La explicación mas simple y en español que he encontrado en youtube, te felicito por muy buen laboratorio, claro y conciso para el que quiere replicar la configuración. Saludos!
solo falta aclarar lo siguiente: se necesita crear rutas estáticas de extremo a extremo entre las redes privadas para que los paquetes ICMP sean entregados a través de la VPN, pues recordemos que entre ambas existe NAT
Que pasa si borro la primer ACL NAT? y me quedo solo con la VPN? Supongo que la primera ACL solo existe para la configuraciones en las interfaces inside y outside
Hola ..muy buen video..te quiero hacer una pregunta..Puedo tener configuraro en los dos pfsense un mismo rango de ip algo como pfsense1 IP 10.0.0.1 y en pfsense2 10.0.0.2 ? Gracias muy bueno todo..
Hola Paulo, en router 3 segun vi, falto configurar un lifetime dentro del crypto isakmp policy, es decir, no te lo da un copy past que es lo que normalmente aplicamos la mayoria, ¿cierto?
Esto es lo mismo si quiero implementar una VPN de acceso remoto Ipsec? Quiero decir, si de esa misma topologia hay un trabajador a distancia desde su casa, y se quiere conectar a la VPN. O como lo podría incorporar?
Si, pero necesitarías levantar un túnel GRE En vez de una VPN IPsec. La otra opción es, si te preocupa la seguridad, levantar un túnel GRE+IPsec y luego levantar OSPF
Muy buena explicación, tengo una duda. ¿En que casos se usa entonces BGP en lugar de NAT, por que por lo que veo es que sirve de una manera muy similar a un protocolo de enrutamiento dinámico? Ojalá y puedas contestar, seria de gran ayuda
Pues, nat es un protocolo de traducción de direcciones ip , mientras que bgp detalla las rutas que anuncia ( border gateway protocol) A tu pregunta , si quieres aplicar esta config vpn usando bgp , en el router divides los traficos anunciando prefix de trafico inet y otro prefix para trafico de la vpn , bgp anunciaría ambos diferenciando segun el destino. Eso es lo montamos desde integración, en los routers que anuncian al Bsr
Excelente el video, muy explicativo y ordenado Te consulto algo, sino generas una ACL para NAT, la vpn funciona igual verdad? Vos hace una acl llamada "NAT" que denegas el trafico IN hacia el otro extremo de la VPN para que justamente no haga NAT y luego en la ACL llamada "VPN" habilitas ese trafico ya que dicha ACL la matcheas en la fase2. Ahi mi duda, si vos no necesitas que tu LAN salga a internet y solamente necesitas la VPN no seria necesario hacer la ACL NAT, es correcto esto? Gracias
Si, pero depende. Lo que hace la ACL llamada NAT, es que definir qué cosa sale a Internet y qué cosa no. Lo que ocurre, es que es habitual decir que todo el tráfico desde la LAN salga a Internet (por eso generalmente la ACL NAT es algo asi como permit ip 192.168.0.0 0.0.0.255 any) y, como el router primero procesa el tráfico de tipo NAT y después el tráfico VPN, normalmente en la misma ACL llamada NAT definimos lo que NO quiere salir a Internet (con los deny respectivos) para que si se vaya por la VPN. Ahora, si tu ACL llamada NAT, por defecto no permite que el host X salga a Internet, no es necesario volver a definirlo, y el router buscará procesarlo mediante IPsec hacia la VPN. Ej (un caso raro, pero para explicar lo que quieres saber) Tu red es 192.168.0.0/24 pero tu quieres que solamente los primeros 128 IP salgan a Internet, y los 128 restantes no, y que estos últimos solamente sean los que salen por la VPN. En este caso tienes 2 formas de definir las ACL y las dos funcionan, solo que una es mas corta que la otra: Opción 1: ip access-list extended NAT permit ip 192.168.0.0 0.0.0.127 any deny ip any any ip access-list extended VPN permit ip 192.168.0.128 0.0.0.127 any deny ip any any Opción 2 (similar al video): ip access-list extended NAT deny ip 192.168.0.128 0.0.0.127 any permit ip 192.168.0.0 0.0.0.127 any ip access-list VPN permit ip 192.168.0.0 0.0.0.127 any deny ip 192.168.0.128 0.0.0.127 any Espero no haberte confundido más jaja, pero en el fondo, cuando preguntaste si estabas en lo correcto, si. Estás en lo correcto.
@@pcolomes Muchisimas gracias por tomarte el tiempo en una respuesta tan amplia de verdad, me quedo super claro Mi consulta era porque tengo un caso de un router cisco que tiene una vpn y solamente esta para eso, no necesita salida a internet, asi que en este caso si aplicaria la logica de mi pregunta
Buenas tardes Paulo, primeramente gracias por estos aportes, en segundo lugar en caso de que las Ip del proveedor sean Dinamicas como funcionaria esta configuracion ya que logicamente cambiarian. Gracias de antemano.
