Configurando uma VPN com o cisco 1800

Assunto: Configurando uma VPN com o cisco 1800 Qui Abr 23, 2009 11:44 pm

Olá Pessoal, sou novo no forum ..
Gostaria da ajuda de vocês para ver se é possivel configurar uma VPN entre dois locais remotos onde nestes dois locais eu tenho links da Embratel .. Colocando um router em cada uma das pontas abaixou do link da embratel é possivel eu cria uma VPN ?

Assunto: Re: Configurando uma VPN com o cisco 1800 Qui Abr 23, 2009 11:53 pm

Com certeza. Pode-se configurar uma VPN IPSec ou se quiser algo mais simples ate um Tunnel GRE, ou melhor ainda uma VPN IPsec por dentro de um tunnel gre rsss

A unica coisa que você tem que se atentar é quanto a feature do IOS, ele tem que suportar VPN.
Ahhh é interessante também que seu 1800 possua o modulo de VPN.

abs

Assunto: Re: Configurando uma VPN com o cisco 1800 Sex Abr 24, 2009 9:11 am

ok, como posso ver se meu router tem módulo para VPN ou não ?
Se não tiver posso implementar este módulo ?

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 2:39 pm

Este módulo é uma placa instalada no roteador fisicamente.

No comando show diag é possivel ver se a placa esta instalada, e em qual modulo.
No comando show version também é possivel ver se existe algum modulo VPN.
No comando show crypto engine brief é possivel ver algumas outras informações desta placa, como se esla esta ativa, se é onboard, entre outras.

obs. Teve uma vez que peguei um roteador que possuia este modulo, mas o IOS não suportava VPN, ai o modulo apesar de estar instalado não aparecia em nenhum comando, quando troquei a versão do IOS ele passou a mostrar o modulo.

abs

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 3:52 pm

valew Nakano, verifiquei no comando show versiom que os que possuem modulo para VPN são da vesão k9 ...
Você ja configurou um tunel entre dois links embratel ?

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 4:39 pm

Tunnel VPN? se for, sim já configurei, na verdade o meio é transparente, pode ser um link da Embratel, OI, Telefonica, telmex que a configuração vai ser a mesma.

O que faz diferença é se o tunnel VPN é um client to site ou site to site, e quais são as pontas, se ambas são routers cisco, se uma é um VPN concentrator e a outra router, ou uma netscreen a outra cisco, por ai vai.

Se quiser fala quais são os equipamentos das duas pontas, se é site to site ou client to site que posso postar algum exemplo (se puder falar mais informações posso dar um exemplo mais completo, tipo fase 1 e fase 2, qual criptografia, autenticação).

abs

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 4:49 pm

oque eu quero é o seguinte:
Tenho a Matriz da empresa com um link embratel com 32 ips validos externo, com a rede interna 192.168.0.0 a filial que tenho também tem link embratel 200.248.10.. e interna criei 192.168.30.0 .. no meu firewall ja configurei para estas duas redes se enxrgarem, porem preciso fechar um tunel entre os links externos ..
tenho disponivel 2 routers 1800 com módulo para VPN, um em cada ponta ..

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 4:50 pm

ao seja fechar o tunel entre o IP 189.16.13.135´para 200.248.10.135

Obrigado ,,

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Abr 29, 2009 4:51 pm

OBS: site to site

Assunto: Re: Configurando uma VPN com o cisco 1800 Qui Abr 30, 2009 1:46 pm

Bom, faltou especificar os métodos de criptografia, vou escolher o 3DES com MD5, se preferir outros pode mudar:

Matriz
LAN 192.168.0.0/24
WAN 189.16.13.135/32

Filial
LAN 192.168.30.0/24
WAN 200.248.10.135/32

MATRIZ

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share

crypto isakmp key N@K@N0 address 200.248.10.135

access-list VPN permit ip 192.168.0.0 0.0.0.255 192.168.30.0 0.0.0.255

crypto ipsec transform-set TRANSFORM_NAKANO esp-3des esp-md5-hmac

crypto map VPN_NAKANO 10 ipsec-isakmp
set peer 200.248.10.135
set transform-set TRANSFORM_NAKANO
match address VPN

Interface Serial0/0
ip address 189.16.13.135 255.255.255.252
crypto map VPN_NAKANO

FILIAL

MATRIZ

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share

crypto isakmp key N@K@N0 address 189.16.13.135

access-list VPN permit ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.0.255

crypto ipsec transform-set TRANSFORM_NAKANO esp-3des esp-md5-hmac

crypto map VPN_NAKANO 10 ipsec-isakmp
set peer 189.16.13.135
set transform-set TRANSFORM_NAKANO
match address VPN

Interface Serial0/0
ip address 200.248.10.135 255.255.255.252
crypto map VPN_NAKANO

Lógico que existem outras configurações que podem ser aplicadas, mas este é um exemplo bem simples.

obs. nao testei ele no lab, mas acredito que com isso a VPN ja deva funcionar.

