VPN site2site en Cisco ASA

( redes / cisco / asa )

Crear una VPN con un Cisco ASA es muy simple y más si se usa el wizard del entorno gráfico Java, pero muchas veces viene bien poder hacerlo vía comandos desde la consola.

Aquí pongo 2 variantes para crear VPN, la primera es la salida que genera el wizard (solo para un lado) y la segunda es el código de ambos lados de la VPN extraído de un  artículo del blog write mem (ya desaparecido). Está claro que puede haber muchas variantes de VPN site2site dependiendo del tipo de cifrado y otros valores, pero aquí expongo uno sencillo y seguro válido para la gran mayoría.

Lo que crea el wizard:

crypto isakmp enable outside
access-list inside_nat0_outbound line 1 extended permit ip red_local mascara_local red_remota mascara_remota
access-list outside_1_cryptomap line 1 extended permit ip red_local mascara_local red_remota mascara_remota
tunnel-group ip_peer type ipsec-l2l
tunnel-group ip_peer ipsec-attributes
  pre-shared-key clave_precompartida
  isakmp keepalive threshold 10 retry 2
crypto isakmp policy 10 authen pre-share
crypto isakmp policy 10 encrypt 3des
crypto isakmp policy 10 hash sha
crypto isakmp policy 10 group 2
crypto isakmp policy 10 lifetime 86400
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set  pfs group2
crypto map outside_map 1 set  peer  ip_peer
crypto map outside_map 1 set  transform-set  ESP-3DES-SHA
crypto map outside_map interface  outside
nat (inside) 0 access-list inside_nat0_outbound  tcp 0 0 udp 0

Los datos a cambiar son:

  • red_local y mascara_local, son la red LAN de este lado de la VPN
  • red_remota y mascara_remota, son la red LAN del lado remoto de la VPN
  • ip_peer, es la IP pública del lado remoto
  • clave_precompartida, es un clave igual en ambos lados.

Es muy importante que los datos sea idénticos en ambos lados, sobre todo el lifetime y los access-list

Y ahora la versión del Blog write mem.

Lado local:

cry isakmp policy 10
auth pre
encr 3des
group 2
hash sha
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto isakmp key password address 192.168.55.1
!
access-list 101 permit ip 192.168.56.0 0.0.0.255 192.168.54.0 0.0.0.255
!
cry isakmp keep 10 2
crypto map vpnmap 10 ipsec-isakmp
set peer 192.168.55.1
set transform-set 3DES-MD5
match address 101
reverse-route
!
int fa0/0
ip addr 192.168.56.1 255.255.255.0
no shut
!
int fa0/1
ip address 192.168.55.2 255.255.255.0
no shut
crypto map vpnmap
!
ip route 0.0.0.0 0.0.0.0 192.168.55.1
!

Lado remoto:

cry isakmp policy 10
auth pre
encr 3des
group 2
hash sha
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto isakmp key password address 192.168.55.5
!
access-list 101 permit ip 192.168.54.0 0.0.0.255 192.168.56.0 0.0.0.255
!
cry isakmp keep 10 2
crypto map vpnmap 10 ipsec-isakmp
set peer 192.168.55.5
set transform-set 3DES-MD5
match address 101
reverse-route
!
int fa0/0
no shut
ip address 192.168.55.1 255.255.255.0
crypto map vpnmap
!
int l0
ip address 192.168.54.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.55.5
!

Retro

Lugares

Redes

Sistemas

Varios