Hola Alexis, Se pueden implementar VPNs cuando las IPs son dinámicas apuntando el 'peer' remoto a un nombre de dominio (DNS) dinámico como DynDNS, No-IP o similares. Acá hay un link que explica bien eso: www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-architecture-implementation/118048-technote-ipsec-00.html
Hola Paulo un gusto saludarte, que tipo de router CISCO me recomendarías que actualmente este en el mercado, necesito uno que pueda hacer este tipo de conexiones. De antemano gracias por tus aportes.
@@henrysanchez4821 Si, en algunos casos, pero con opciones muy básicas y limitadas.Generlamente a esos dispositivos hay que ponerles un firmware DD-WRT
Tengo otra duda, en el video definis "lifetime 86400" pero luego en ningun momento te muestra esa configuracion cuando mostras el detalle de la salida del "show running-config", hay manera de ver en la configuracion que lifetime hay configurado?
Normalmente los valores por defecto que traen los equipos Cisco no se ven en el running-config. Para ver cual es el lifetime tienes que ejecutar el comando "show crypto isakmp policy" o "show crypto map"
Estimado, según se las VPN no se realizan con NAT, lleve a la practica el laboratario pero después de la configuración no tengo ping entre el R1 y la ip interna del router R3
una pregunta.. aqui entra en juego tambien el ancho de banda que tengamos contratado verdad? es decir si tengo una sucursal en polonia y otra en chile y quiero inter-conectarla mediante una vpn ipsec, tengo que contrata un servicio de internet con alto consumo? en ambos extremos saludos.
@@pcolomes paulo, pero si en la sucursal tengo 4 mb contratado y en la sede pppal tengo contratado 6 el tunel se establece pero el consumo maximo seria pasar 4mb. * tambien tengo una duda con el lifetime si lo pongo a 86400 quiere decir que cada 24 hora el tunel se cae i vuelven a compararse la phase 1 (polity) * cuando establezco el tunel al momento de yo mandar datos de un extremo al otro extemo es que el tunel se levanta de otra forma el tunel se encuentra caido? o siempre se encuentra Up asi pase o no datos? porfa si me pudieras aclarar esas dudas saludos.
Hola saludos, Pablo tengo una duda en la parte de Internet en los routers ISP1- - ISP2 ¿que configuraste ? me atrevería a decir que RUTAS ESTÁTICAS????...... ¿se podría configurar protocolos de enrrutamiento dinámico? en los routers ISP1 -- ISP2
En esta topología basta con una ruta estática en ISP1 apuntando a la red entre ISP2-R3 y otra ruta estática en ISP2 apuntando a la red entre ISP1-R1. Eso lo hice para simular conectividad en Internet. En la vida real, los ISP trabajan con protocolos dinámicos ya que sus redes son muy grandes. También puedes levantar un IGP entre ISP1 e ISP2 y el efecto será el mismo.
Paulo, una gran duda he escuchado que EIGRP fue liberado, osea se puede utilizar EIGRP en equipos que no sean CISCO , me ayudarías aclarando esa duda y algún link sobre esa documentación
EIGRP siempre ha sido un protocolo propietario de Cisco, pero hace un par de años se tomó la decisión de hacerlo estándar. El IETF ya publicó al menos 3 RFCs respecto a EIGRP (acá el último: tools.ietf.org/html/rfc7868) lo que significa que cualquier fabricante ahora puede tomar este documento e implementar EIGRP en sus sistemas. Cisco reservó algunas de las funciones más avanzadas de este protocolo (EIGRP Stub, entre otras) para equipos Cisco únicamente, pero todo el resto es ahora estándar. El tema es ver si alguien lo implementará o no, pero definitivamente ya es estándar.
HOLA SUPONGAMOS QUE TENGO UN SERVIDOR COMPARTIENDO ARCHIVOS EN UN EXTREMO, LOS USUARIOS DEL OTRO EXTREMO PUEDEN ACCEDER A ELLOS MEDIANTE ESTA CONEXION VPN?
R2 tiene una ruta por defecto hacia R1 R4 tiene una ruta por defecto hacia R3 R1 tiene una ruta por defecto hacia ISP1 R3 tiene una ruta por defecto hacia ISP2 ISP1 tiene una ruta estática apuntando hacia ISP2 para llegar a la red 200.0.0.0/4 ISP2 tiene una ruta estática apuntando hacia ISP1 para llegar a la red 199.0.0.0/1 Así de simple. Ya que R1 y R3 hacen NAT hacia sus redes interiores, no se necesita otro tipo de enrutamiento más que ese.
