VPN IPSec Site-to-Multisite

Documentos relacionados
BALANCEO DE CARGA. Alejandro Teixeira G. MikroTik Certified Trainer MikroTik Trainer ID #TR0163. Alejandro Teixeira

Balanceo de carga utilizando interfaces VRRP. Ing. Gustavo Angulo Venezuela-Colombia

MUM Paraguay 2017 Enrutamiento intervlan y VRF

LP-1521 Enrutador Banda Ancha Manual 123 Configuración de VPN entre 2 LP-1521 con IP Dinámica.

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Introducción a redes Ing. Aníbal Coto Cortés

MUM Argentina 2015 Buenos Aires. CAPsMAN para redes empresariales

Integración de Hotspot con UserManager

Estudio de caso. Redes WAN. Programa de las Academias de Networking de Cisco CCNA 4: Tecnologías WAN v3.1

Configuración de la red

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

Nota de aplicación Creando VPNs IPsec con un MRD-310

Tema: Configuración de túneles IPSec

Manual 123, LP-1521 Enrutador Banda Ancha. Configuración de VPN entre dos LP (Sólo aplica para configuraciones en modo WISP con IP fija)

Implantación de técnicas de acceso remoto. Seguridad perimetral

Windows Server Windows Server 2003

Pasos a seguir para programar el ONU modelo HGU HG326E

1. Dada la siguiente tabla, indique si los datos mostrados son correctos o no. Justifique. Dirección de red, Clase Mascara, Subred, Broadcast

Mikrotik User Meeting - Colombia LOGO

INSTITUTO TECNOLOGICO DE SALINA CRUZ REDES DE COMPUTADORAS REALIZADA POR: JIMENEZ GARCIA ANGEL DANIEL

COMUNICACIÓN Y REDES DE COMPUTADORES II. Clase 02. Aspetos basicos de Networking Parte 1 de 2

ESCUELA POLITECNICA NACIONAL

Fortigate - Conexión IPSEC entre dos Fortigate

Semana 10: Fir Fir w e a w lls

CONVERSIÓN DE UN NÚMERO EN BINARIO A DECIMAL Y VICEVERSA

access-list deny permit log

CONFIGURACION DEL SERVIDOR VIRTUAL EN EL ROUTER E968

Práctica de laboratorio 9.6.2: Práctica de laboratorio de reto de configuración de EIGRP

Qué significan las siglas VLSM Y CIDR?

GUÍA PARA LA CONFIGURACIÓN BÁSICA DEL ROUTER MONOPUERTO ADSL2+ OBSERVA TELECOM AR1061

Qué es el enrutamiento estático?

Práctica de laboratorio 1.3.2: Revisión de los conceptos de Exploration 1: Desafío

Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware

Configuración básica de VPN LAN-2-LAN con routers.

Aspectos Básicos de Networking

Guía de Inicio Rápido de NetGenie

Práctica. Los subestándares de Wi-Fi que actualmente más se están explotando en el ámbito comercial son:

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Diseño de redes VPN seguras bajo Windows server 2008

Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.

16/04/2010 SELVA. Redes Convergentes RUTEO REDUNDANTE

Guía Rápida de Instalación y configuración del AP 2400/2411

Sistemas Operativos. Sesión 7: VLSM y CIDR

Manual 123, LP-5420G Router. Cómo Configurar una VPN. Manual 123, LP-5420G Router. Cómo Configurar una VPN. Inalámbricos - Equipos

CAPITULO III PROPUESTA DE SOLUCION.

CURSOS DE CERTIFICACION OFICIALES

IEMS Instituto de Educación Media Superior IP Internet Protocol WAN Wide Access Network VLANS Virtual LANs... 12

Armando VPNs con FreeS/WAN

NOMBRE : CODIGO FECHA : Mayo 18 de EXAMEN FINAL LABORATORIO DE REDES I

Tecnologías LAN. Seguridad del dispositivo

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Conceptos básicos de redes TCP/IP

10.3.1: Actividad de desafío de integración de aptitudes del Packet Tracer. Diagrama de topología

66.69 Criptografía y Seguridad Informática FIREWALL

MikroTik Certified Network Associate

Plan de formación para obtener certificación de Administración de Infraestructuras de Red CISCO: Preparación de examen

CAPAS DEL MODELO OSI (dispositivos de interconexión)

