UNIVERSIDAD CENTROAMERICANA

Laboratorio: Configurando VPN de Acceso Remoto Servidor Cliente

Diagrama de Topologa

Tabla de Direcciones IP

Objetivos
Parte 1: Realizar la Configuracin Bsica del Router
Configurar host name, direccin IP de interfaces, y passwords de acceso.
Configurar enrutamiento esttico.
Parte 2: Configurar VPN de Acceso Remoto
Configurar firewall basado en zona (ZBF) on R3 usando SDM.
Configure el Router R3 para el soporte Cisco Easy VPN Server usando SDM.
Configurar el Cliente VPN de Cisco en PC-A and conectarse a R3.
Verificar la configuracin.

Antecedentes.
Las VPN pueden proporcionar un mtodo seguro para transmitir datos a travs de una red pblica como
Internet. Una aplicacin comn de VPN se utiliza para el acceso remoto a una oficina corporativa de una
ubicacin teletrabajadores como una pequea oficina o oficina en casa (SOHO).
En esta prctica, construir una red multi-router y configurara los routers y hosts. Configura un acceso
remoto IPSec que simulara la conexin VPN entre un equipo cliente y la red de la empresa. Se comienza
con SDM para configurar un firewall basado en zonificado (ZBF) para prevenir conexiones desde fuera de
la red corporativa. Tambin se utiliza SDM para configurar Cisco Easy VPN Server en el router gateway
corporativo. A continuacin, se configurara el cliente VPN de Cisco en un host y se conectara a la red
corporativa a travs de una simulacin de enrutador del ISP.
El cliente VPN de Cisco permite a las organizaciones establecer conexiones de extremo a extremo,
encriptar tuneles VPN (IPsec) para realizar una conexin segura para usuarios mviles o trabajadores a
distancia. Es compatible con Cisco Easy VPN, que permite que el cliente reciba las polticas de seguridad
en un tunnel VPN conexin desde el sitio central al dispositivo VPN (Cisco Easy VPN Server), minimizando
los requisitos de configuracin en la ubicacin remota. Easy VPN es una solucin escalable para
implementaciones de acceso remoto, lo cual resulta factible para no configurar de forma individual las
polticas de mltiples PC remotos.
Router R1 representa un sitio remoto, y R3 representa la sede corporativa. Host PC-A simula un empleado
que se conecta desde su casa o una pequea oficina a travs de Internet. El router R2 simula un router de
Internet ISP y acta como una pasarela sin conocimiento de la conexin VPN que lo atraviesa.
Nota: Los comandos y salidas proporcionados en este laboratorio son de un Cisco 1841 con Cisco IOS
versin 12.4 (20) T (con imagen Advanced IP). Otros routers y versiones de Cisco IOS se pueden utilizar.
Ver la interfaz grfica del router que figura al final del laboratorio para determinar qu identificadores de
interfaz para usar segn el equipo en el laboratorio. Dependiendo del modelo de router y la versin de
Cisco IOS, los comandos disponibles y las salidas que se muestran pueden ser diferentes a los que se
muestra en esta prctica.
Nota: Asegrese de que los routers y switches han sido borrados y no tienen configuraciones de inicio.

Recursos Requeridos

3 routers Cisco 1841 con Cisco IOS Release 12.4(20)T1 or comparable (2 routers con SDM 2.5
instalado)
2 switches (Cisco 2960 o comparable)
PC-A - Windows XP o Vista (with Cisco VPN Client)
PC-C (Windows XP o Vista)
Cables Serial y Ethernet como se muestra en la topologa
Cable Rollover para configurar los routers va consola

Parte 1: Configuracion Basica de Router

In Part 1, you set up the network topology and configure basic settings, such as the interface IP addresses
and static routing. Perform the steps on the routers as indicated.

Paso 1: Realice el cableado de red, como se muestra en la topologa.

Conecte los dispositivos mostrados en el diagrama de la topologa, y el cable segn sea necesario.