Hola Diego. No, IPsec solo sirve para proteger el tráfico IP. Si necesitas pasar Multicast por una VPN debes usar GRE. GRE es un método de encapsulación que no va cifrado. Si necesitas enviar este tráfico Multicast a través de una red insegura (como Internet), puedes usar IPSec + GRE
Paulo una pregunta mas por favor, que pasa si creo un ipsec vpn tunel con un router donde el puerto wan es una ip de la red local? es decir una ip privada? es esto posible? Muchas gracias
@@diegogudino4923 Eso es posible pero es problemático. Tienes que habilitar NAT Traversal y también debes configurar un NAT 1:1 en el router de borde para que tu router interno quede como punto de terminación de la VPN. Es posible, sí. Es problemático a veces: si.
Una consulta, seria mucha molestia que subiera un show run de uno de los router a dropbox o algo?, lo digo porque aveces veo los videos en un lugar donde no puedo practicar, cuando llego a casa me demoro viendo el video de nuevo parte por parte para encontrar los comandos.
Los routers vienen con la config básica (direccionamiento IP) y adicionalmente el resto de los comandos (NAT, IPSEC, ACLs, etc) vienen dentro del archivo GNS3 que está debajo de la descripción del video
Buena pregunta. EN ese caso la VPN es imposible de establecer a menos que se haga una configuración extremadamente compleja aplicando NAT inverso. LO más fácil es coordinar para que las sucursales tengan rangos IP diferentes.
Nop. NAT es solo para sacar internet un montón e máquinas a través de una sola IP. IPsec, por otro lado, es para levantar túneles remotos de forma segura. En el ejemplo he mezclado las dos tecnologías ya que es el escenario más común de encontrar en las empresas.
No me funciona, he puesto dos maquinas virtuales Linux como hosts en lugar de R1 y R4 cuando hago ping de un hosts a otro me dice destino inalcanzable, el NAT me funciona correctamente ya que puedo hacer ping a las interfaces publicas desde los hosts y la traducción del NAT funciona pero la VPN no me funciona
Cuando dice "destino inalcanzable", es muy importante ver desde que IP se devuelve ese mensaje. Típicamente diria algo así como "unreachable from 192.168.1.1". Esto significa que en el dispositivo que tiene justamente esa dirección IP es donde falta la ruta para llegar al destino.
Una consulta como puedo hacer si tengo que conectar 3 sucursales? modifico el crypto map añadiendo un set peer extra a la tercera sucursal? ademas de crear la key correspondiente a esa tercera sucursal? hasta ahora intente crear 2 crypto map distintos pero solo me deja asignar uno al puerto que lleva a internet.
Agustin Quevedo es un único crypto map con múltiples configuraciones. En ese caso debes definir un sitio principal y desde ahí levantas la 2da VPn agregando un numero de secuencia mayor al crypto map (va de 10 en 10)
@@pcolomes no se si entendi bien lo que hice fue poner el mismo nombre de cryptomap con otro numero de secuencia y en este numero le puse el nuevo peer(el de la tercera sucursal) y una access list que corresponde a las redes que tiene esta tercera sucursal. Faltaria cambiar algo mas?
ya esta listo, tenia razón usted, tenia que crear una secuencia mas en el mismo crypto map con cada secuencia individual teniendo su access list correspondiente y para solucionar el problema que mencionaba arriba solo cambie el lifetime de 86400 a 60 y eso lo soluciono parece que si un tunel se mantiene activo el otro no se puede levantar en el mismo puerto y por eso no me encriptaba lo que debia ir a la otra sucursal.
Es un error de GNS3. Haz lo siguiente (Suponiendo que la interfaz donde te da el problema sea la FastEthernet 0/0) interface Fa0/0 no cdp enable y listo.
Ing. Paulo Colomés. Es posible que el Router 2911 no contega los parametros crypto isakmp? solo me aparece lo siguiente: LAN27(config)#Crypto ? ca Certification authority key Long term key operations pki Public Key components
si, es posible, pero depende de la versión del IOS que tenga ese router. Es probable que no es K9 (código Cisco para el soporte de criptografía). Si ejecutas un show version y el nombre del IOS no incluye k9, es por eso. Otra opción puede ser que tengas el IOS universal pero debas activar el feature de Security con una licencia. Show license te servirá. Puedes pedir licencias demo para esos routers
Hola, he realizado paso por paso y no me funciona no entiendo que puede ser. Todo se encuentra igual al video, estoy haciendo simulación en packet tracert utilizando la referencia 1841. Tengo respuesta desde los "Host" hasta las publicas de R1 y R3, pero entre R4 y R2 NO.. Puedes ayudarme
Porque VPCS es un software muy lleno de errores. Es normal que pase eso. Si buscas más estabilidad, te recomiendo que conectes TinyCore Linux o alguna distro minimalista :)
esto me sale. PC1> Good-bye Connection closed by foreign host. logout Saving session... ...copying shared history... ...saving history...truncating history files... ...completed. Deleting expired sessions...48 completed. [Proceso completado] ¿no hay ninguna forma de evitarlo?@@pcolomes
![สาวเมืองเพชร - ธีเดช ทองอภิชาติ [Official MV]](http://i.ytimg.com/vi/kEt7F9PvO3I/mqdefault.jpg)
Por favor muchos aplausos para este profesor... muchas gracias.
aplausos
La explicación mas simple y en español que he encontrado en youtube, te felicito por muy buen laboratorio, claro y conciso para el que quiere replicar la configuración.
