VPN con Cisco 827
Hola.
Hace unos meses adquirí dos routers Cisco 827 para conectar dos sedes de mi empresa a internet a través de dos conexiones ADSL. Configurarlos para ello no me resultó demasiado difícil. Ahora estoy intentando comunicar las dos LAN de mis oficinas mediante estors routers creando una VPN. De momento he definido dos túneles GRE (generic routing encapsulation), pero no consigo que los equipos se vean.
¿Me puedes ayudar?
Hace unos meses adquirí dos routers Cisco 827 para conectar dos sedes de mi empresa a internet a través de dos conexiones ADSL. Configurarlos para ello no me resultó demasiado difícil. Ahora estoy intentando comunicar las dos LAN de mis oficinas mediante estors routers creando una VPN. De momento he definido dos túneles GRE (generic routing encapsulation), pero no consigo que los equipos se vean.
¿Me puedes ayudar?
5 Respuestas
Respuesta de sramz
1
Considero que los mejores para esto son los mismos de CISCO, asi que te envio una direccion para consultarlo
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_fix/827/827swcfg/routcfig.htm
Espero pronto resuelvas este detalle con CISCO
SALUDOS
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_fix/827/827swcfg/routcfig.htm
Espero pronto resuelvas este detalle con CISCO
SALUDOS
Respuesta de jrpalomino
1
Entiendo que has conseguido que ambos equipos tengan conectividad IP a través de la red IP (supongo que de telefónica). El primer paso está en que puedas hacer ping entre ellos, para ello supongo que tienes direcciones IP fijas y públicas. En caso contrario, el problema puede ser por el hecho de que tengas como origen y destino del túnel una dirección IP. Si este es el caso prueba a poner como origen del túnel el interfaz en vez de la dirección IP.
Te comento los comandos que deberías tener establecidos:
Interface tunnel 0
Tunnel source (dirección IP en caso de ser fija) o interface serial 0
Tunnel destination (dirección IP del router destino)
No ip address
Tunnel mode gre ip (esta linea no aparece en la configuración porque es implicita)
Prueba esto y ya me contarás
Te comento los comandos que deberías tener establecidos:
Interface tunnel 0
Tunnel source (dirección IP en caso de ser fija) o interface serial 0
Tunnel destination (dirección IP del router destino)
No ip address
Tunnel mode gre ip (esta linea no aparece en la configuración porque es implicita)
Prueba esto y ya me contarás
Gracias por tu respuesta.
Te cuento con más detalle mi situación:
Los dos routers están conectados a la red IP de telefónica y tienen una ip pública y fija.
Te envío la configuración de uno de ellos para que le eches un vistazo:
ip subnet-zero
no ip domain-lookup
!
!
!
!
interface Tunnel1
Ip address 10.0.1.1 255.255.255.0 (no se si debo asignarle una dirección IP al túnel o no)
no ip directed-broadcast
tunnel source 213.4.18.230
tunnel destination 213.97.199.154
!
interface Ethernet0
Ip address 10.0.0.14 255.255.255.0 (ip del mismo rango que mi LAN)
no ip directed-broadcast
Ip nat inside
!
interface ATM0
No ip address
no ip directed-broadcast
No atm ilmi-keepalive
bundle-enable
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 213.4.18.230 255.255.255.192
no ip directed-broadcast
ip nat outside
pvc 3/32
encapsulation aal5snap
!
!
ip nat inside source list 101 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 172.26.0.0 255.255.255.0 Tunnel1 (esta ip es la red de la oficina remota. ¿Deben tener las dos LAN el mismo rango de direcciones o eso es indiferente? ¿está bien definida la ruta?)
ip http server
!
access-list 2 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip any any
(¿Hay qué definir alguna otra access-list?)
Si necesitas algún otro dato, dímelo.
Te cuento con más detalle mi situación:
Los dos routers están conectados a la red IP de telefónica y tienen una ip pública y fija.
Te envío la configuración de uno de ellos para que le eches un vistazo:
ip subnet-zero
no ip domain-lookup
!
!
!
!
interface Tunnel1
Ip address 10.0.1.1 255.255.255.0 (no se si debo asignarle una dirección IP al túnel o no)
no ip directed-broadcast
tunnel source 213.4.18.230
tunnel destination 213.97.199.154
!
interface Ethernet0
Ip address 10.0.0.14 255.255.255.0 (ip del mismo rango que mi LAN)
no ip directed-broadcast
Ip nat inside
!
interface ATM0
No ip address
no ip directed-broadcast
No atm ilmi-keepalive
bundle-enable
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 213.4.18.230 255.255.255.192
no ip directed-broadcast
ip nat outside
pvc 3/32
encapsulation aal5snap
!
