VPN Acesso Remoto

Categoria: Segurança Publicado: Terça, 30 Junho 2015 Escrito por Celso Rabelo

Destinada a permitir que clientes acessem a rede corporativa através de túneis ipsec, garantindo a integridade e a confidenciabilidade dos dados. Diferentemente da VPN site to site, nesta o tráfego interessante é da máquina com o cliente vpn, para a rede remota.

No ambiente Cisco é necessária implementação de um sistema de autenticação, que pode ser via radius, ou autenticação local no roteador concentrador, é criado também um pool de endereços que serão fornecidos ao túnel VPN.

Exemplo:

Rede cliente:

192.168.0.0/24

 

Rede Empresa:

172.16.0.0/24

 

Roteador  empresa faz VPN

Configurações:

 

Roteador Cliente:

 

hostname cliente

interface FastEthernet0/0

ip address 192.168.0.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet0/1

ip address 10.0.0.1 255.255.255.252

duplex auto

speed auto

ip classless

ip route 10.0.0.4 255.255.255.252 10.0.0.2

line con 0

line aux 0

line vty 0 4

login

end

 

Roteador Inter-redes

 

hostname Internet

 

interface FastEthernet0/0

ip address 10.0.0.2 255.255.255.252

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.0.5 255.255.255.252

duplex auto

speed auto

!

ip classless

ip route 192.168.0.0 255.255.255.0 10.0.0.1

 

line con 0

line aux 0

line vty 0 4

login

end

 

Roteador VPN

 

hostname VPN

aaa new-model

aaa authentication login REMOTO local

aaa authorization network REMOTO local

!

username cisco password 0 cisco123

!

crypto isakmp policy 10

encr aes

hash md5

authentication pre-share

group 2

!

crypto isakmp client configuration group REMOTO

key 123

pool VPNPOOL

!

crypto ipsec transform-set myset esp-aes esp-md5-hmac

!

crypto dynamic-map DYNAMIC 10

set transform-set myset

reverse-route

!

crypto map CLIENTE_MAP client authentication list REMOTO

crypto map CLIENTE_MAP isakmp authorization list REMOTO

crypto map CLIENTE_MAP client configuration address respond

crypto map CLIENTE_MAP 10 ipsec-isakmp dynamic DYNAMIC

!

interface FastEthernet0/0

ip address 172.16.0.1 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.0.6 255.255.255.252

duplex auto

speed auto

crypto map CLIENTE_MAP

ip local pool VPNPOOL 172.16.0.20 172.16.0.30

ip classless

ip route 0.0.0.0 0.0.0.0 10.0.0.5

 

line con 0

line aux 0

line vty 0 4

end

 

 

Acessos: 20142