Saludos!
¡Felicidades profesor! No sabe ha cuanto de nosotros nos ha ayudado sus videos, bendiciones para usted.
Lo mejor que he visto, gracias Pablo por compartir tus conocimientos
llevo poco tiempo viendo tus videos, tienes el don de la enseñanza, muchas gracias...
El mejor vídeo explicativo de la construcción de una VPN IPsec.
No se de que manera aplaudirte... Genial la explicacion y el tiempo dedicado. Te felicito...
Muy buen laboratorio.
He aprendido de rápido lo que necesito saber y recordar de IPSec.
Gracias...!!!!!!!!!!
Me gusto mucho tu forma de explicar, muchas gracias por tu aporte, saludos desde MEXICO
Genial, tuve que ver este video para poder entender. No les pude comprender a mis profesores en mi instituto. Muchas gracias!
Muchas gracias maestro. Excelente explicación, simplemente magistral!
Excelente video profesor Paulo, desde hace mucho sigo su canal y realmente el aporte que hace es muy valioso.
Gracias por tan buena y excelente explicación! Es excepcional la forma tan fácil que tiene de explicar, gran video paulo!
Gracias por tu tiempo. Muy práctico y muy clara la explicación de cada punto.
excelente explicación!! gracias por compartir conocimientos..!
Excelente amigo. Ya hice trabajar la VPN. Muy buena explicación
Gran aporte con temas de IPsec y ademas muy bien explicado, se agradece el vídeo Paulo Colomes
Todos tus videos son muy buenos ..gracias!! explicas muy bien..saludos desde colombia!!
@Paulo Colomés , Tendrás algún video para configurar VPN client to site ?
gracias paulo, desde el CCNA que me guío con tus videos, los tutoriales son muy claros. saludos desde argentina!
Que explicación tan detallada, nuevo sub
Muchas Gracias por hacer estos videos tan maravillosamente entendible , saludos desde -Mexico
Excelente explicación. Gracias por compartir tus conocimientos
Bien explicado y muy práctico. Gracias por el aporte. Saludos!
Excelente explicación, muchas gracias por compartir
excelente y muy bien explicado... me ayudara en mi trabajo!!!
Que Exellente Video, Muchas Gracias por este trabajo , Genio, Saludos desde Costa Rica
muchas gracias...genial video y explicación!
Paulo le agradezco mucho este video, te llevas mi like.
Excelente explicación. :)
solo falta aclarar lo siguiente: se necesita crear rutas estáticas de extremo a extremo entre las redes privadas para que los paquetes ICMP sean entregados a través de la VPN, pues recordemos que entre ambas existe NAT
Muy buena explicacion muchas gracias
Como siempre excelente tus videos Paulo, subiras algo de ASA con DMZ ? Saludos desde Venezuela
Aquí tienes uno amigo. Espero te sea de utilidad th-cam.com/video/8sRSmr92gSg/w-d-xo.html
Que pasa si borro la primer ACL NAT? y me quedo solo con la VPN? Supongo que la primera ACL solo existe para la configuraciones en las interfaces inside y outside
Excelente vídeo, excelente explicación.
es un grande tio paulito
Excelente Tutorial como siempre contenido de calidad
Agradecido! muy buena explicación
Saludos, que protocolo de enrutamiento ya había configurado antes de empezar a hacer NAT?
Hola ..muy buen video..te quiero hacer una pregunta..Puedo tener configuraro en los dos pfsense un mismo rango de ip algo como pfsense1 IP 10.0.0.1 y en pfsense2 10.0.0.2 ? Gracias muy bueno todo..
Genial, a la espera de más videos :)
Gran aporte, excelente
excelente video pero también tendrías un vídeo donde configures todo los ruoter que funcionan como Internet
Hola Paulo, en router 3 segun vi, falto configurar un lifetime dentro del crypto isakmp policy, es decir, no te lo da un copy past que es lo que normalmente aplicamos la mayoria, ¿cierto?
Excelente!!!! Gracias
Sino configuras lifetime por defecto toma 1 dia o sea 86400, es correcto?
La parte donde niega direcciones ip con NAT, se puede realizar de forma similar con OSPF?
Excelente Profesor!!
