IPSec es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de Internet, autenticando y/o cifrando cada paquete IP en un flujo de datos, también incluye protocolos para el establecimiento de claves de cifrado.
En este artículo aprenderemos a configurar una VPN Site to Site con el protocolo IPSec con los Firewall de Nueva Generación de Allied Telesis (AT-AR4050S-10 y AT-AR3050S-10).
Requisitos:
En la oficina central una IP Pública fija.
En la oficina remota no es necesaria una IP Pública fija con que tenga acceso a Internet y una IP Pública Dinámica.
Cable de consola.
Convertidor USB-Serial.
En ambos sitios debe tener equipos de Allied Telesis de la serie AR.
Ejemplo con direcciones IP dinámicas asignadas.
En está configuración, la dirección de la interfaz WAN de la oficina remota se asigna dinámicamente mediante DHCP.
Por lo tanto la oficina remota VTI su identificador local es Remote_Site_1, lo que permite a la oficina principal emparejar e identificar la VPN entrante.
Ejemplo de configuración de la oficina principal.
!
crypto ipsec profile phase2
pfs 5
transform 1 protocol esp integrity SHA256 encryption AES256
!
crypto isakmp profile phase1
version 2
transform 1 integrity SHA256 encryption AES256 group 5
!
crypto isakmp key SAMPLEKEY hostname Remote_Site_1
!
crypto isakmp peer dynamic profile phase1
!
interface eth1
ip address 130.16.0.1/24
!
interface vlan1
ip address 192.168.1.254/24
!
interface tunnel1
tunnel source eth1
tunnel destination dynamic
tunnel remote name Remote_Site_1
tunnel protection ipsec profile phase2
tunnel mode ipsec ipv4
ip address 10.0.0.1/30
!
ip route 192.168.2.0/24 tunnel1
!
Ejemplo de configuración de la oficina remota.
!
crypto ipsec profile phase2
pfs 5
transform 1 protocol esp integrity SHA256 encryption AES256
!
crypto isakmp profile phase1
version 2
transform 1 integrity SHA256 encryption AES256 group 5
!
crypto isakmp key SAMPLEKEY address 130.16.0.1
!
crypto isakmp peer address 130.16.0.1 profile phase1
!
interface eth1
ip address dhcp
!
interface vlan1
ip address 192.168.2.254/24
!
interface tunnel1
tunnel source eth1
tunnel destination 130.16.0.1
tunnel local name Remote_Site_1
tunnel protection ipsec profile phase2
tunnel mode ipsec ipv4
ip address 10.0.0.2/30
!
ip route 192.168.1.0/24 tunnel1
!