Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 121 vistas

    Configuración de Mikrotik Tuneles GRI y Routers Cisco

    Cargado por

    Jose Luis Rodriguez
    Ejemplo de configuración para conectar un Routers CISCO con unRouters Mikrotik a través de un túnel GRE con cifrado IPSec en modo de transporte.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Configuración de Mikrotik Tuneles GRI y Routers Cisco

    Cargado por

    Jose Luis Rodriguez
    121 vistas10 páginas
    Ejemplo de configuración para conectar un Routers CISCO con unRouters Mikrotik a través de un túnel GRE con cifrado IPSec en modo de transporte.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Ejemplo de configuración para conectar un Routers CISCO con unRouters Mikrotik a través de un túnel GRE con cifrado IPSec en modo de transporte.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    121 vistas10 páginas

    Configuración de Mikrotik Tuneles GRI y Routers Cisco

    Cargado por

    Jose Luis Rodriguez
    Ejemplo de configuración para conectar un Routers CISCO con unRouters Mikrotik a través de un túnel GRE con cifrado IPSec en modo de transporte.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 10

    CISCO - GRE + IPSec – Microtik

    Ing José Luis Rodríguez


    Especialista en Redes
    Caracas-Venezuela
    Jluis6211@hotmail.com

    Ejemplo de configuración para conectar un enrutador CISCO con un enrutador


    Mikrotik a través de un túnel GRE con cifrado IPSec en modo de transporte.

    En general, el diagrama de conexión será el siguiente:

    Datos iniciales:
    Router 1: cisco 2821
    Router 2: mikrotik 1100X2H ver

    Suponemos que Internet en los enrutadores ya está allí y está configurado.

    Entonces, antes que nada, levantamos el túnel GRE entre enrutadores

    cisco

    Creamos la interfaz y colgamos en ella la dirección IP para la conexión PtP.

    c2821 (config) #int tun 20


    c2821 (config-if) #description name
    c2821 (config-if) #tunnel sour 194.190.XXX.XXX
    c2821 (config-if) #tunnel dest 158.58.XXX.XXX
    c2821 (config-if) #keepalive 10 3
    c2821 (config-if) #ip add 172.16.200.5 255.255.255.252
    c2821 (config-if) #
    Donde
    194.190.XXX.XXX es la dirección de origen, la dirección IP de la interfaz externa en
    Cisco a través de la cual se elevará el túnel
    158.58.XXX.XXX es la dirección de destino (dirección IP externa en mikrotik)

    mikrotik

    Configuración en el lado de mikrotik. A pesar de que mikrotik tiene su propia CLI,


    configuraremos a través de la GUI usando winbox.

    interfaz -> túnel GRE -> nuevo

    donde indicamos parámetros similares: la fuente del túnel y el destino.

    Y también asigne la dirección IP PtP

    IP -> Dirección -> nuevo
    Después de eso, puede verificar el estado GRE en cisco

    c2821 # sh int tun 20


    Tunnel20 está arriba, líneael protocolo está activo
    El hardware es el túnel
    Descripción: el nombre
    La dirección de Internet es 172.16.200.5/30
    MTU 17916 bytes, BW 100 Kbit / seg, DLY 50000 usec,
    confiabilidad 255/255, txload 1/255, rxload 1/255
    TÚNEL de encapsulación, loopback no
    establecido. (10 segundos),
    vuelve a intentar 3 Fuente del túnel 194.190.XXX.XXX, destino 158.58.XXX.XXX
    Protocolo de túnel / transporte GRE / IP
    Clave deshabilitada, secuencia deshabilitada
    Suma de comprobación de paquetes deshabilitada
    Túnel TTL 255,
    Túnel rápido habilitado Transporte de túnel MTU 1476 bytes
    Túnel transmitir ancho de banda 8000 (kbps)
    Túnel recibir ancho de banda 8000 (kbps)
    Última entrada 00:00:07, salida 00:00:03, la salida se bloquea nunca
    Última eliminación de los contadores de "show interface" nunca
    Cola de entrada: 0/75/0/0 (tamaño / máx / gotas / descargas); Caídas de salida
    total: 4
    Estrategia de cola: quince
    Cola de salida: 0/0 (tamaño / máximo)
    Velocidad de entrada de 5 minutos 0 bits / seg, 0 paquetes / seg
    Velocidad de salida de 5 minutos 0 bits / seg, 0 paquetes / seg
    2275551 entrada de paquetes, 2859175195 bytes, 0 sin búfer
    Recibió 0 transmisiones (0 multidifusiones IP)
    0 runas, 0 gigantes, 0 aceleradores
    0 errores de entrada, 0 CRC, 0 trama, 0 desbordamiento, 0 ignorado, 0
    anulación 1610862 salida de paquetes, 134864699 bytes, 0 falta de ejecución
    0 errores de salida, 0 colisiones, 0 restablecimientos de interfaz
    0 caídas de protocolos desconocidos
    0 fallas del búfer de salida, 0 búferes de salida intercambiados
    y en mikrotik