Un genio
Muchas Gracias Paulo
hola, excelente video. y una pregunta, puedo usar enrutamiento dinamico con la configuración de vpn ipsec site to site?
muchas gracias !!
Excelente, ¡muchas gracias!
Creo que valio madres el lifetime no ?? porq configuraste en el router R1 pero no en R3 y igual levanto la VPN
Muy buena explicación. Tienes algún curso publicado en alguna plataforma de Learning?
podrías hacer un toturial de un router hacia un asa este me gusto mucho
Buen video, bien explicado,
Que protocolo de enrrutamiento usastes?
Ninguno. Es una VPN de tipo Policy-Based, a diferencia de otras que son de tipo Route-Based
@@pcolomes muchas gracias
Muchas gracias por compartir este video. ¿Tiene algún video sobre VPN de acceso remoto?
No amigo. No he hecho ese trabajo aún...
lograste hacer la VPN de acceso remoto?
Esto es lo mismo si quiero implementar una VPN de acceso remoto Ipsec?
Quiero decir, si de esa misma topologia hay un trabajador a distancia desde su casa, y se quiere conectar a la VPN.
O como lo podría incorporar?
Buenas tardes profesor Paulo, una consulta, entre los routers R1 y R3 se puede aplicar ospf?
Si, pero necesitarías levantar un túnel GRE
En vez de una VPN IPsec. La otra opción es, si te preocupa la seguridad, levantar un túnel GRE+IPsec y luego levantar OSPF
Excelente
Muy buena explicación, tengo una duda.
¿En que casos se usa entonces BGP en lugar de NAT, por que por lo que veo es que sirve de una manera muy similar a un protocolo de enrutamiento dinámico?
Ojalá y puedas contestar, seria de gran ayuda
Pues, nat es un protocolo de traducción de direcciones ip , mientras que bgp detalla las rutas que anuncia ( border gateway protocol)
A tu pregunta , si quieres aplicar esta config vpn usando bgp , en el router divides los traficos anunciando prefix de trafico inet y otro prefix para trafico de la vpn , bgp anunciaría ambos diferenciando segun el destino.
Eso es lo montamos desde integración, en los routers que anuncian al Bsr
Excelente el video, muy explicativo y ordenado
Te consulto algo, sino generas una ACL para NAT, la vpn funciona igual verdad? Vos hace una acl llamada "NAT" que denegas el trafico IN hacia el otro extremo de la VPN para que justamente no haga NAT y luego en la ACL llamada "VPN" habilitas ese trafico ya que dicha ACL la matcheas en la fase2. Ahi mi duda, si vos no necesitas que tu LAN salga a internet y solamente necesitas la VPN no seria necesario hacer la ACL NAT, es correcto esto?
Gracias
Si, pero depende. Lo que hace la ACL llamada NAT, es que definir qué cosa sale a Internet y qué cosa no. Lo que ocurre, es que es habitual decir que todo el tráfico desde la LAN salga a Internet (por eso generalmente la ACL NAT es algo asi como permit ip 192.168.0.0 0.0.0.255 any) y, como el router primero procesa el tráfico de tipo NAT y después el tráfico VPN, normalmente en la misma ACL llamada NAT definimos lo que NO quiere salir a Internet (con los deny respectivos) para que si se vaya por la VPN.
Ahora, si tu ACL llamada NAT, por defecto no permite que el host X salga a Internet, no es necesario volver a definirlo, y el router buscará procesarlo mediante IPsec hacia la VPN.
Ej (un caso raro, pero para explicar lo que quieres saber)
Tu red es 192.168.0.0/24 pero tu quieres que solamente los primeros 128 IP salgan a Internet, y los 128 restantes no, y que estos últimos solamente sean los que salen por la VPN. En este caso tienes 2 formas de definir las ACL y las dos funcionan, solo que una es mas corta que la otra:
Opción 1:
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.127 any
deny ip any any
ip access-list extended VPN
permit ip 192.168.0.128 0.0.0.127 any
deny ip any any
Opción 2 (similar al video):
ip access-list extended NAT
deny ip 192.168.0.128 0.0.0.127 any
permit ip 192.168.0.0 0.0.0.127 any
ip access-list VPN
permit ip 192.168.0.0 0.0.0.127 any
deny ip 192.168.0.128 0.0.0.127 any
Espero no haberte confundido más jaja, pero en el fondo, cuando preguntaste si estabas en lo correcto, si. Estás en lo correcto.
@@pcolomes Muchisimas gracias por tomarte el tiempo en una respuesta tan amplia de verdad, me quedo super claro
Mi consulta era porque tengo un caso de un router cisco que tiene una vpn y solamente esta para eso, no necesita salida a internet, asi que en este caso si aplicaria la logica de mi pregunta
Buen video, pero es imposible encontrar la imagen de 3725 que has elegido. Ni si quiera en Cisco.com.
