[opensuse-es] VPN entre un CISCO y suse 10.1
Pues eso tengo que conectar una VPN de un cliente con nosotros, ellos tienen un ADSL+Firewall cisco con los siguientes datos (las x es que son privados jejj) Peer IP : xxx.xxx.xxx.xxx Preshared key : la-una Ike policy : Encription : 3DES Authoritation : MD5 DHgroup : elquesea (1024bits) Transform Set : Encription: 3Des Authoritation: MD5 IPsec traffic Selector IP inside: ip/24 ip outside: ip2/24 Por mi parte habiamos pensado contratar un Hdsl de 2Mb con dos ip fijas el cual me han dicho es un cisco con un unica salida la cual ira al suse 10.1 a partir del cual tengo que separar una ip para la empresa (esto es otra guerra) y la otra para conectar con el cliente creando la VPN con los datos puestos arriba. Alguna sugerencia, ¿se puede hacer? saludos (y me voy a casa pasar algo la gripe) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
francisco F. escribió:
Pues eso tengo que conectar una VPN de un cliente con nosotros, ellos tienen un ADSL+Firewall cisco con los siguientes datos (las x es que son privados jejj)
Peer IP : xxx.xxx.xxx.xxx Preshared key : la-una
Ike policy : Encription : 3DES Authoritation : MD5 DHgroup : elquesea (1024bits)
Transform Set : Encription: 3Des Authoritation: MD5
IPsec traffic Selector
IP inside: ip/24 ip outside: ip2/24
Por mi parte habiamos pensado contratar un Hdsl de 2Mb con dos ip fijas el cual me han dicho es un cisco con un unica salida la cual ira al suse 10.1 a partir del cual tengo que separar una ip para la empresa (esto es otra guerra) y la otra para conectar con el cliente creando la VPN con los datos puestos arriba.
Alguna sugerencia, ¿se puede hacer?
saludos (y me voy a casa pasar algo la gripe) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Lo más fácil, ya que en ambos extremos tienes dos routers de Cisco, es que hagas la vpn entre ellos. Así, para tu suse, eso será trasparente. En la web de cisco tienes muchos ejemplos. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Miércoles, 14 de Febrero de 2007 11:45, Luis O. escribió:
francisco F. escribió:
Pues eso tengo que conectar una VPN de un cliente con nosotros, ellos tienen un ADSL+Firewall cisco con los siguientes datos (las x es que son privados jejj)
Peer IP : xxx.xxx.xxx.xxx Preshared key : la-una
Ike policy : Encription : 3DES Authoritation : MD5 DHgroup : elquesea (1024bits)
Transform Set : Encription: 3Des Authoritation: MD5
IPsec traffic Selector
IP inside: ip/24 ip outside: ip2/24
Por mi parte habiamos pensado contratar un Hdsl de 2Mb con dos ip fijas el cual me han dicho es un cisco con un unica salida la cual ira al suse 10.1 a partir del cual tengo que separar una ip para la empresa (esto es otra guerra) y la otra para conectar con el cliente creando la VPN con los datos puestos arriba.
Alguna sugerencia, ¿se puede hacer?
saludos (y me voy a casa pasar algo la gripe)
Lo más fácil, ya que en ambos extremos tienes dos routers de Cisco, es que hagas la vpn entre ellos. Así, para tu suse, eso será trasparente. En la web de cisco tienes muchos ejemplos.
Ese router cisco en mi parte no tiene vpn, solo tiene una salida ethernet que debo mandar al firewall y ahi configurar las dos ip fijas y dividir el trafico, a parte de hacer la vpn. saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Martes, 13 de Febrero de 2007 18:41, francisco F. escribió:
Por mi parte habiamos pensado contratar un Hdsl de 2Mb con dos ip fijas el cual me han dicho es un cisco con un unica salida la cual ira al suse 10.1 a partir del cual tengo que separar una ip para la empresa (esto es otra guerra) y la otra para conectar con el cliente creando la VPN con los datos puestos arriba.
Alguna sugerencia, ¿se puede hacer?