Paso 2: Configure los parmetros bsicos de todos los enrutadores.

a. Configurar los nombres de host, como se muestra en la topologa.
b. Configurar las direcciones IP de las interfaz fsica como se muestra en la tabla de direccionamiento IP.
c. Configurar una frecuencia de reloj (clock rate) en los routers con conexiones seriales DCE.
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000

d. Deshabilitar bsqueda de DNS para evitar que el router trate de traducir los comandos incorrectos como
si fueran nombres de host.
R1(config)#no ip domain-lookup

Paso 3: Configure las rutas estticas por defecto en R1 y R3.

Configurar una ruta predeterminada esttica de R1 a R2 y R3 a R2.
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2

Paso 4: Configuracin de rutas estticas en R2.

a. Configurar una ruta esttica de R2 a la red LAN R1.
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
b. Configurar una ruta esttica de R2 a la red LAN R3.
R2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.1

Paso 5: Configurar las direcciones IP en la PC.

Configure una direccin IP esttica, mscara de subred y la puerta de enlace predeterminada para PC-A y
PC- C, como se muestra en la tabla de direccionamiento IP.

Paso 6: Verificar conectividad entre la PC-A y el router R3.

Desde la PC-A, realice ping a la direccin IP de la interfaz S0/0/1 de R3 direccin IP 10.2.2.1.
PC-A:\>ping 10.2.2.1
Son exitosos los resultados de ping?_____
Si los pings no tienen xito, resolver los problemas en las configuraciones de los dispositivos antes de
continuar.

Paso 7: Configurar una longitud de contrasea mnima.

Nota: Las contraseas en este laboratorio se establecen en un mnimo de 10 caracteres, pero son
relativamente sencillos para el beneficio de la realizacin del laboratorio. Contraseas mas complejas son
recomendadas en una red de produccin.
Use el comando security passwords para configurar la longitude minima de la
contrasea en 10 caracteres de longitud.
R1(config)#security passwords min-length 10

Paso 8: Configure la contraseas enable secret y de lneas de consola y vty.

a. Configure la contrasea enable secret como cisco12345 en R1.
R1(config)#enable secret cisco12345
b. Configure la contrasea de la console y login parea el router R1. Por securidad addicional, el comando
exectimeout hace que la sesin lnea sea cerrada despus de 5 minutos de inactividad. El comando
logging synchronous impide que los mensajes de consola interrumpan la entrada de comandos.
Nota: Para evitar accesos repetitivos durante este laboratorio, el comando exec-timeout se puede
establecer en 0 0, lo que impide que expiren las sesiones expirar. Sin embargo, esto no se considera una
buena prctica de seguridad.
R1(config)#line console 0
R1(config-line)#password ciscoconpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
c. Configure la contrasea en las lineas vty para el router R1.
R1(config)#line vty 0 4
R1(configline)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(configline)#login
d. Repeta esta configuracion en R2 y R3.

Paso 9: Encriptar los passwords no cifrados.

a. Use el comando service password-encryption para encriptar las contraseas de consola, aux,
y vty.
R1(config)#service password-encryption
b. Use el comando show run. Puede leer las contraseas de la consola, aux, y vty? Por qu, o porque
no? ___________________________________________
c. Repeta esta configuracion en R2 y R3.

Paso 10: Configurar un banner de advertencia en la entrada de los routers R1 y R3.

Configurar una advertencia a los usuarios no autorizados con un mensaje del da (banner MOTD).
R1(config)#banner motd #Unauthorized access strictly prohibited and
prosecuted to the full extent of the law#

Paso 11: Guarde la configuracin bsica running configuration para los tres routers.
Guarde la configuracin actual de la configuracin en la configuracin de inicio desde el modo EXEC
privilegiado.
R1#copy running-config startup-config

Parte 2: Configurando VPN de Acceso Remoto

En la Parte 2 de este laboratorio, se configura un firewall y una VPN IPSec de acceso remoto. R3 se
configura como un servidor VPN utilizando SDM, y la PC-A sera configurada con el cliente VPN de Cisco.