Buenas tardes Paulo, primeramente gracias por estos aportes, en segundo lugar en caso de que las Ip del proveedor sean Dinamicas como funcionaria esta configuracion ya que logicamente cambiarian.
Gracias de antemano.
Hola Alexis,
Se pueden implementar VPNs cuando las IPs son dinámicas apuntando el 'peer' remoto a un nombre de dominio (DNS) dinámico como DynDNS, No-IP o similares. Acá hay un link que explica bien eso:
www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-architecture-implementation/118048-technote-ipsec-00.html
Muchisimas gracias Paulo por tu pronta respuesta y por el aporte del link.
Muy bueno, gracias
Hola Paulo un gusto saludarte, que tipo de router CISCO me recomendarías que actualmente este en el mercado, necesito uno que pueda hacer este tipo de conexiones. De antemano gracias por tus aportes.
Realmente cualquier router Cisco soporte VPNs de este tipo. Solo debes fijarte que el IOS que traiga diga K9 (Criptografía)
@@pcolomes sabes si hay ROUTER LINKSYS que pueden hacer este tipo de configuración VPN
@@henrysanchez4821 Si, en algunos casos, pero con opciones muy básicas y limitadas.Generlamente a esos dispositivos hay que ponerles un firmware DD-WRT
Ídolo
Tengo otra duda, en el video definis "lifetime 86400" pero luego en ningun momento te muestra esa configuracion cuando mostras el detalle de la salida del "show running-config", hay manera de ver en la configuracion que lifetime hay configurado?
Normalmente los valores por defecto que traen los equipos Cisco no se ven en el running-config. Para ver cual es el lifetime tienes que ejecutar el comando "show crypto isakmp policy" o "show crypto map"
Estimado, según se las VPN no se realizan con NAT, lleve a la practica el laboratario pero después de la configuración no tengo ping entre el R1 y la ip interna del router R3
La VPN se pueden hacer con o sin NAT. Incluso hay una tecnología auxiliar para estos casos que se llama NAT Traversal ;)
@@pcolomes Muchas gracias Paulo, me comentas como puedo contactarte necesito de tu apoyo.
una pregunta.. aqui entra en juego tambien el ancho de banda que tengamos contratado verdad? es decir si tengo una sucursal en polonia y otra en chile y quiero inter-conectarla mediante una vpn ipsec, tengo que contrata un servicio de internet con alto consumo? en ambos extremos
saludos.
Claro. Siempre el ancho de banda contratado es el límite máximo al cual podemos transferir datos
@@pcolomes paulo, pero si en la sucursal tengo 4 mb contratado y en la sede pppal tengo contratado 6 el tunel se establece pero el consumo maximo seria pasar 4mb.
* tambien tengo una duda con el lifetime si lo pongo a 86400 quiere decir que cada 24 hora el tunel se cae i vuelven a compararse la phase 1 (polity)
* cuando establezco el tunel al momento de yo mandar datos de un extremo al otro extemo es que el tunel se levanta de otra forma el tunel se encuentra caido? o siempre se encuentra Up asi pase o no datos?
porfa si me pudieras aclarar esas dudas saludos.
Impecable!!!
Hola saludos, Pablo tengo una duda en la parte de Internet en los routers ISP1- - ISP2 ¿que configuraste ? me atrevería a decir que RUTAS ESTÁTICAS????...... ¿se podría configurar protocolos de enrrutamiento dinámico? en los routers ISP1 -- ISP2
En esta topología basta con una ruta estática en ISP1 apuntando a la red entre ISP2-R3 y otra ruta estática en ISP2 apuntando a la red entre ISP1-R1. Eso lo hice para simular conectividad en Internet. En la vida real, los ISP trabajan con protocolos dinámicos ya que sus redes son muy grandes. También puedes levantar un IGP entre ISP1 e ISP2 y el efecto será el mismo.
Muchas Gracias por la oportuna y rápida respuesta.
Paulo, una gran duda he escuchado que EIGRP fue liberado, osea se puede utilizar EIGRP en equipos que no sean CISCO , me ayudarías aclarando esa duda y algún link sobre esa documentación
EIGRP siempre ha sido un protocolo propietario de Cisco, pero hace un par de años se tomó la decisión de hacerlo estándar. El IETF ya publicó al menos 3 RFCs respecto a EIGRP (acá el último: tools.ietf.org/html/rfc7868) lo que significa que cualquier fabricante ahora puede tomar este documento e implementar EIGRP en sus sistemas. Cisco reservó algunas de las funciones más avanzadas de este protocolo (EIGRP Stub, entre otras) para equipos Cisco únicamente, pero todo el resto es ahora estándar. El tema es ver si alguien lo implementará o no, pero definitivamente ya es estándar.