ADMINISTRACIÓN DE INFRAESTRUCTURAS DE RED CISCO

CURSO DE PREPARACIÓN PARA LA CERTIFICACIÓN CCNP (Exámenes , y )

Instituto Tecnológico de Salina Cruz Fundamentos de Redes Semestre Enero Julio 2015 Reporte de Practica. Practica n 3 Unidad 2

Dirección General de Educación Superior Tecnológica INSTITUTO TECNOLÓGICO DE SALINA CRUZ

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Howto: Cómo configurar el mapeo estático de puertos en el router/firewall corporativo para las redes VPN de Panda GateDefender Integra

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD ADOLFO LÓPEZ MATEOS - ZACATENCO

PROGRAMA REDES E INTEGRACIÓN DE SISTEMAS

Luis Eduardo Peralta Molina Sistemas Operativos Instructor: José Doñe Como crear un Servidor DHCP en ClearOS

con servicio de telefonía IP Ing. Gustavo Angulo Venezuela

Balanceo de carga mediante PCC

MODELO: EVR-100 CONFIGURACIÓN DE TÚNELES VPN PUNTO A PUNTO SYSCOM, VANGUARDIA EN TECNOLOGÍA. EnGenius, Conectando al Mundo

Práctica de laboratorio 7.5.2: Reto de configuración de RIPv2

Como crear una red privada virtual (VPN) en Windows XP

Fortigate - VPN IPSEC

HOWTO: Cómo configurar el firewall para redes VPN

Laboratorio práctico 7.3.5: Prueba de una red prototipo

Necesidad de procesar y almacenar Información.

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

Curso Programa Cisco Networking Academy

REDES INFORMÁTICAS. Las redes se usan para: Compartir recursos. Compartir información. Compartir servicios. Ahorro económico. Gestión centralizada.

Instalación de OPENVPN en Debian

20687 Configuring Windows 8

White Paper. CISCO Introducción a las herramientas para recolección de datos

Seguridad Perimetral

Virtual Private Network (VPN) en una red local

Linksys (PAP2) Adaptador para Terminal Analógico $

Manual Rápido de Configuración MPLS y BGP de un Router Cisco 1. CONFIGURACIÓN DE UNA INTERFAZ LOOPBACK

Fundamentos de Redes Capítulo 2 Aspectos Básicos de Networking

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

TELECOMUNICACIONES Y REDES

Diseño de Redes LAN Introducción a Redes. Derman Zepeda Vega dzepeda@unan.edu.ni

Curso: Sistemas Operativos II Plataforma: Linux SAMBA

INSTALACIÓN DE MICROSOFT ISA SERVER 2006 Y CONFIGURACIÓN DE ACCESO VPN POR MEDIO DE POINT-TO-POINT TUNNELING PROTOCOL

Transcripción:

VPN IPSec Site-to-Multisite MUM ARGENTINA, NOVIEMBRE 2015 EMPRESA: WRITEL BOLIVIA SRL PAÍS: BOLIVIA EXPOSITOR: ING. JOSE MIGUEL CABRERA / INSTRUCTOR MIKROTIK #TR0337

Agenda La exposición dura en total 45 minutos incluyendo ronda de preguntas La exposición incluye: teoría, demostración y preguntas.

Acerca del Expositor Nombre: Jose Miguel Cabrera Dalence Profesión: Ing. en Redes y Telecomunicaciones (UTEPSA) PostGrado: Especialista en Educación Superior Tecnológica (UAGRM) Experiencia: Gerente de Proyectos en Writel Bolivia SRL (2015 a la fecha) Jefe Nacional de Telecomunicaciones en Banco Fassil (2010-2015) Docente Universitario en Utepsa y UAGRM (2011 a la fecha) Instructor Mikrotik #TR0337 Certificaciones Mikrotik (MTCNA/MTCWE/MTCRE/Instructor) Certificaciones Cisco (CCNP Security/CCNA Routing and Switching)

Acerca de Writel Bolivia SRL Writel Bolivia SRL es una empresa Boliviana ubicada en Santa Cruz de la Sierra, fue fundada en 2010. Los socios de Writel notan que existe un mercado desatendido en nuevas tecnologías digitales que otros países vecinos ya venían disfrutando, o que no encontraban lo que realmente buscaban dentro del mercado local. Unidades de negocios: Entrenamientos de Mikrotik Distribución de equipos Proyectos y consultorías