Tarea 1: Prepare R3 para el acceso a traves de SDM

Step 1: Configure HTTP router access and a AAA user prior to starting SDM.
a. Habilite HTTP server en R3.
R3(config)#ip http server
Note: Para agregar securidad, puede habilitar HTTP secure server en R3 usando el comando ip http
secureserver. HTTP server y HTTP secure server estan desablilitados por default.
b. Crear la cuenta de usuario admin01 en R3 con nivel de privilegio 15 y contrasea admin01pass para el
uso con AAA.
R3(config)#username admin01 privilege 15 password 0 admin01pass

Step 2: Access SDM and set command delivery preferences.

Paso 2: Acceso a SDM.

a. Ejecute la aplicacion SDM o abra un browser en la PC-C. Iniciar SDM e ingresar la direccion IP
192.168.3.1 del router R3 en la Fa0/1 en el campo direccin.
b. Logearse con el username y la contrasea secreta cisco12345.
c. In the Authentication Required dialog box, enter cisco12345 in the Password field and click OK.
d. If the IOS IPS Login dialog box appears, enter the enable secret password cisco12345.
e. Select Edit > Preferences to allow you to preview the commands before sending them to the router. In
the User Preferences window, check the Preview commands before delivering to router check box and
click OK.

Task 2: Configure ZBF Firewall en el router R3

Paso 1: Use el asistente SDM para configurar la seguridad, zone-based firewall (ZBF) en
R3.
a. Haga Click en el boton Configure, ubicado en la parte superior de la pantalla de SDM, y despus de
click en la opcin Firewall and ACL.

b. Seleccione Basic Firewall y de click en el botn Launch the selected task. En la pantalla del asistente
de la configuracin Basic Firewall haga click en el botn Next.
c. Definir la interfaz inside (trusted) casilla de verificacin para FastEthernet0 / 1 e interfaz Outside
(untrusted) casilla de verificacin para Serial0/0/1. Haga clic en el botn Next. Haga clic en Aceptar
cuando la advertencia de iniciar SDM en Serial0/0/1 se muestra.

d. En la siguiente ventana, selecione Low Security para el nivel de seguridad y haga clic en Next.
e. En la ventana resumen, clic Finish.
f. Haga clic en Delivery para enviar los comandos al router. Haga clic en OK en la ventana de comandos
de estado de entrega. En la ventana de informacin de Clic en OK. Volver a la ficha Edicin de firewall
como se muestra a continuacin.

Paso 2: Verifique la funcionalidad del firewall.

a. Desde la PC-C, haga ping a la interfaz S0/0/1 de R2 usando la direccin IP 10.2.2.2.
Son los pings exitosos? Por qu o por qu no?
_______________________________________________________________________________

b. Desde el router externo R2, haga ping a la PC-C a la direccin IP 192.168.3.3

Son los pings exitosos? Por qu o por qu no?
_______________________________________________________________________________

Tarea 3: Use el asistente para VPN de SDM, para Configurar el servidor Easy VPN
Paso 1: Iniciar el asistente Easy VPN Server y configure el servicio AAA.
a. De Clic en el botn Configure en la parte superior de la pantalla de inicio de SDM. De Clic en la opcin
VPN del panel tareas para activar la pagina de configuracin de VPN.
b. Seleccione Easy VPN Server desde la pantalla principal VPN, y de clic en el botn Launch Easy VPN
Server Wizard.

c. El asistente de Easy VPN Server comprueba la configuracin del router para ver si AAA est habilitado.
Si AAA no est habilitada, la ventana Habilitar AAA muestra. AAA debe estar habilitado en el router antes
de que comience la Configuracin del servidor Easy VPN. Haga clic en S para continuar con la
configuracin.
d. Cuando se le solicite enviar la configuracin al router, haga clic en Delivery.
e. En la ventana de comandos de estado de entrega, click OK. Cuando el mensage AAA has been
successfully enabled on the router sea desplegado de clic en OK.
f. Cuando regrese a la ventana del asistente Easy VPN Server de clic en Next.
g. Ahora que AAA esta habilitado, puede iniciar el asistente Easy VPN Server haciendo clic en el botn
Launch Easy VPN Server del asistente. Lea las descripciones de las tareas que el asistente le guiar.

h. De Clic en el boton Next.