!
ip nat inside source list 101 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 172.26.0.0 255.255.255.0 Tunnel1 (esta ip es la red de la oficina remota. ¿Deben tener las dos LAN el mismo rango de direcciones o eso es indiferente? ¿está bien definida la ruta?)
ip http server
!
access-list 2 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip any any
(¿Hay qué definir alguna otra access-list?)
Si necesitas algún otro dato, dímelo.
A priori no veo nada anormal en la configuración.
Al túnel no es necesario ponerle dirección IP por lo que puedes ponerle no ip address como en el ejemplo que te di en mi primera contestación.
Las dos LAN deberían tener direcciones de red diferentes.
Prueba a quitarle la segunda ruta ya que la primera es una ruta por defecto que envía todo al único interface wan disponible.
Si sigue sin funcionar utiliza como origen del tinel el interface en lugar de la dirección IP.
Al túnel no es necesario ponerle dirección IP por lo que puedes ponerle no ip address como en el ejemplo que te di en mi primera contestación.
Las dos LAN deberían tener direcciones de red diferentes.
Prueba a quitarle la segunda ruta ya que la primera es una ruta por defecto que envía todo al único interface wan disponible.
Si sigue sin funcionar utiliza como origen del tinel el interface en lugar de la dirección IP.
Respuesta de dack
1
Cuando te refieres a que has creado dos túneles, como lo has colocado
ip origen, ip destino ..., ¿y en el otro viceversa?, ¿Puedes hacer un ping desde un router al otro?
ip origen, ip destino ..., ¿y en el otro viceversa?, ¿Puedes hacer un ping desde un router al otro?
Hola
Puedo hacer ping desde la ip wan de un router al otro ya que los dos están conectados a internet, lo que no puedo hacer es ver los equipos del la LAN que está detrás de los routers.
Te envío la configuración de uno de mis routers para que lo veas mejor:
!
ip subnet-zero
no ip domain-lookup
!
!
!
!
interface Tunnel1
Ip address 10.0.1.1 255.255.255.0 (no se si tengo que definir una ip para este túnel o no)
no ip directed-broadcast
tunnel source ATM0.1
tunnel destination 213.97.199.154 (ip wan de la oficina remota)
!
interface Ethernet0
Ip address 10.0.0.14 255.255.255.0
no ip directed-broadcast
Ip nat inside
!
interface ATM0
No ip address
no ip directed-broadcast
No atm ilmi-keepalive
bundle-enable
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 213.4.18.230 255.255.255.192 (ip wan de esta oficina)
no ip directed-broadcast
ip nat outside
pvc 3/32
encapsulation aal5snap
!
!
ip nat inside source list 101 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1 (ruta para salir a internet)
ip route 172.26.0.0 255.255.255.0 Tunnel1 (Ruta entre los dos túneles. No se si estará bien definida. 172.26.0.0 es el rango de direcciones de la LAN remota. No se si este rango tiene que ser el mismo en las dos redes)
ip http server
!
access-list 2 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip any any
(Imagino que las listas de acceso son correctas)
Gracias
Puedo hacer ping desde la ip wan de un router al otro ya que los dos están conectados a internet, lo que no puedo hacer es ver los equipos del la LAN que está detrás de los routers.
Te envío la configuración de uno de mis routers para que lo veas mejor:
!
ip subnet-zero
no ip domain-lookup
!
!
!
!
interface Tunnel1
Ip address 10.0.1.1 255.255.255.0 (no se si tengo que definir una ip para este túnel o no)
no ip directed-broadcast
tunnel source ATM0.1
tunnel destination 213.97.199.154 (ip wan de la oficina remota)
!
interface Ethernet0
Ip address 10.0.0.14 255.255.255.0
no ip directed-broadcast
Ip nat inside
!
interface ATM0
No ip address
no ip directed-broadcast
No atm ilmi-keepalive
bundle-enable
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 213.4.18.230 255.255.255.192 (ip wan de esta oficina)
no ip directed-broadcast
ip nat outside
pvc 3/32
encapsulation aal5snap
!
!
ip nat inside source list 101 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1 (ruta para salir a internet)
ip route 172.26.0.0 255.255.255.0 Tunnel1 (Ruta entre los dos túneles. No se si estará bien definida. 172.26.0.0 es el rango de direcciones de la LAN remota. No se si este rango tiene que ser el mismo en las dos redes)
ip http server
!
access-list 2 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip any any
(Imagino que las listas de acceso son correctas)
Gracias
Prueba con esto
Interface Tunnel1
Ip address 192.168.50.1 255.255.255.0 (esta dirección no debe de ser de ninguna de tus redes)
No ip directed-broadcast
Tunnel source 213.4.18.230
Tunnel destination 213.97.199.154
Tunnel mode ipip
Con la "ip address" lo que haremos sera que usara la ip de pasarela ya que las ip publicas son de rango diferentes, en el otro router ponemos otra ip de este rango ej 192.168.50.2 255.255.255.0 .