    Comprobando la disponibilidad del túnel

    c2821 # ping 172.16.200.6


    Escriba secuencia de escape para abortar.
    Enviando 5, Ecos ICMP de 100 bytes a 172.16.200.6, el tiempo de espera es de 2
    segundos:
    !!!!!
    La tasa de éxito es del 100 por ciento (5/5), ida y vuelta min / avg / max =
    24/25/28 ms
    c2821 #

    Ahora colgamos el cifrado en el canal creado

    IPSec puede funcionar en 2 modos:


    -transport
    -channel

    Utilizaremos el transporte, es decir solo los datos están encriptados, no todo el


    paquete.

    Cifrado - AES256
    hash - SHA1

    cisco

    Crea una política

    c2821 (config) #crypto isakmp policy 20


    c2821 (config-isakmp) # encr aes 256
    c2821 (config-isakmp) # compartir previamente la autenticación
    c2821 (config-isakmp) # grupo 2
    c2821 (config-isakmp) #crypto isakmp key Dirección StrongPasswords
    158.58.XXX.XXX

    Utilizamos el modo de transporte IPSec

    crypto ipsec transform-set transform-2 esp-aes 256 esp-sha-hmac


    modo de transporte

    crear un perfil de cifrado

    Perfil crypto ipsec transform-2-prof


    establecer transformación-configurar transformación-2
    establecer pfs group2

    y aplicar cifrado al túnel


    perfil de protección de túnel ipsec transform-2-prof

    Configuración final

    Política de crypto isakmp 20


    encr aes 256
    pre-compartir autenticación
    Grupo 2
    Clave crypto isakmp Dirección StrongPassword 158.58.XXX.XXX
    !
    !
    crypto ipsec transform-set transform-2 esp-aes 256 esp-sha-hmac
    modo de transporte
    !
    Perfil crypto ipsec transform-2-prof
    establecer transformación-configurar transformación-2
    establecer pfs group2
    !
    !
    !
    !
    !
    !
    interfaz Tunnel20
    descripción Nombre
    dirección IP 172.16.200.5 255.255.255.252
    keepalive 10 3
    fuente del túnel 194.190.XXX.XXX
    destino del túnel 158.58.XXX.XXX
    perfil de protección de túnel ipsec transform-2-prof

    Mikrotik

    Creamos una fiesta, indicando su dirección IP, método de autenticación, algoritmo


    hash, etc.

    IP -> IPSec -> Pares -> nuevo
    Usaremos AES256 y SHA1

    Crear una política de encriptación

    IP -> IPSec -> Políticas -> nuevo

    encriptar GRE entre 2 nodos


    En Propuesta, especifique los parámetros que se utilizarán al conectar SA

    Después de eso, queda por configurar el enrutamiento (OSPF, estático, etc.) y


    aplicar acl.

    Verifique el estado del túnel

    c2821 # sh int tun 20


    Tunnel20 está activo, el protocolo de línea está activo
    Hardware es Túnel
    Descripción: nombre
    La dirección de Internet es 172.16.200.5/30
    MTU 17874 bytes, BW 100 Kbit / seg, DLY 50000 usec,
    confiabilidad 255/255, txload 1 / 255, rxload TÚNEL de
    encapsulación 1/255 , bucle invertido no establecido
    Keepalive set (10 sec), reintentos 3
    Fuente de túnel 194.190.XXX.XXX, destino 158.58.XXX.XXX
    Protocolo de túnel / transporte GRE / IP
    Key deshabilitado, secuencia deshabilitada
    Checksumming de paquetes deshabilitado
    Túnel TTL 255, Túnel rápido habilitado
    Transporte de túnel MTU 1434 bytes
    Ancho de banda de transmisión del túnel 8000 (kbps)
    Ancho de banda de recepción del túnel 8000 (kbps)
    Protección del túnel a través de IPSec (perfil "transform-2-prof")
    Última entrada 00:00:42, salida 21:22:37, salida bloqueada nunca
    Última eliminación de contadores "show interface" nunca
    Cola de entrada : 0/75/0/0 (tamaño / máximo / gotas / rubores); Caídas de salida
    totales: 6529
    Estrategia de cola: quince
    Cola de salida: 0/0 (tamaño / máximo)
    Velocidad de entrada de 5 minutos 0 bits / seg, 0 paquetes / seg
    Velocidad de salida de 5 minutos 0 bits / seg, 0 paquetes / seg
    2320461 entrada de paquetes, 2865519526 bytes, 0 sin búfer
    Recibido 0 transmisiones (0 multidifusiones IP)
    0 runas, 0 gigantes, 0 aceleradores
    0 errores de entrada, 0 CRC, 0 trama, 0 desbordamiento, 0 ignorado, 0 aborto
    1645830 salida de paquetes, 138277428 bytes, 0
    errores de salida 0 errores de salida, 0 colisiones, 0 restablecimientos de interfaz
    0 caídas de protocolo desconocidas
    0 fallas de búfer de salida, 0 búferes de salida intercambiados