Algunos clientes de Writel Bolivia SRL

Alianzas estratégicas

Writel Bolivia SRL Representante legal / CEO : Ing. Jose Alfredo Garcia Davalos jagarcia@writelbolivia.com Telf. (+591 3)359 6671 (+591) 71092870 (+1) 305 810 8871 Oficina Central: Sucursal y Show Room: Importaciones: Av. Radial 17 ½ 6to anillo, Santa Cruz Bolivia Comercial Abilcar Oficina N# 1-4. Av. 3er anillo interno entre Radial 19 y Av. Roca y Coronado, Santa Cruz Bolivia 8333 NW 66 Street, Miami, FL 33166 - US Ing. Jose Miguel Cabrera (+591) 710 92871 jmcabrera@writelbolivia.com

Conocimientos Previos requeridos Para un buen entendimiento el publico deberá tener conceptos acerca de: Operación básica de RouterOS Ruteo Sumarizacion Subredes VPN

Qué es una VPN? Red Privada Virtual (VPN): Virtual: No existe físicamente. Se establece sobre una insfresturctura física publica(internet) o privada(puede ser wireless). Privada: La información se encripta, de manera que solo es visible por los participantes de la VPN. IPSec es un protocolo estandar para establecer VPN. Muchos fabricantes lo soportan. Es posible establecer IPSec entre marcas distintas siempre y cuando estén correctamente configurados.

Implementación Típica IPSec VPN

IPSec Framework Diffie-Hellman DH7

Confidentiality Least secure Most secure Key length: - 56-bits Key length: - 56-bits (3 times) Diffie-Hellman Key lengths: -128-bits -192 DH7 bits -256-bits Key length: - 160-bits

Integrity Least secure Most secure Key length: - 128-bits Diffie-Hellman Key length: - 160-bits) DH7

Authentication Diffie-Hellman DH7

Secure Key Exchange Diffie-Hellman DH7

VPN Sitio - Multisitio Normalmente estamos acostumbrados a trabajar IPSec como tuneles punto a punto ó sitio a sitio. Si queremos hacer un enlace entre una Oficina Central y 6 Sucursales, estableces 6 IPSec Policies. Pero esto solo te da comunicación entre la Oficina Central y la Sucursal. Entre las Sucursales no pueden comunicarse. Cómo lo solucionas? Creas IPSec Policies entre ellos. En 7 router suman 42 IPSec Policies a crearse. Te imaginas hacerlo con 380 sucursales? Son 144 400 IPSec Policies y ni hablar del mantenimiento

Caso de éxito Banco en Bolivia El escenario de implementación es el siguiente: Se necesita establecer un túnel que alcance multiples subredes. En distintos segmentos de red Se necesita comunicación entre sucursales para la Telefonia IP, Personal de soporte, Personal de vigilancia, etc. Cada sucursal tiene una red /24 que es subneteada para diferentes grupos de dispositivos: usuarios, cámaras de vigilancia, cajero automático (ATM) y telefonía IP. Failover, para utilizar un segundo enlace en caso que el principal falle.

Esquema de conexión IP Phone 172.23.12.0/27 IP Phone 172.23.13.0/27 User PC 172.23.12.128/25 IP Secury Camera 172.23.12.32/27 User PC 172.23.13.128/25 IP Secury Camera 172.23.13.32/27 Mikrotik Router CSR-125-24G ATM 172.23.12.64/28 Mikrotik Router CSR-125-24G ATM 172.23.13.64/28 ISP 1 Mb ISP 1 Mb INTERNET Agua Impuestos Electricidad 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Gas F.O 10.10.12.0/24 ISP 16 Mb Cobranzas Externas Router No Mikrotik F.O. 10.10.13.0/24 Swich Oficina Central Servidor 1 Servidor 2 TVCable Servidor 3

Configurar IPSec VPN Tareas para configurar IPsec: Tarea 1: Crear Ipsec Policies. Tarea 2: Crear Ipsec Peer. Tarea 3: Verificar No NAT entre Subredes Tarea 4: Si lo necesitas, personalizar Ipsec Proposals

Ejemplo Sencillo Fibra Optica ó Wireles Ptp / Bridge VPN CENTRAL WAN: 10.10.12.1/24 LAN: 172.23.0.0/24 Sucursal A WAN: 10.10.12.12/24 LAN: 172.23.12.0/24