Assunto: Re: Configurando uma VPN com o cisco 1800 Qui Abr 30, 2009 2:12 pm

show de bola ..
era isso que eu precisava ..
valeu mesmo, abraço.

Assunto: Re: Configurando uma VPN com o cisco 1800 Qui Abr 30, 2009 11:45 pm

bom, sabe que existem varios outros tipos, por exemplo, viajando um pouco da para fechar uma vpn por dentro de um tunnel gre rssss.

mas espero q isso ja ajude, abs

Assunto: Re: Configurando uma VPN com o cisco 1800 Sáb Jan 23, 2010 3:54 pm

ola senhores,

nakano ,

eu fiz o procedimento que vc mencionou no topico acima,mas nao sei deu certo,qual comando eu verifico se a vpn fecho corretamente?

eu tenho que fazer a rede 10.90.x.x de recife se interligar com a rede 10.90.x.x de sao paulo.

provavelmente ainda nao deu certo pq eu nao pingo ainda o ip 10.90.2.3 de sao paulo do router de recife,mas quando dou um traceroute ele da 6 saltos dos 16 que deveria.

*a acl que eu crie ta um pouco diferente.

ip access-list extended vpn
permit ip 10.90.0.0 0.0.255.255 host 200.162.13.246 (ip da matriz)

sem mais,agradeco muito.

sem mais,agradeco muito.

Assunto: Re: Configurando uma VPN com o cisco 1800 Ter Jan 26, 2010 4:50 am

Na verdade, acredito que sua ACL esteja errada. Você deve colocar o insteresting traffic nela.

A subnet de origem para a subnet de destino, isto é, a subnet local, que manterá comunicação com a subnet remota. Tudo que der match nesta ACL, vai via VPN, por isso, o destination não deve ser um host, mas a subnet do site remoto.

Se você colocar apenas o host, apenas tráfego que vai para este determinado host será enviado via vpn.

Outra coisa interessante, dependendo de suas configs, você pode criar outra ACL e aplicá-las na interface onde está aplicado crypto-map, permitinndo apenas tráfego entre os peers da VPN, usando esp ou ah, por exemplo. Assim, você garante que apenas tráfego seguro passará por esta interface.
Tome cuidado de permitir qualquer outro tráfego fora da vpn, se necessário.

Regards

Assunto: Re: Configurando uma VPN com o cisco 1800 Qua Jan 27, 2010 4:24 pm

ola ronaldo!

desde jha agradeco a ajuda!

eu fiz uma nova acl como sugeriu ,mas ainda tenho um problema ,de dentro dos roteadores (matriz e filial) eu consigo pingar qualquer computador da outra ponta ,mas dos pcs matriz eu nao pingo os pcs da filial e vice-versa. era pra pingar,neh?

abaixo segue as configuracoes que fiz para matriz:

matriz#sh run
Building configuration...

Current configuration : 1140 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname matriz
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
archive
log config
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key 6 trans address 189.77.40.1
!
!
crypto ipsec transform-set transform_trans esp-3des esp-md5-hmac
!
crypto map vpn_trans 10 ipsec-isakmp
set peer 189.77.40.1
set transform-set transform_trans
match address vpn
!
!
!
!
interface FastEthernet0/0
ip address 200.162.1.1 255.255.255.0
duplex auto
speed auto
crypto map vpn_trans
!
interface FastEthernet0/1
ip address 10.90.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vpn
permit ip 10.90.2.0 0.0.0.255 10.90.1.0 0.0.0.255
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

matriz#

E as configuracoes da filial:

filial#sh run
Building configuration...

Current configuration : 1142 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname filial
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
archive
log config
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key 6 trans address 200.162.1.1
!
!
crypto ipsec transform-set transform_trans esp-3des esp-md5-hmac
!
crypto map vpn_trans 10 ipsec-isakmp
set peer 200.162.1.1
set transform-set transform_trans
match address vpn
!
!
!
!
interface FastEthernet0/0
ip address 189.77.40.1 255.255.255.248
duplex auto
speed auto
crypto map vpn_trans
!
interface FastEthernet0/1
ip address 10.90.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vpn
permit ip 10.90.1.0 0.0.0.255 10.90.2.0 0.0.0.255
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

filial#

o que esta errado ou o que posso acrescentar?
nao sei se fiz certo em colocar as int f0/1 nateadas ,mas nao pingou com ou sem o nat ,devo colocar nat ou nao?

mais duvidas postarie no proximo capitulo!!!kkkkkk....

sem mais,agradeco muito!

Assunto: Re: Configurando uma VPN com o cisco 1800 Sex Jan 29, 2010 1:00 pm

opa ,despois que pois este ,a vpn começou a funcionar!!kkkk...

obrigado a todos