    asociaciones de seguridad (SA) entre 2 fiestas

    c2821 # show crypto isakmp sa


    IPv4 Crypto ISAKMP SA
    dst src state conn-id status
    194.190.XXX.XXX 158.58.XXX.XXX QM_IDLE 1054 ACTIVE

    IPv6 Crypto INSERT IN

    c2821 # show crypto ipsec sa

    interfaz: Etiqueta de
    mapa criptográfico Tunnel20: Tunnel20-head-0, local addr 194.190.XXX.XXX

    VRF protegida: (ninguno)


    ident local (addr / máscara / prot / puerto):
    (194.190.XXX.XXX/255.255.255.255/ 47 /0)
    ident remoto (addr / enmascarar / prot / puerto): (158.58.XXX. 10 /
    255.255.255.255 / 47 /0)
    current_peer 158.58.XXX.XXX puerto 500
    de permisos, banderas = {origin_is_acl,}
    #pkts encaps: 28483, #pkts encriptan: 28483, #pkts digerir: 28483
    #pkts decaps: 49421, # descifrado de pkts: 49421, verificación de #pkts:
    49421
    #pkts comprimido: 0, #pkts descomprimido: 0
    #pkts no comprimido: 0, #pkts compr. falló: 0
    #pkts no descomprimido: 0, #pkts descomprimió falló: 0
    #enviar errores 3, #recv errores 0
    cripto endpt local .: 194.190.XXX.XXX, cripto endpt remoto: 158.58.XXX.XXX
    ruta mtu 1500, ip mtu 1500, ip mtu idb Vlan2
    actual spi saliente: 0xA60FAE6 (174127846)
    PFS (S / N): S, Grupo DH: grupo2

    entrante esp sas:


    spi: 0x2E23C83B (774096955)
    transform: esp-256-aes esp-sha-hmac,
    en uso settings = {Transport,}
    conn id: 2053, flow_id: NETGX: 53, sibling_flags 80000006, crypto map: Tunnel20-
    head-0
    sa temporización: vida útil de la clave restante (k / seg): (4412341/321)
    Tamaño IV: 16 bytes
    soporte de detección de reproducción: Y
    Estado: ACTIVO

    Ah entrante sas:

    entrante pcp sas:

    saliente esp sas:


    spi: 0xA60FAE6 (174127846)
    transform: esp-256-aes esp-sha-hmac,
    en uso settings = {Transport,}
    conn id: 2054, flow_id: NETGX: 54, sibling_flags 80000006, crypto map: Tunnel20-
    head-0
    sa temporización: vida útil restante de la clave (k / seg): (4413935/321)
    Tamaño IV: 16 bytes
    soporte de detección de reproducción: Y
    Estado: ACTIVO

    saliente ah sas:

    saliente pcp sas:

    Desde el lado de Mikrotik, el túnel se ve así


    ‹_Mikrotik_ВверхMikrotik + Cisco + IPIP Tunnel + IPSec + OSPF›
     Blog de Akrasnojen
     
     Agrega un comentario
    Comentarios
    Mié, 02/12/2015 - 21:13 - aneye (no verificado)
    ¡La configuración es correcta! Pero
    ¡La configuración es correcta! Pero tenga en cuenta este punto: ¡la configuración
    MIKrotik IDENTICAL realizada a partir de la CLI puede no funcionar sin dar
    razones! Entonces, sepa que Mikrotam todavía está muy lejos de Tsisk, e incluso el
    método de configuración: la CLI o la GUI es importante aquí.

    También podría gustarte