Paso 2: Configure el tunnel virtual en la interfaz y la autenticacin.

a. Seleccione la interfaz en la que las conexiones del cliente sern recibidas. Clic en el botn Unnumbered
to y selecione la interfaz Serial0/0/1 en el men desplegable.
b. Selecione Pre-shared Keys para el tipo de autenticacin y de clic en Next para continuar.

Paso 3: Seleccione una propuesta de para la encriptacin IKE.

a. En la ventana IKE Proposals, por defecto IKE proposal es usado para el router R3.

Cul es el mtodo de cifrado usado con la poltica IKE por defecto?____________

Cul es el algoritmo de hash utilizado para garantizar que las llaves no han sido manipuladas?
_____________
b. Clic en el botn Next para aceptar la poltica IKE por defecto.
Nota: Las configuraciones en ambos lados del tnel deben coincidir exactamente. El cliente VPN de Cisco
selecciona automticamente la configuracin apropiada para s mismo. Por lo tanto, una configuracin de
IKE no es necesario en el PC cliente.

Paso 4: Seleccione el conjunto de transformacin.

a. En la ventana Transform Set, un valor por defecto en SDM es usado para transform set. Que mtodo de
encriptacin ESP con el transform set por defecto? _________________

b. De Clic en el botn Next para aceptar el transform set por defecto.

Paso 5: Especifique autorizacin de grupo y la bsqueda de directiva de grupo.

a. En la ventana Group Authorization and Group Policy Lookup, seleccione la opcin Local.
b. De Clic en el botn Next para crear una Nueva lista de mtodos AAA para la bsqueda de polticas de
grupo para los usuarios que usan la base de datos local del router.

Paso 6: Configure usuarios para la autenticacin (XAuth).

a. En la ventana User Authentication (XAuth), puede especificar para almacenar informacin de
autenticacin del usuario en un servidor externo, como un servidor RADIUS o una base de datos local, o
en ambas.
Seleccione la opcin Enable User Authentication y acepte el valor por defecto Local Only.

Donde busca el router las cuentas de usuario y contraseas para autenticar a los usuarios remotos
cuando intentan iniciar una sesin VPN?
_______________________________________________________________________________
b. De Clic en el boton Add User Credentials. En la ventana User Accounts, puede ver los usuarios
definidos actualmente o agregar nuevos usuarios.
Cul es el nombre del usuario que est definido actualmente y cul es el nivel de privilegios de usuario?
______________
Cmo se ha definido por el usuario? ___________________________________________________
c. En la ventana User Accounts, de clic en el boton Add para agregar otros usuarioser. Agregue el usuario
VPNuser1 con password VPNuser1pass. Active el check para la encriptacion de password usando el
algoritmo de hash MD5. Dejar el nivel de privilegio en 1.
Cul es el rango de nivel de privilegio que se puede configurar para un usuario?
__________________________________________________________

d. De Clic en el botn OK para aceptar el registro de VPNuser1, y despus de clic en el botn OK para
cerrar la ventana User Accounts.

e. En la ventana User Authentication (XAuth), de clic en Next para continuar.

Paso 7: Especificar el grupo de autorizacin y el grupo de polticas de usuario.

a. En la ventana Group Authorization and User Group Policies, debe crear al menos un grupo
de polticas para el servidor VPN.

b. De Clic en el boton Add para crear las polticas de grupo.

10

c. En la ventana Add Group Policy, introduzca VPN-Access como el nombre para este grupo. Introduzca
la nueva clave pre compartida (preshared key) como cisco12345 y vuelva a repetirla.
d. Deje marcada la casilla Pool Information e introduzca una direccin de inicio de la 192.168.3.100, una
direccin final 192.168.3.150 y una mscara subred 255.255.255.0.
e. Introduzca 50 para el nmero mximo de conexiones permitidas (Maximum Connections Allowed).
f. De Clic en el botn OK para aceptar.

g. SDM muestra un mensaje de advertencia que indica que las direcciones IP en el pool y la direccin IP de
la interfaz FastEthernet0 / 1 se encuentran en la misma subred. Haga clic en Yes para continuar.
h. Cuando regresa a la ventana Group Authorization, marque la casilla Configure Idle Timer e introduzca
una hora (1). Esto desconecta a los usuarios, si no hay actividad durante una hora y permite que otros se
conecten.
De Clic en el botn Next para continuar.

i. Cuando la ventana Cisco Tunneling Control Protocol (cTCP) sea desplegada, no habilite cTCP. De Clic
en el botn Next para continuar.