HOLA
SUPONGAMOS QUE TENGO UN SERVIDOR COMPARTIENDO ARCHIVOS EN UN EXTREMO, LOS USUARIOS DEL OTRO EXTREMO PUEDEN ACCEDER A ELLOS MEDIANTE ESTA CONEXION VPN?
Hola. Què tipo de routing has configurado? Gracias.
R2 tiene una ruta por defecto hacia R1
R4 tiene una ruta por defecto hacia R3
R1 tiene una ruta por defecto hacia ISP1
R3 tiene una ruta por defecto hacia ISP2
ISP1 tiene una ruta estática apuntando hacia ISP2 para llegar a la red 200.0.0.0/4
ISP2 tiene una ruta estática apuntando hacia ISP1 para llegar a la red 199.0.0.0/1
Así de simple. Ya que R1 y R3 hacen NAT hacia sus redes interiores, no se necesita otro tipo de enrutamiento más que ese.
Buen día, ¿Si el R3 estuviera detras de NAT con IP dinamica aplicaría esta configuración o que recominedas?
Si, se podría pero en el router de borde habría que crear un redireccionamiento de puertos para que el puerto 500/UDP (IKE) apunte al R3 interno.
OK, pero si estoy bajo de un WISP y no tengo control deNAT/ PAT, ¿que opción seria recomendable? l2tp o alguna otra
Si no eres dueño de tu IP pública, no hay mucho que puedas hacer.
Gracias por este espectacular video Paulo. Te hago una pregunta, IPSec permite trafico Multicast ?
Hola Diego. No, IPsec solo sirve para proteger el tráfico IP. Si necesitas pasar Multicast por una VPN debes usar GRE. GRE es un método de encapsulación que no va cifrado. Si necesitas enviar este tráfico Multicast a través de una red insegura (como Internet), puedes usar IPSec + GRE
@@pcolomes ok, es lo que habia averiguado pero queria estar seguro. Muchisimas gracias por tu rapida respuesta. Un gran saludo desde Montreal.
Paulo una pregunta mas por favor, que pasa si creo un ipsec vpn tunel con un router donde el puerto wan es una ip de la red local? es decir una ip privada? es esto posible? Muchas gracias
@@diegogudino4923 Eso es posible pero es problemático. Tienes que habilitar NAT Traversal y también debes configurar un NAT 1:1 en el router de borde para que tu router interno quede como punto de terminación de la VPN. Es posible, sí. Es problemático a veces: si.
@@pcolomes Gracias Paulo.
que software utiliza para hacer la simulacion?
GNS3
Hola Paulo
Hay manera de hacer esa configuración de manera GUI?
En router TP-LINK lo hecho muy fácil.
No lo sé. Soy enemigo de las GUI :D
Una consulta, seria mucha molestia que subiera un show run de uno de los router a dropbox o algo?, lo digo porque aveces veo los videos en un lugar donde no puedo practicar, cuando llego a casa me demoro viendo el video de nuevo parte por parte para encontrar los comandos.
Los routers vienen con la config básica (direccionamiento IP) y adicionalmente el resto de los comandos (NAT, IPSEC, ACLs, etc) vienen dentro del archivo GNS3 que está debajo de la descripción del video
Paulo, solo complace e KusaNakuAfal, no es la unica que ve tus videos, digo.....please!!!
Pero si la config está disponible en el mismo archivo ZIP donde viene la topología. El link está en la descripción del video ;)
Buenisimo !!
disculpa para que se usa la palabra "overload" ??
aplauso, Muito obrigado pela explicacao de VPN., Tenho uma pergunta, qual o protocolo de roteamente usado entre routert ISP e router de rede?
Generalmente entre ISP se usa BGP
gracias
QUe pasaria con las ACL y EL NAT si ambas LAN tienen el mismo rango?? R1 192.168.1.0/24 y R3 192.168.1.0/24 , que es lo Comun en todas la Empresas.
Buena pregunta. EN ese caso la VPN es imposible de establecer a menos que se haga una configuración extremadamente compleja aplicando NAT inverso. LO más fácil es coordinar para que las sucursales tengan rangos IP diferentes.
Muito bom. Parabéns
es necesario tener NAT para IPsec?
Nop. NAT es solo para sacar internet un montón e máquinas a través de una sola IP. IPsec, por otro lado, es para levantar túneles remotos de forma segura.
En el ejemplo he mezclado las dos tecnologías ya que es el escenario más común de encontrar en las empresas.
@@pcolomes Gracias!!!!
No me funciona, he puesto dos maquinas virtuales Linux como hosts en lugar de R1 y R4 cuando hago ping de un hosts a otro me dice destino inalcanzable, el NAT me funciona correctamente ya que puedo hacer ping a las interfaces publicas desde los hosts y la traducción del NAT funciona pero la VPN no me funciona
Cuando dice "destino inalcanzable", es muy importante ver desde que IP se devuelve ese mensaje. Típicamente diria algo así como "unreachable from 192.168.1.1". Esto significa que en el dispositivo que tiene justamente esa dirección IP es donde falta la ruta para llegar al destino.
