ACTIVIDAD #6

Las redes privadas virtuales (VPN) Site-to-Site permiten interconectar dos redes geográficamente separadas a través de un medio no confiable como Internet, garantizando confidencialidad, integridad y autenticación mediante el uso del protocolo IPSec.

En esta práctica se configuró un túnel IPSec entre los routers R1 y R3, simulando un entorno empresarial donde dos sucursales requieren comunicación segura a través de infraestructura pública (ISP).

1. Configuración inicial

En esta etapa se estableció la conectividad básica antes de implementar el túnel VPN.

  • Configuración de hostname en R1, ISP y R3.
  • Asignación de direcciones IP en interfaces LAN y WAN.
  • Activación de interfaces con no shutdown.
  • Configuración de rutas estáticas por defecto hacia el ISP.
  • Verificación de conectividad entre interfaces WAN.

Arquitectura implementada:

  • Dispositivos: R1 – ISP – R3.
  • LAN 1: 192.168.1.0/24.
  • LAN 2: 192.168.3.0/24.
  • El ISP simula Internet.
							LAN 1 (192.168.1.0/24)
									|
								  [R1]
									|
								  (ISP)
									|
								  [R3]
									|
							LAN 2 (192.168.3.0/24)

Antes de configurar IPSec es indispensable validar conectividad entre las direcciones WAN.

2. Licencia de seguridad habilitada

Para habilitar funciones criptográficas en los routers Cisco, se activó el paquete securityk9 y posteriormente se reinició el equipo para aplicar los cambios.

  • Activación del paquete securityk9.
  • Habilitación de funciones criptográficas.
  • Reinicio del equipo.

Este paso es obligatorio en equipos que requieren licencia para habilitar cifrado y funciones avanzadas de seguridad.

3. Implementación de ACL (Tráfico interesante)

Se configuró una lista de acceso extendida para definir el tráfico que debe viajar cifrado por el túnel.

  • Red origen: 192.168.1.0/24.
  • Red destino: 192.168.3.0/24.

La ACL identifica el “tráfico interesante”, es decir, el tráfico que activará el túnel IPSec. Una configuración incorrecta en esta etapa puede impedir el establecimiento del túnel.

4. Fase 1: ISAKMP Policy

En esta fase se establece el canal seguro de negociación entre ambos routers.

  • Encriptación: AES 256.
  • Autenticación: Pre-Shared Key.
  • Grupo Diffie-Hellman: Grupo 5.
  • Configuración de clave compartida.

La Fase 1 permite negociar los parámetros de seguridad y crear el canal seguro para el intercambio de claves. Ambos extremos deben coincidir exactamente en la configuración.

5. Fase 2: IPsec Transform-Set

En la Fase 2 se define cómo se protegerán los datos que cruzan el túnel.

  • ESP con AES 256 (cifrado).
  • ESP con SHA-HMAC (integridad).

Mientras la Fase 1 protege la negociación, la Fase 2 protege el tráfico real de las LAN.

6. Crear mapa criptográfico

El crypto map integra todos los elementos previamente configurados:

  • Dirección IP del peer remoto.
  • Transform-set definido.
  • Perfect Forward Secrecy (PFS grupo 5).
  • Tiempo de vida de la asociación de seguridad.
  • Referencia a la ACL de tráfico interesante.

Este mapa funciona como la plantilla que indica cuándo y cómo se aplicará la protección IPSec.

7. Aplicar mapa criptográfico

Finalmente, el crypto map se aplicó a la interfaz WAN (g0/0) de cada router.

  • Aplicación del crypto map en la interfaz externa.
  • Generación de tráfico entre LANs para activar el túnel.
  • Verificación con comandos show crypto.
  • Confirmación del estado QM_IDLE.

Sin aplicar el crypto map en la interfaz WAN, el túnel no entra en operación aunque la configuración sea correcta.

Resultados obtenidos

  • Comunicación bidireccional establecida.
  • Tráfico cifrado correctamente.
  • Túnel IPSec activo y estable.
  • Sin pérdida de paquetes en pruebas realizadas.

Conclusión

La implementación del túnel VPN Site-to-Site permitió comprender de forma práctica el funcionamiento de IPSec, incluyendo la negociación ISAKMP (Fase 1) y la protección de datos en Fase 2.

Este tipo de configuración es ampliamente utilizada en entornos empresariales para conectar sucursales de manera segura sin depender de enlaces dedicados. Validar cada etapa y documentar correctamente la configuración es fundamental para evitar fallas o vulnerabilidades.

Referencias

  • Cómo configurar VPN IPsec Site-to-Site en Packet Tracer | Guía Paso a Paso: https://www.youtube.com/watch?v=RZ4RreDjhhk