11

j. Cuando la ventana Easy VPN Server Passthrough Configuration sea desplegada, asegrese de que la
casilla Action Modify este seleccionada. Esta opcin permite a SDM modificar la configuracin de firewall
en S0/0/1 para permitir el trfico VPN IPsec para llegar a la LAN interna. De Clic en el botn OK, para
continuar.

Paso 8: Revise

el resumen de la configuracin y enviar los comandos.

a. Desplcese por los comandos que SDM enviar al router. No marque la casilla de verificacin test the
VPN. De Clic en botn Finish.
b. Cuando se le solicite enviar la configuracin al router, de clic en Deliver.

c. En la ventana Command Delivery Status, de clic en OK.

Paso 9: Probar el servidor VPN.

a. Regresar a la ventana principal de VPN con la ficha Editar servidor Easy VPN seleccionada. De Clic en
el boton Test VPN Server en la esquina inferior derecha de la pantalla.
b. En la ventana VPN Troubleshooting, de clic en el botn Start.
Su pantalla debe ser similar a la de abajo. De Clic en el botn OK para cerrar la ventana de informacin.
De Clic en el botn Close para salir de la ventana VPN Troubleshooting.

12

Tarea 4: Use el cliente VPN de Cisco para probar el Acceso Remoto por VPN
Paso 1: (Opcional) Instalar el cliente VPN Cisco en la PC-A.

Paso 2: Configure la PC-A como un cliente VPN para acceder al servidor VPN desde R1.
a. Iniciar el cliente VPN de cisco y selecione Connection Entries > New, o de clic en el icono New con el
signo rojo mas(+) en el.

13

b. Introduce la siguiente informacin para definir la entrada de conexin nueva. De Clic en el botn Save
cuando haya terminado.
Connection Entry: VPN-R3
Description: Conexin a Red Interna de R3
Host: 10.2.2.1 (Direccin IP de la interfaz S0/0/1 del router R3)
Group Authentication Name: VPN-Access (definido en el pool de direcciones configurado en la Tarea 2)
Password: cisco12345 (pre-shared key configurado en la Tarea 2)
Confirm Password: cisco12345
Nota: El nombre de autenticacin de grupo y la contrasea distinguen entre maysculas y minsculas y
debe coincidir con las creadas en el servidor VPN.

Paso 3: Prueba

de acceso desde la PC-A sin una conexin VPN.

En el paso anterior, se ha creado una entrada de conexin VPN en el cliente VPN del equipo PC-A, pero
no lo ha activado, asi el tnel VPN no ha sido probado.
Abra una sesin de comandos en la PC-A y haga ping a la direccin IP PC-C con 192.168.3.3 en la LAN de
R3. Tienen xito los ping? Por que si, o porque no?
_______________________________________________________________________________
_______________________________________________________________________________

Step 4: Establecer la conexion VPN y logearse.

a. Selecione la nueva conexion creada VPN-R3 y de clic en el icono Connect. Tambin puede hacer doble
clic en la entrada de conexin.

14

b. Introduzca el usuario previamente creado VPNuser1 en el cliente VPN en el cuadro de dialogo

autenticacin de usuario y digite la contrasea VPNuser1pass. De Clic en el botn OK para continuar. La
ventana de Cliente VPN es minimiza a un icono de candado en la barra de de la barra de tareas. Cuando el
candado est cerrado, el tnel VPN esta activo. Cuando est abierto, la conexin VPN est desactivada.

Revisar las estadsticas del tunnel.

a. Select Status > Statistics. Click the Tunnel Details tab.

Bibliografa: Cisco.netacad.net. CCNA Security.

15