* Obviamente si se puede hacer, pero al contratar ten en cuenta un par de cosas, las operadoras para lineas simetricas cuando el hierro es Cisco, si es otro tambien pero se resuelve facilmente, en Cisco si no eres distribuidor no puedes acceder a las actualizaciones, asegurate de los siguiente como cuestiones mas importantes. 1º.- Suelen instalar los 1721 o 18xx, y suelen venir con un IOS bastante desactualizado y sin multiples acciones, o no soportadas por el IOS o no instaladas, ejemplo el SDM, firewall, mapeo a aplicaciones, bridge. 2º.- Cuando vengan a instalarlo, pillales el Cd del SDM, que lo cargen en el router, que lo activen, que activen el cifrado de contraseñas para la gestion, que desctiven http y activen https, que desactiven telnet y activen ssh, usuario y password del modo privilegiado esto te servira para telnet, ssh, minicom, usuario y password de SDM te servira para https. 3º.- Si quieres hacer una vpn que el instalador lo haga con el SDM instalado y que el IOS tenga activado el Firewall y el IOS lo soporte. 4º.- Mi consejo es que si el tipo de conexion lo soporta (es menos habitual de lo que pueda parecer) lo emboques a un linux y reenvies todo el trafico a el y en el lo gestiones, tipo bridge en el router), pero si aun no has contratado y eres el responsable de hacerlo, para atencion el lo siguiente y disculpa el rollo pero te voy a evitar muchos quebraderos de cabeza, lo mas importante es la contratacion en si misma, localiza como puedas (hasta que no tengas claro este punto NO contrates), a alguien del proveedor que sepa que se trae entre manos, es decir que sepa las caracteristicas de la linea ofertada en sus aspectos tecnicos, encapsulacion, frecuencia de reloj, etc, etc. y te las de, cuando las tengas busca una tarjeta T1 o la que necesites segun las caracteristicas que te den compatible con linux y seras feliz, utiliza el cisco para enlaces internos. 5º.- En cuanto le metas mano haz una copia del IOS a un servidor tftp de tu red y tambien de la configuracion, conecta por minicom, telnet o ssh segun lo que te convenga o tengas activado, en el ejemplo minicom. --- /etc/minicom.dfl --------- pr port /dev/ttyS0 pu baudrate 9600 pu bits 8 pu parity N pu stopbits 1 ----------fin ------------- • Velocidad 9600 bits/s • 8 bits de datos • Un bit de parada (8N1) • Sin paridad • Control de flujo: ninguno • Dispositivo de entrada: /dev/ttyS0 * ejecuta minicom * en el router ejecuta la orden enable , esto te pasara al modo privilegiado, inserta el password. ejecuta show flash esto te dara la version del IOS copiala al servidor tftp copy c1700-bla-bla1c.bin tftp://direccion_del_tftp * Si quieres ver la configuracion que se esta ejecutando show config (configuracion en ejecucion) ojo que puede no ser la misma que la configuracion del arranque, show startup-config para verla, si no la has cargado con, copy running-config startup-config , el comando wr tambien escribe en la memoria nvram. * Si es lo correcto copiala al tftp copy startup-config tftp * A partir de aqui ya puedes trastear a tu gusto que siempre podras volver al origen. show ? , te dara la ayuda de los comandos show comando ? , pues la ayuda del comando s in, o show interfaces , te sacara el listado de interfaces conf t , o configure terminal entraras en la configuracion del router para darle nombre u otra caracteristica, activar protocolos, dns, etc, por ejemplo. conf t hostname rshdl2 -> le das el nombre rshdl2 no ip domain-loockup ----> evita que intente resolver los comandos a traves del dns durante la configuracion. para configurar una interfaz del listado que podras ver con show interfaces, en este caso una SHDL, la externa. conf t no ip domain-lookup interface serial 0 no shutdown ------> la levanta description Conexion de Ofi1 <----- una descripcion de la conexion ip address ip_publica mascara CTRL Z ---> salir show config --------> ver si ok pin a_donde_quieras ------> ver si conecta si ok , wr , Asignarle una segunda ip por ejemplo a la interfaz interna conf t interface fastethernet 0 ip address 10.0.2.3 255.255.255.0 Secondary control z show ip route --------> listara las rutas configurar rutas estaticas (redes no Malladas) conf t ip ro 0.0.0.0 0.0.0.0 w.x.y.z -----> red, mascara, gateway control z * Para una vpn no te puedo poner una configuracion puesto que cambia segun ciertos parametros, tipo de conexion, pais, cifrado hard o soft, enrutado, interfaces, metodo de conexion, autentificacion, etc, con el SDM instalado (forma grafica) y el backup hecho, no deberias tener demasiados problemas.