Esto no esta en los cursos gratis de netlearning?
No. Es solo un video tutorial que quise subir aquí ;)
Gracias!
Una consulta como puedo hacer si tengo que conectar 3 sucursales? modifico el crypto map añadiendo un set peer extra a la tercera sucursal? ademas de crear la key correspondiente a esa tercera sucursal? hasta ahora intente crear 2 crypto map distintos pero solo me deja asignar uno al puerto que lleva a internet.
Agustin Quevedo es un único crypto map con múltiples configuraciones. En ese caso debes definir un sitio principal y desde ahí levantas la 2da VPn agregando un numero de secuencia mayor al crypto map (va de 10 en 10)
@@pcolomes no se si entendi bien lo que hice fue poner el mismo nombre de cryptomap con otro numero de secuencia y en este numero le puse el nuevo peer(el de la tercera sucursal) y una access list que corresponde a las redes que tiene esta tercera sucursal. Faltaria cambiar algo mas?
con el cambio que hice me queda que las 2 VPN estan activas pero no me esta haciendo encriptacion a una de las sucursales.
ya esta listo, tenia razón usted, tenia que crear una secuencia mas en el mismo crypto map con cada secuencia individual teniendo su access list correspondiente y para solucionar el problema que mencionaba arriba solo cambie el lifetime de 86400 a 60 y eso lo soluciono parece que si un tunel se mantiene activo el otro no se puede levantar en el mismo puerto y por eso no me encriptaba lo que debia ir a la otra sucursal.
muchas gracias por su ayuda!!
cual es la configuracion en los router ISP?
Solo un par de rutas estáticas para llegar a las IP públicas de los routers VPN
profesor, por aveces me sale un mensaje que dice, Full Duplex tanto en el router como switch y/o pc ¿que significa?
Es un error de GNS3. Haz lo siguiente (Suponiendo que la interfaz donde te da el problema sea la FastEthernet 0/0)
interface Fa0/0
no cdp enable
y listo.
muchas gracias profesor, podría hacer mas videos de gns3, explica muy bien!!
Ing. Paulo Colomés. Es posible que el Router 2911 no contega los parametros crypto isakmp? solo me aparece lo siguiente:
LAN27(config)#Crypto ?
ca Certification authority
key Long term key operations
pki Public Key components
si, es posible, pero depende de la versión del IOS que tenga ese router. Es probable que no es K9 (código Cisco para el soporte de criptografía). Si ejecutas un show version y el nombre del IOS no incluye k9, es por eso.
Otra opción puede ser que tengas el IOS universal pero debas activar el feature de Security con una licencia. Show license te servirá. Puedes pedir licencias demo para esos routers
y las configuraciones de enrutamiento sobre todo del R2 y R4??? como hacemos sin eso nada sirve
en ambos routers solo necesitas una ruta por defecto apuntando al router siguiente.
Amigo muchas gracias por tu aporte, pero tengo un inconveniente, sigo tus pasos así como lo hice con otras guías y no me funciona la vpn, no levanta.
Revisa el lifetime
Hola, he realizado paso por paso y no me funciona no entiendo que puede ser. Todo se encuentra igual al video, estoy haciendo simulación en packet tracert utilizando la referencia 1841. Tengo respuesta desde los "Host" hasta las publicas de R1 y R3, pero entre R4 y R2 NO.. Puedes ayudarme
sube a pastebin.com el running-config de ambos routers (R1 y R3) y luego copia acá la dirección donde quedaron para yo poder verla
@@pcolomes Hola, de la misma manera, a mi no me funcionó. ¿Podría echarle un vistazo? pastebin.com/BGihG8w7
Profesor, por qué se me desconecta VPCS en el mac.. esta todo normal y de la nada se desconecta y se va a la consola predeterminada de macbook
Porque VPCS es un software muy lleno de errores. Es normal que pase eso. Si buscas más estabilidad, te recomiendo que conectes TinyCore Linux o alguna distro minimalista :)
esto me sale.
PC1>
Good-bye
Connection closed by foreign host.
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.
Deleting expired sessions...48 completed.
[Proceso completado]
¿no hay ninguna forma de evitarlo?@@pcolomes
profesor @@pcolomes cuales son los comando para limitar ancho de banda a los dispositivos que se conecten. "Cisco"
genial me funciono y todo pero el nat no lo me funciono :( no supe si fue porque en internet use enrutamiento con eigrp :(
Es muy probable eso. No debes usar enrutamiento entre los routers de borde e Internet
y la teoria ___????
ladron es gay
ajjajajaj CMAMUT
Excelente explicación...
Muchas gracias...