Configuração de VPN Remote Access em roteadores Cisco

by André Ortega / terça-feira, 02 dezembro 2014 / Published in Cisco, Network, Security

Segue abaixo o script comentado de configuração para VPN Remote Access em roteadores Cisco.

Neste exemplo o usuário remoto deve usar o Client VPN Cisco, e a autenticação é feita localmente no roteador.

VPN Remote Access

!— Crie um pool de endereços que serão atribuídos aos clientes

ip local pool vpnpool 192.168.1.1 192.168.1.20

!— Crie uma ACL para especificar qual tráfego será traduzido

!— (caso o equipamento forneça acesso a internet para os usuários da rede interna)

!— Observe que da rede interna para o pool de vpn não haverá tradução (NAT)

ip access-list extended ACLNAT

deny ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 any

!— Habilite o NAT (do tipo PAT) para dar “match” na ACL criada e traduzir para o IP da interface conectada a Internet

ip nat inside source list 111 interface FastEthernet0/0 overload

!— Crie uma segunda ACL que vai definir qual tráfego será criptografado

ip access-list extended ACLVPN

permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255

!— Habilite a autenticação, autorização e contabilidade (AAA)

aaa new-model

!— Crie um grupo de autenticação/autorização local para VPN

aaa authentication login vpnauthen local

aaa authorization network vpnauthor local

!— Crie um usuário e senha que será utilizado para autenticação do usuário VPN

username user1 password cisco

!— Agora a criação da VPN propriamente

!— Defina uma politica ISAKMP para a fase 1

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!— Crie um grupo onde temos as definições de DNS/WINS , pre-shared key para autenticação

!— Aponte no grupo a ACL criada anteriormente

crypto isakmp client configuration group vpnclient

key cisco123

dns 8.8.8.8

domain seudominio.local

pool vpnpool

acl ACLVPN

!— Cria as politicas para a fase 2

crypto ipsec transform-set myset esp-3des esp-md5-hmac

!— Agora crie um dynamic map e aplique o transform set criado acima

crypto dynamic-map dynmap 10

set transform-set myset

reverse-route

!— Crie um crypto map e aplique o AAA definido anteriormente e o dynamic map

crypto map clientmap client authentication list vpnauthen

crypto map clientmap isakmp authorization list vpnauthor

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

! Associe o crypto map à interface conectada à Internet

interface FastEthernet0/0

ip nat outside

crypto map clientmap

! Habilite o NAT na interface conectada a rede interna

interface FastEthernet0/1

ip nat inside

!

Documento da Cisco, em inglês, neste link.

Até a próxima.

Relacionado

Tagged under: Cisco, Configuração, IPSec, Remote Access, Script, VPN

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.