El Miércoles, 14 de Febrero de 2007 13:55, jose maria escribió: Pues muchas gracias por esa cantidad de informacion. Pero el router cisco que se pone es de ONO y en teoria tiene que hacer de briget a lo que le ponga yo detras y no se si podre meterle mano. (no hay posibilidad de mirar todo lo que dices, o lo contratas o lo contras y si no te gusta te quedas sin nada) Mi idea es meterle un suse de firewall y router a la salida del cisco, configurar las dos ip fijas y una para una red y la otra para otra red, poniendo una tercera tarjeta de red Hasta aqui creo que sin muchos problemas, la gaita viene cuando haya que configurar la VPN, que si se podra hacer entre el cisco que esta en el cliente (sin posibilidad de mirar nada) y el suse, vamos que si se puede hacer una VPN site-to-site entre cisco-suse o por el contrario no hay nada hecho y tengo que morir a poner otro trasto cisco (si sirve el fresswan o algun otro) Por lo del ios del cisco que me propusieron viene muy justito, si quieres ampliar empieza a pagar Lo del punto 4 es casi imposible (me saldria una ulcera) En fin liarme un poco con tal de no poner mas cacharros. saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Miércoles, 14 de Febrero de 2007 14:30, francisco F. escribió:
Pues muchas gracias por esa cantidad de informacion.
Pero el router cisco que se pone es de ONO y en teoria tiene que hacer de briget a lo que le ponga yo detras y no se si podre meterle mano. (no hay posibilidad de mirar todo lo que dices, o lo contratas o lo contras y si no te gusta te quedas sin nada)
* Pues como no controles el asunto desde el principio ONO te dara guerra, generalmente te ponen el 1721 para 2Mb con IOS 12.4, sin firewall, sdm, ssh, con telnet activado, con contraseñas sin cifrar del tipo atdt <-- pruebala que casi seguro que vale, etc, etc, no obstante la veras via minicom por que no suele estar cifrada, asi que aplicate con todo lo dicho, no dejes escapar al individuo que vaya a montarlo y que haga los reenvios y configuraciones que le mandes, por que me juego lo que quieras a que te deja nat activado para la red interna y a correr y despues pasaras un calvario, aquello que necesites y no este soportado que lo solucione (que seran varias cosas), procura que te instalen un 18xx seguramente venga con un IOS mas actual. * Si es SHDL no soporta bridge o reenvio de todo el trafico a una maquina (me temo), mapeo de puertos y vpn, vamos que se creen que contratas una linea simetrica para "navegar por internet a velocidad sostenida", cita textual del ingeniero ONO, en cuanto a las dos ip's fijas que comentas que yo sepa minimo 4, por lo menos para las lineas que tengo de ellos.
Saludos, amigos de la lista. He estado instalando todas las versiones de Suse a medida que van saliendo. En esta ocasión, instalé el Suse 10.2, pero no detecta las unidades de CD-DVD. Tengo una quemadora de DVD doble capa y un lector de CD. bajé el ISO-dvd del 10.2 y lo coloco en la quemadora de DVD. arranco el sistema y se inicia la instalación, pero el yast me informa que no existe medio de instalación. Copié los instaladores en un servidor y le indico al inicio de la instalación que se hará por via NFS. Se instala el sistema completo de esta manera, pero no logro visualizar por ningun medio las unidades de DVD y de CDs. Con el 10.0 y 10.1 si la detecta bien. Me voy a la sección del yast-hardware-controlador de disco, luego cambio el modulo actual por uno "generico" pero no sucede nada..... Gracias por cualquier ayuda.. Julio Añez...... --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
francisco F.
-
jose maria
-
Julio Añez
-
Luis O.