Creando IPSec Policie Router Central /ip ipsec policy set 0 disabled=yes add src-address=172.23.0.0/24 dst-address=172.23.12.0/24 \ sa-src-address=10.10.12.1 sa-dst-address=10.10.12.12 \ tunnel=yes Router Sucursal A /ip ipsec policy set 0 disabled=yes add src-address=172.23.12.0/24 dst-address=172.23.0.0/24 \ sa-src-address=10.10.12.12 sa-dst-address=10.10.12.1 \ tunnel=yes

Creando IPSec Peer Router Central /ip ipsec peer add address=10.10.12.12/32 nat-traversal=no secret=pass123** Router Sucursal A /ip ipsec peer add address=10.10.12.1/32 nat-traversal=no secret=pass123**

Creando una regla de NO NAT Router Central /ip firewall nat add action=accept chain=srcnat \ src-address=172.23.0.0/24 dst-address=172.23.12.0/24 Router Sucursal /ip firewall nat add action=accept chain=srcnat \ src-address=172.23.12.0/24 dst-address=172.23.0.0/24

Repaso Tareas para configurar IPsec: Tarea 1: Crear Ipsec Policies. Tarea 2: Crear Ipsec Peer. Tarea 3: Verificar No NAT entre Subredes Tarea 4: Si lo necesitas, personalizar Ipsec Proposals

Failover IPSec Utilizando /tool netwatch Podemos hacer que ciertos policies del IPSec se habiliten o deshabiliten, además de habilitar y deshabilitar Ipsec Peer. Un ejemplo es el siguiente: /tool netwatch add host=10.10.12.1 interval=20s \ down-script="ip ipsec policy disable numbers=1\r\ \nip ipsec policy disable numbers=2\r\ \nip ipsec policy disable numbers=3\r\ \nip ipsec peer disable numbers=0\r\ \n:delay 3\r\ \nip ipsec policy enable numbers=4\r\ \nip ipsec policy enable numbers=5\r\ \nip ipsec policy enable numbers=6\r\ \nip ipsec peer enable numbers=1" \ up-script="ip ipsec policy disable numbers=4\r\ \nip ipsec policy disable numbers=5\r\ \nip ipsec policy disable numbers=6\r\ \nip ipsec peer disable numbers=1\r\ \n:delay 3\r\ \nip ipsec policy enable numbers=1\r\ \nip ipsec policy enable numbers=2\r\ \nip ipsec policy enable numbers=3\r\ \nip ipsec peer enable numbers=0"

Sucursal A Sucursal B 200.58.12.2/30 190.186.13.2/30 VLAN 22 10.10.12.12/24 VLAN 23 10.10.13.13/24 INTERNET VLAN 13 VLAN 12 VLAN 21 200.87.100.2/30 10.10.12.1/24 10.10.13.1/24 10.0.0.1/24 172.16.0.1/24 192.168.21.1/24 Oficina Central Esquema de conexión - Demostración

Tareas para Multisite Tareas para Multisite: Tarea 1: En todos los Routers editar el Ipsec Policies, sumarizando las redes Tarea 2: En todos los Routers editar el Ipsec Policies para soportar multiples subredes (level: unique) Tarea 3: Añadir n sitios remotos

Demostración

Preguntas?

GRACIAS POR SU ATENCION Writel Bolivia SRL Representante legal / CEO : Ing. Jose Alfredo Garcia Davalos jagarcia@writelbolivia.com Oficina Central: Sucursal y Show Room: Importaciones: Telf. (+591 3)359 6671 (+591) 71092870 (+1) 305 810 8871 Av. Radial 17 ½ 6to anillo, Santa Cruz Bolivia Comercial Abilcar Oficina N# 1-4. Av. 3er anillo interno entre Radial 19 y Av. Roca y Coronado, Santa Cruz Bolivia 8333 NW 66 Street, Miami, FL 33166 - US Ing. Jose Miguel Cabrera / Instructor Mikrotik #TR0337 (+591) 710 92871 jmcabrera@writelbolivia.com

ANEXOS EXPORT DE DEMOSTRACION Si quieres ver el archivo export de los routers de la demostración http://notepad.cc/share/jda0evtava

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback