Cisco VPN IPSEC Mobile Client 

Creamos el pool de direcciones IPs que seran asignadas a los clientes conectados

 router(config)#ip local pool VPN_POOL 192.168.11.0 192.168.11.254


Configuramos donde se autenticaran los clientes VPN que se connectaran

aaa new-model
aaa authentication login VPN_AUTHE local-case
 //Si no se pone el siguiente comando no nos va apareces el prompt de validación del cliente Cisco
aaa authorization network VPN_AUTHE local



##########################
##### 1a Fase IPSec ######
##########################


## Politica ISAKMP en que se establecerá el tunnel

crypto isakmp policy 20
encr aes 256
authentication pre-share
group 2
lifetime 3600
crypto isakmp identity dn
crypto isakmp keepalive 15 5
crypto isakmp nat keepalive 10
crypto isakmp client configuration address-pool local VPN_POOL
crypto isakmp xauth timeout 30


##Grupo de configuración para el cliente

crypto isakmp client configuration group VPN_CLIENT
key 1234567890
dns 192.168.1.1
wins 192.168.1.1
domain dominio.x
pool VPN_POOL


## Perfil del cliente (groupo, autenticacion, autorización...)

crypto isakmp profile CLIENT_PROFILE
description VPN Client Profile
match identity group VPN_CLIENT
client authentication list VPN_AUTHE
isakmp authorization list VPN_AUTHE
client configuration address initiate
client configuration address respond
keepalive 10 retry 5


##########################
##### 2a Fase IPSec ######
##########################

## Aplicamos la transformada

crypto ipsec transform-set TRANSFORMADA esp-aes esp-sha-hmac comp-lzs

## Forzamos que la fragmentación se haga antes de la encriptación

crypto ipsec df-bit set


## Crypto map dinamic

crypto dynamic-map DYNMAP 10
set transform-set TRANSFORMADA
set isakmp-profile CLIENT_PROFILE
reverse-route

crypto map CLIENT local-address FastEthernet0/0
crypto map CLIENT 20 ipsec-isakmp dynamic DYNMAP


## Aplicamos el crypto map en la interface de salida

interface FastEthernet0/0
 ip address 1.1.1.1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map CLIENT



Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)