VPN overlapping networks (Túnel IPsec)

     En este laboratorio vamos a conectar, mediante una VPN IPsec site-to-site, dos subredes cuyo direccionamiento IP se solapa.

     Para evitar el problema de solapamiento de las subredes nateamos cada una de ellas a una nueva subred diferente. En el laboratorio haremos dos configuraciones: una mediante NAT 'tradicional' y otra mediante NAT-NVI.

     El esquema del laboratorio sería:

    A continuación incluyo las 4 configuraciones:

Nota: En las configuraciones veréis que configuro 802.1Q y subinterfaces. Esto no tiene nada que ver con el laboratorio, sino por falta de interfaces.

     Configuración del  router Cisco Pruebas1 con NAT por dominios:

version 15.0

hostname pruebas1

!

………config suprimida ………………..

!

---- Definimos la política ISAKMP (Internet Security Association and Key Management Protocol) y los parámetros IKE (Internet Key Exchange) ----

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

---- Indicamos la clave que vamos a utilizar en la autentificación Ike ----

crypto isakmp key pruebavpn address 195.57.x.90

!

---- Especificamos los algoritmos de encriptación y autentificación que vamos a utilizar (Los parámetros IPSEC) ----

crypto ipsec transform-set vpnset esp-3des esp-md5-hmac

!

---- Definimos el crypto map que apunta a nuestro peer ----

crypto map vpnl2 10 ipsec-isakmp

 set peer 195.57.x.90

 set transform-set vpnset

 match address 101

!

interface FastEthernet0/0

 no ip address

 duplex auto

 speed auto

 !

interface FastEthernet0/0.1

 encapsulation dot1Q 216

!

interface FastEthernet0/0.2

 encapsulation dot1Q 17

 ip address 192.168.150.27 255.255.255.248

!

interface FastEthernet0/0.3

 encapsulation dot1Q 12

 ip address 192.168.1.1 255.255.255.0

----Definimos este interface como perteneciente al dominio inside de NAT----

 ip nat inside

 ip virtual-reassembly

!

interface FastEthernet0/1

 ip address 195.53.x.84 255.255.255.248

----Definimos este interface como perteneciente al dominio outside de NAT----

 ip nat outside

 ip virtual-reassembly

 duplex auto

 speed auto

---- Aplicamos el crypto map al interface que enviará el tráfico encriptado----

 crypto map vpnl2

!

no ip forward-protocol nd

ip http server

no ip http secure-server

!

---- Definimos la regla de traducción estática de direcciones ----

ip nat inside source static network 192.168.1.0 20.20.20.0 /24

ip route 0.0.0.0 0.0.0.0 195.53.x.81

!

---- Indicamos el tráfico a encriptar ----

access-list 101 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

!

………config suprimida ………………..

end

     Configuración del  router Cisco Pruebas2 con NAT por dominios:

version 15.0
!
hostname Pruebas2
!
………config suprimida ………………..
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key pruebavpn address 195.53.x.84
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 
!
crypto map vpnl2 10 ipsec-isakmp 
 set peer 195.53.x.84
 set transform-set vpnset 
 match address 101
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.2
 encapsulation dot1Q 17
 ip address 192.168.150.26 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 19
 ip address 192.168.1.1 255.255.255.0
ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/1
 ip address 195.57.x.90 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map vpnl2
!
ip forward-protocol nd
ip http server
no ip http secure-server
!
ip nat inside source static network 192.168.1.0 10.10.10.0 /24
!
ip route 0.0.0.0 0.0.0.0 195.57.x.89
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
!
………config suprimida ………………..
end

