13 de enero de 2024

Configuración de VPNs IPsec site-to-site estáticas con IKEv2


Las VPNs IPsec son un recurso de conectividad cada vez más frecuente. La implementación de servicios de nuble (cloud) de diferente tipo no ha hecho más que aumentar su implementación en las redes corporativas.

Hay dos tipos principales de VPNs IPsec: site-to-site y acceso remoto.

Cisco introduce la posibilidad de implementar este recurso en diferentes dispositivos, básicamente en routers y firewalls (también pueden utilizarse otros dispositivos). Tanto Cisco IOS, como IOS-XE y ASA soportan su configuración. Pero aún dentro de estos sistemas operativos hay diferentes modos de configuración; el primero y quizás más conocido es la configuración utilizando crypto maps estáticos. Sin embargo, hoy Cisco sugiere, para configuraciones sobre IOS, IOS-XE o ASA la configuración utilizando SVTI (interfaces virtuales de túnel estáticas) con IKEv2.

Sobre este tipo de configuración voy a centrarme en este post.

Procedimiento de configuración

  1. Configurar la negociación IKE entre los puntos terminales de la VPN.
  2. Opcionalmente configurar el transform set y el perfil de IPsec
  3. Configurar la interfaz de túnel virtual (VTI).
  4. Configurar el enrutamiento necesario para publicar las redes que se desea sean accesibles a través de la interfaz de túnel.

Un esquema completo y ordenado de los pasos de configuración necesarios es el siguiente:

  • Configuración de IKEv2
    • Definición de "IKEv2 proposal"
      • Cifrado (AES-CBC/AES-GCM/SEAL)
      • Integridad (SHA-2)
      • Intercambio de claves (DH14/DH16/DH19/DH20/DH24)
    • Configuración de la política IKEv2
    • Configuración del perfil IKEv2
      • Identidad remota
      • Identidad local
      • Autenticación remota (PSK/RSA/ECDSA)
      • Autenticación local
      • Llavero local

Un ejemplo:

crypto ikev2 proposal PROPUESTA1 

 encryption aes-cbc-128

 integrity sha256

 group 19

!

crypto ikev2 policy POLITICA

 proposal PROPUESTA1

!

crypto ikev2 keyring LLAVERO

 peer ROUTER_PEER

  address 198.51.100.123

  pre-shared-key local 7c2FKFgNNy

  pre-shared-key remote cpi9w43gYB

 !

crypto ikev2 profile PERFIL

 match identity remote address 198.51.100.123 255.255.255.255

 identity local address 192.0.2.123

 authentication remote pre-share

 authentication local pre-share

 keyring local LLAVERO

 

  • Configuración de IPsec
    • Definición del transform set
      • Encapsulación (ESP/AH)
      • Cifrado (AES/SEAL)
      • Integridad (SHA-2)
      • Modo (Transporte/Túnel)
    • Definición del perfil IPsec
      • Transform set
      • Perfil IKEv2

Continuemos con el ejemplo:

crypto ipsec transform-set VPN1 esp-aes esp-sha256-hmac mode tunnel

!

crypto ipsec profile PERFILIPsec

 set transform-set VPN1

 set ikev2-profile PERFIL


Cisco IOS incluye tanto para la configuración de IKEv2 como de IPsec perfiles por defecto llamados "Smart Defaults" que pueden ser invocados en la configuración sin necesidad de definir cada uno de los parámetros mencionados antes.

Por otro lado, los parámetros mencionados pueden variar de acuerdo a las definiciones operativas que se hagan para la VPN concreta. Por ejemplo, la autenticación de IKEv2 puede realizarse utilizando RSA en lugar de una clave pre-compartida (PSK) como en el ejemplo.

Lo que presento aquí es solamente un ejemplo que puede servir de referencia.

Finalmente, hay que configurar la interfaz túnel

  • Configuración de la interfaz de túnel virtual (VTI)
    • Direccionamiento IP
    • Interfaz física que que inicia el túnel
    • Encapsulación que utiliza el túnel
    • IP destino del túnel
    • Perfil IPsec que se aplica al túnel

Para completar el ejemplo:

interface Tunnel0

 ip address 192.168.1.1 255.255.255.0

 tunnel source GigabitEthernet0/1

 tunnel mode ipsec ipv4

 tunnel destination 198.51.100.123

 tunnel protection ipsec profile PERFILIPsec


Espero que este ejemplo sirva como introducción para aquellos que están intentando comprender la configuración de VPNs IPsec point-to-point  y para que profundicen en un tema realmente complejo y con múltiples opciones diferentes.



Los manuales que publico los podés adquirir en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.




 

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.