Tunnel mode ipip es para activar el protocolo ip
Con el "ip route (ip destino) 255.255.255.0 Tunnel1", ip destino es el rango de ip de la otra red LAN ej 192.168.10. 20, en otro router colocamos el rago de ip's de
Interface Tunnel1
Ip address 192.168.50.1 255.255.255.0 (esta dirección no debe de ser de ninguna de tus redes)
No ip directed-broadcast
Tunnel source 213.4.18.230
Tunnel destination 213.97.199.154
Tunnel mode ipip
Con la "ip address" lo que haremos sera que usara la ip de pasarela ya que las ip publicas son de rango diferentes, en el otro router ponemos otra ip de este rango ej 192.168.50.2 255.255.255.0 .
Tunnel mode ipip es para activar el protocolo ip
Con el "ip route (ip destino) 255.255.255.0 Tunnel1", ip destino es el rango de ip de la otra red LAN ej 192.168.10. 20, en otro router colocamos el rago de ip's de
Perfecto, ya puedo hacer ping a los equipos de las redes.
Muchas gracias por tu ayuda.
Otra pregunta: ¿Qué tengo que hacer para poder intercambiar datos entre los ordenadores de los dos redes?
Tal vez ya sea preguntar demasiado. Si puedes me lo aclaras.
Gracias.
Un saludo
Muchas gracias por tu ayuda.
Otra pregunta: ¿Qué tengo que hacer para poder intercambiar datos entre los ordenadores de los dos redes?
Tal vez ya sea preguntar demasiado. Si puedes me lo aclaras.
Gracias.
Un saludo
Tendras que enrutar bajo ms-dos o bien si no quieres molestarte colocar como puerta de enlace la direccion IP del router (no te lo aconsejo)
Para enrutar bajo ms-dos :
Route add "ip destino global" mask "mascara de red" "ip del router"
Con esto al reiniciar el eq. Se pierde existe una opción que no recuerdo ejecuta route /? para saberlo, sino te funciona dímelo que te lo miro
Para enrutar bajo ms-dos :
Route add "ip destino global" mask "mascara de red" "ip del router"
Con esto al reiniciar el eq. Se pierde existe una opción que no recuerdo ejecuta route /? para saberlo, sino te funciona dímelo que te lo miro
Respuesta de revoc
1
El problema de estos ROUTERS es que son de gama baja y no llevan el sistema IOS por lo que no los tocamos normalmente, ya que solo manejamos los 1,600 y los 2,500.
Lo siento.
Lo siento.
Respuesta de juanfran
1
Como veo que estas puesto en el tema, iré al grano. Yo diría que mejor que VPN, es utilizar un programa (gratuito) como el PGP, con el tienes que usar 2 claves, una publica y otra privada, y se puede proteger la red y la tarjeta al mismo tiempo.
Es más, actúa como una VPN pero encriptando todo el contenido entre los 2 equipos. Y aunque la función es parecida a una red virtual, puede proteger, firmar y encriptar contenidos de correo archivos etc...
Visita este site para informarte www.pgp.com allí hay información sobre el tema.
Como ya sabes, me das pocos datos sobre... sistema operativo que usas etc.
Así que no te puedo aconsejar en ese aspecto, pero en el caso de que sea windows 95/98/ME, lo tienes fácil, con PGP, lo instalas, seleccionas la tarjeta de red a proteger y el sólito crea la red. Luego buscas la dirección IP del otro equipo y te solicitara la clave del mismo.
Con eso creas una VPN de los 2 equipos.
Yo en casa lo tengo así y funciona bien.
Es más, actúa como una VPN pero encriptando todo el contenido entre los 2 equipos. Y aunque la función es parecida a una red virtual, puede proteger, firmar y encriptar contenidos de correo archivos etc...
Visita este site para informarte www.pgp.com allí hay información sobre el tema.
Como ya sabes, me das pocos datos sobre... sistema operativo que usas etc.
Así que no te puedo aconsejar en ese aspecto, pero en el caso de que sea windows 95/98/ME, lo tienes fácil, con PGP, lo instalas, seleccionas la tarjeta de red a proteger y el sólito crea la red. Luego buscas la dirección IP del otro equipo y te solicitara la clave del mismo.
Con eso creas una VPN de los 2 equipos.
Yo en casa lo tengo así y funciona bien.