VPN IPsec - Split Tunneling

Josinfo How-to Series Guide

Objetivo: Compartilhar um pouco da experiência adquirida durante os estudos para certificação CCIE SP e R&S e alguns exemplos de soluções de rede.

Programação:
Mostrar o passo a passo de como estabelecer uma conexão VPN IPSec para rede LAN corporativa (Extranet). A partir dessa conexão será permitido um cliente VPN conectar dentro da LAN privada através da internet.

Através dessa conexão VPN IPsec é possivel utilizar a funcionalidade chamada Split-Tunnel onde podemos separar o de trafego de interesse que passara por dentro do túnel IPSEC, deixando os demais trafego aberto para internet.

Procurar se atentar em liberar acesso para os clientes VPN apenas a LAN corporativa.

Cenário
O ambiente de testes foi criado utilizando o Eve-NG e 1 host com Windows 7, no qual será utilizado como cliente VPN.

Figura 01 – Topologia VPN IPsec – Split Tunneling

01 PARTE: Criação ISAKMP.

> A conexão do tunnel IPSec ocorre separado em duas fases, IKE Fase 01 e IKE fase 02.

> IKE01 é responsável por fechar tunnel de Infraestrutura, para depois IKE02 estabelecer criptografia/IPSEC.

2 PARTE: Para que o cliente VPN possa estabelecer conexão com o central site, é preciso definir alguns critérios como Grupo VPN/PreShared Key.

> Criação do grupo ISAKMP onde será informado alguns atributos que será enviados ao cliente VPN, como DNS, preshared-key ACL e um pool de endereços IP;

> O cliente VPN deve combinar os valores do nome do grupo+ preshared key. A ACL 101 e o Pool vão compor para garantir o trafego de interesse;

> Configurar ACL no Central Site VPN que vai garantir o trafego de interesse para acesso a LAN, baseado na ACL 101, que deverá ser aplicado no IKE 01 group "vpnclient ";

> Criação do Pool de endereçamento que será atribuída ao cliente VPN e rota default para internet.

03 PARTE: Criando o IKE02 para encriptação IPSEC.

> Criação da dynamic map "dynmap " e amarrar com a transform (IKE02) "myset";

> Reverse-route: instala /32 do host que fecha a VPN para que o roteador possa devolver o trafego para o cliente;

04 PARTE: ACL 111 vai dizer qual rede poderá ser traduzida para Internet (Trafego com origem LAN com destino endereço do pool devera ser bloqueado), e deverá ser aplicada na interface outside.

> Ativar o AAA, para validar as credenciais do cliente VPN & amarrar a crypto map com o AAA criado inicialmente.

05 PARTE: Criação das politicas de AAA/NAT e demais atributos.

> Para fins de testes método de autenticação será local (ccie/ccie);

> A primeira regra de NAT é para evitar que os endereços da LAN não sejam traduzidos ao comunicar com a porção aplicada ao POOL "LAN2LAN";

> A segunda regra é destinada ao trafego de interesse passe pelo NAT com destino internet;

> Criar default route dos endereços da LAN, para que saiam para internet.

06 PARTE:Aplicar a crypto map na interface de outside e configurar as interfaces IN e OUT do nat.

Configuração Cliente VPN com cisco VPN 5.0.7

Baixar e instalar o cliente VPN cisco 5.0.7 ou equivalente.

Escolha o Iniciar > Programas > Cliente de VPN de Sistemas Cisco > cliente VPN.
Clique novo a fim lançar a janela de entrada nova da conexão de VPN da criação.

Validação do Cenário de testes

Materiais Utilizados para o LAB

=== Cliente VPN IPSEC ---

https://www.ibm.com/developerworks/community/files/app#/file/90b4f704-9b8b-4118-81e5-d4c4b949b3c3

=== Material referencia Cisco ===

https://bit.ly/2w8N0Pp

=== Maquinas Virtuais com VMWARE ===

Windows Seven / Simulador de rede EVE-NG

Espero que tenha ficado claro, para mais informações por favor mantenham contato!


Se gostou não esqueça de deixar o seu like e compartilhe por favor!

E-mail: josimaru@gmail.com

Abraços pessoal