     A continuación os incluyo las configuraciones de ambos routers utilizando NAT-NVI:
     Router Pruebas1:

version 15.0
hostname pruebas1
!
………config suprimida ………………..
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key pruebavpn address 195.57.x.90
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac
!
crypto map vpnl2 10 ipsec-isakmp
 set peer 195.57.x.90
 set transform-set vpnset
 match address 101
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
 !
!
interface FastEthernet0/0.1
 encapsulation dot1Q 216
!
interface FastEthernet0/0.2
 encapsulation dot1Q 17
 ip address 192.168.150.27 255.255.255.248
!
interface FastEthernet0/0.3
 encapsulation dot1Q 12
 ip address 192.168.1.1 255.255.255.0
 ip nat enable
!
interface FastEthernet0/1
 ip address 195.53.x.84 255.255.255.248
 ip nat enable
 duplex auto
 speed auto
 crypto map vpnl2
!
ip nat source static network 192.168.1.0 20.20.20.0 /24
ip route 0.0.0.0 0.0.0.0 195.53.x.81
!
access-list 101 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255


     Router Pruebas2:

version 15.0
hostname Pruebas2
!
………config suprimida ………………..
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key pruebavpn address 195.53.x.84
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 
!
crypto map vpnl2 10 ipsec-isakmp 
 set peer 195.53.x.84
 set transform-set vpnset 
 match address 101
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.2
 encapsulation dot1Q 17
 ip address 192.168.150.26 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 19
 ip address 192.168.1.1 255.255.255.0
 ip nat enable
!
interface FastEthernet0/1
 ip address 195.57.x.90 255.255.255.248
 ip nat enable
 duplex auto
 speed auto
 crypto map vpnl2
!
!
ip nat source static network 192.168.1.0 10.10.10.0 /24
ip route 0.0.0.0 0.0.0.0 195.57.x.89
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

!End

    Haciendo un traceroute desde cada uno de los extremos:

Switch1#traceroute 10.10.10.5

Type escape sequence to abort.
Tracing the route to 10.10.10.5

  1 192.168.1.1 4 msec 4 msec 0 msec
  2  *  *  * 
  3 20.20.20.5 24 msec *  36 msec



Switch2# traceroute 20.20.20.5

Type escape sequence to abort.
Tracing the route to 20.20.20.5

  1 192.168.1.1 4 msec 0 msec 0 msec
  2  *  *  * 
  3 10.10.10.5 24 msec *  24 msec

     Por último echamos un vistazo a las tablas de traducción de NAT en cada uno de los routers:

pruebas1#sh ip nat nvi translations    

Pro Source global         Source local          Destin  local         Destin  global

--- 20.20.20.0            192.168.1.0           ---                   ---

pruebas1#sh ip nat nvi translations 

Pro Source global         Source local          Destin  local         Destin  global

icmp 20.20.20.5:1589      192.168.1.5:1589      10.10.10.5:1589       10.10.10.5:1589

icmp 20.20.20.5:1590      192.168.1.5:1590      10.10.10.5:1590       10.10.10.5:1590

icmp 20.20.20.5:1591      192.168.1.5:1591      10.10.10.5:1591       10.10.10.5:1591

icmp 20.20.20.5:1592      192.168.1.5:1592      10.10.10.5:1592       10.10.10.5:1592

icmp 20.20.20.5:1593      192.168.1.5:1593      10.10.10.5:1593       10.10.10.5:1593

--- 20.20.20.5            192.168.1.5           ---                   ---

--- 20.20.20.0            192.168.1.0           ---                   ---

Pruebas2#sh ip nat nvi translations 
Pro Source global         Source local          Destin  local         Destin  global
--- 10.10.10.0            192.168.1.0           ---                   ---

Pruebas2#sh ip nat nvi translations 
Pro Source global         Source local          Destin  local         Destin  global
icmp 20.20.20.5:1589      20.20.20.5:1589       10.10.10.5:1589       192.168.1.5:1589
icmp 20.20.20.5:1590      20.20.20.5:1590       10.10.10.5:1590       192.168.1.5:1590
icmp 20.20.20.5:1591      20.20.20.5:1591       10.10.10.5:1591       192.168.1.5:1591
icmp 20.20.20.5:1592      20.20.20.5:1592       10.10.10.5:1592       192.168.1.5:1592
icmp 20.20.20.5:1593      20.20.20.5:1593       10.10.10.5:1593       192.168.1.5:1593
--- 10.10.10.5            192.168.1.5           ---                   ---
--- 10.10.10.0            192.168.1.0           ---                   ---