20  Left: 00:00:00

  Interface: GigabitEthernet0/0/1  NextHop: 192.168.0.2  MAC: 54-89-98-62-32-60

  <--packets:4 bytes:336   -->packets:5 bytes:420

  172.16.0.2:52651-->192.168.0.2:2048

 

Hay dos sesiones en el LNS: una sesión L2TP y una sesión ICMP. *** El contenido de la tabla de sesión proporciona la dirección del paquete del LNS, como se muestra en la Figura 1-8.

Figura 1-8 dirección del paquete LNS


110948vmijjqqma6q3tjqi.png


Por lo anterior, es obvio que se debe configurar una política de seguridad DMZ -> Trust en el LNS para permitir que los paquetes de los usuarios de las organizaciones que buscan acceso al servidor de la red interna pasen; un Untrust -> La política de seguridad local también debe configurarse para permitir que LAC y LNS establezcan un túnel L2TP.

Después de que se establece el túnel L2TP, cuando la PC inicia una llamada en el servidor, la dirección del paquete es la opuesta a la dirección cuando el servidor accede a la PC, y no necesitamos seguir explicando esto

Para resumir, las políticas de seguridad que deben configurarse en el LAC y LNS en varias condiciones se muestran en la Tabla 1-2, y debemos configurar las políticas de seguridad que mejor se ajusten a las condiciones existentes.

Tabla 1-2 Selección de políticas de seguridad para LAC y LNS según las condiciones existentes.

Dirección de transacción

Dispositivo

Zona de seguridad de origen

Zona de seguridad destino

Dirección origen

Dirección destino

Usado en

PC busca acceso al servidor

LAC

Local

Untrust

1.1.1.1/32

1.1.1.2/32

L2TP

Trust

DMZ

172.16.0.0/24

192.168.0.0/24

*

LNS

Untrust

Local

1.1.1.1/32

1.1.1.2/32

L2TP

DMZ

Trust

172.16.0.0/24

192.168.0.0/24

*

El servidor busca acceso a la PC

LAC

DMZ

Trust

192.168.0.0/24

172.16.0.0/24

*

LNS

Trust

DMZ

192.168.0.0/24

172.16.0.0/24

*

*: El uso en esta instancia está relacionado con el tipo de transacción y   se puede configurar de acuerdo con las circunstancias reales (por ejemplo,   TCP, UDP e ICMP).

 

Por lo tanto, en los escenarios L2TP que utilizan el método de marcado automático de LAC, las interfaces VT de LAC y LNS deben agregarse a las zonas de seguridad, y las zonas de seguridad a las que pertenecen las interfaces VT deben determinar la dirección del paquete dentro del dispositivo. Si una interfaz VT pertenece a la zona Trust, no es necesario configurar una política de seguridad entre zonas DMZ-Trust, pero esto agregará un riesgo de seguridad adicional. Por lo tanto, se sugiere que las interfaces de VT se agreguen a zonas de seguridad separadas y que se configure la política de seguridad más apropiada para ellas.

3. Finalmente, la acción del filtro de paquetes predeterminado se establece en "deny"(denegar).

Establezca la acción de filtrado de paquetes predeterminada de la zona intermedia de LAC en "deny":

[LAC] firewall packet-filter default deny all

Establezca la acción de filtrado de paquetes predeterminada de la zona intermedia de LNS en "deny":

[LNS] firewall packet-filter default deny all

3 Resumen

En las últimas tres secciones, presenté tres tipos de VPN de L2TP, y resumiremos estos tres tipos de VPN de L2TP en la Tabla 1-3.

Tabla 1-3 Comparación de tres tipos de VPN de L2TP

Objeto

VPN iniciada por    cliente

VPN iniciada por    NAS

VPN LAC    auto-iniciada

Método de negociación

El cliente L2TP y el LNS negocian el establecimiento de un túnel L2TP   y una sesión L2TP, y establecen una conexión PPP.

El usuario de acceso utiliza el acceso telefónico PPPoE para activar   el establecimiento de un túnel L2TP y una sesión L2TP entre LAC y LNS, y el   usuario de acceso y LNS negocian el establecimiento de una conexión PPP.

El LAC inicia la marcación y negocia el establecimiento de un túnel   L2TP y una sesión L2TP y de una conexión PPP con el LNS.

Relación de Túnel y sesión

Se establece un túnel L2TP entre cada cliente L2TP y LNS, y cada túnel   solo lleva una sesión L2TP y una conexión PPP.

Pueden existir múltiples túneles L2TP entre un LAC y un LNS, y un   túnel L2TP puede llevar varias sesiones L2TP.

Se establece un túnel L2TP permanente entre LAC y LNS, que solo   transporta una sesión L2TP permanente y una conexión PPP.

Seguridad

El LNS lleva a cabo la autenticación PPP del cliente L2TP (PAP o   CHAP); éste método ofrece una seguridad relativamente alta.

El LAC autentica a los usuarios de acceso, y luego el LNS realiza la   autenticación secundaria (opcional) de los usuarios de acceso; ésto ofrece lo   más alto en seguridad.

El LAC no realiza autenticación de usuarios; el LNS lleva a cabo la   autenticación PPP (PAP o CHAP) de los usuarios configurados de LAC. Esto   proporciona baja seguridad.

Ruta retorno

El LNS emitirá automáticamente una ruta UNR, guiando el paquete de   retorno hacia el túnel L2TP; no se requiere configuración manual.

El LNS emitirá automáticamente una ruta UNR, guiando el paquete de   retorno hacia el túnel L2TP; no se requiere configuración manual.

Es necesario configurar manualmente el LNS para que la dirección de   destino sea la ruta estática del segmento de red, o configurar el NAT de   origen del método de IP fácil para el LAC.

Asignación de direcciones IP

El LNS asigna una dirección IP para el cliente.

El LNS asigna una dirección IP para el cliente.

El LNS asigna una dirección IP para la interfaz VT de LAC.

 

Nuestra mirada a las VPNs L2TP ha terminado. Es importante tener en cuenta que ninguno de los métodos VPN de L2TP admite funciones de cifrado y, por lo tanto, existen riesgos de seguridad durante el proceso de transmisión de datos a través del túnel. ¿Cómo se puede resolver este problema? La respuesta a esto será clara después de que hayamos estudiado las VPN IPSec funcionalmente potentes, difíciles de configurar y altamente seguras.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje