ACLs Inbound Cisco GNS3

Configurar y aplicar Extended Numbered ACLs Inbound en GNS3:

Configurar R1 y R2 para permitir acceso vía telnet.

R2(config)#enable secret CISCO

R2(config)#line vt

R2(config)#line vty 0 903

R2(config-line)#password CISCO

R2(config-line)#login

R2(config-line)#end 

R1(config)#enable secret CISCO

R1(config)#line vt

R1(config)#line vty 0 903

R1(config-line)#password CISCO

R1(config-line)#login

R1(config-line)#end 

Implementar las direcciones IP correspondientes a las interfaces seriales 1/0, en R1 y R2.

R1#conf t

R1(config)#inter se1/0 

R1(config-if)#ip addr 172.16.1.1 255.255.255.192

R1(config-if)#no shut

R2#conf t

R2(config)#inter

R2(config)#interface se1/0

R2(config-if)#ip addr 172.16.1.2 255.255.255.192

R2(config-if)#no shut

Configurar las interfaces loopback 10,20 y 30 y sus correspondientes IPs:

R2(config)#interface loopback 10               

R2(config-if)#ip add 10.10.10.3  255.255.255.128

R2(config-if)#exit

R2(config)#interface loopback 20               

R2(config-if)#ip add 10.20.20.3  255.255.255.240

R2(config-if)#exit

R2(config)#interface loopback 30               

R2(config-if)#ip add 10.30.30.3  255.255.255.248 

Este comando establece una ruta predeterminada para subredes de destino que no están en la tabla de enrutamiento, "gateway del último recurso" configurado en su tabla de rutas IP.

R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2 

R2(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 

Access-lists (R1).

R1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#access-list 150 deny tcp 10.20.20.0 0.0.0.15 any eq telnet

R1(config)#access-list 150 permit tcp 10.30.30.0 0.0.0.7 any eq telnet

R1(config)#access-list 150 permit icmp 10.20.20.0 0.0.0.15 any echo

R1(config)#inter s1/0

R1(config-if)#ip access-group 150 in

R1(config-if)#^Z   

R1#sh ip access-lists 

Extended IP access list 150

    10 deny tcp 10.20.20.0 0.0.0.15 any eq telnet

    20 permit tcp 10.30.30.0 0.0.0.7 any eq telnet

    30 permit icmp 10.20.20.0 0.0.0.15 any echo

    40 permit tcp 10.10.10.0 0.0.0.127 any eq telnet

R2#ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

R2#telnet 172.16.1.1 /source- 

R2#telnet 172.16.1.1 /source-interface loopback

R2#telnet 172.16.1.1 /source-interface loopback 20

Trying 172.16.1.1 ... 

% Destination unreachable; gateway or host down

R2#telnet 172.16.1.1 /source-interface loopback 30

Trying 172.16.1.1 ... Open

User Access Verification

Password: 

R1>en

Password: 

R1#exit

[Connection to 172.16.1.1 closed by foreign host]

R2#ping 172.16.1.1 source 10.20.20.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

Packet sent with a source address of 10.20.20.3 

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/21/24 ms

R2#telnet 172.16.1.1 /source-interface loopback 10

Trying 172.16.1.1 ... Open

User Access Verification

Password: 

R1>en

Password: 

R1#exit

Permitir ping a la interface serial 1/0 de R1

R1(config)#access-list 150 permit icmp 172.16.1.0 0.0.0.127 any echo

R1#sh ip access-lists 

Extended IP access list 150

    10 deny tcp 10.20.20.0 0.0.0.15 any eq telnet (3 matches)

    20 permit tcp 10.30.30.0 0.0.0.7 any eq telnet (174 matches)

    30 permit icmp 10.20.20.0 0.0.0.15 any echo (30 matches)

    40 permit tcp 10.10.10.0 0.0.0.127 any eq telnet (111 matches)

    50 permit icmp 172.16.1.0 0.0.0.63 any echo (15 matches)

R1#

R2#ping 172.16.1.1                  

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 76/77/80 ms

R2#

GNS3 es genial!.

Túnel VPN Cliente a Servidor Mikrotik

VPN PPTP Mikrotik

Es parecido a un ambiente corporativo donde los clientes se conectan a la empresa a través de VPN PPTP utilizando, por ejemplo, su ordenador portátil.

En este escenario el R1 será el servidor VPN y la computadora detrás de R2 será el cliente. El cliente se conectará al servidor detrás del R1 utilizando la conexión VPN y la IP 10.200.1.1 que simula la IP pública del servidor VPN. Este es un esquema cliente servidor, de manera, que el cliente podrá conectar con el servidor pero no viceversa.

Ambos routers tienen salida a Internet respectivamente, por las interfaces vmnet2 y vmnet3 que hacen NAT a la interfaz del portátil MacBook Pro que está conectado por cable a un router Mikrotik. Los dispositivos detrás de los routers salen a Internet permitiendo enmascaramiento a la interfaz ether1 en R1 y ehter2 en R2.

Empezamos en el router2. 

En IP DNS vamos a permitir que la computadora le haga consultas DNS al router Mikrotik.

En el firewall tenemos habilitadas las reglas básicas, permitir conexiones establecidas y relacionadas. DROP a las conexiones inválidas.

En este momento en el R2 ya tenemos conexión a Internet.

Tenemos que comprobar si podemos llegar a la IP 10.200.1.1 a través de un ping

y vemos que no podemos llegar. Para llegar tenemos que hacer un NAT a la interfaz ether1 en el R2

Agregamos en el R1 la regla

en el Firewall que permita tráfico ICMP.

También agregamos una regla que permita tráfico PPTP

Hacemos la comprobación con un ping 

Vamos a crear un Pool de direcciones IP para que los clientes obtengan una dirección IP automáticamente.

En el menú PPP creamos el perfil para la conexión VPN

Vamos a crear un Secret

Por último creamos la conexión VPN PPTP en el cliente y nos conectamos al servidor.  PPTP se considera un protocolo inseguro.

Mikrotik es genial!.

VPN IPIP IPSec Mikrotik GNS3 VMware

La implementación de túnel IPIP en MikroTik RouterOS es compatible con RFC 2003. El túnel IPIP es un protocolo simple que encapsula IP paquetes en IP para hacer un túnel entre dos enrutadores. La interfaz del túnel IPIP aparece como una interfaz en la lista de interfaces. Muchos enrutadores, incluidos Cisco y Linux, admiten este protocolo. Este protocolo hace posible múltiples esquemas de red.

Empezamos en el sitio 1. Este tipo de túnel no lo encontraremos en PPP es una Interfaz que crearemos en ambas subredes utilizando el menú interfaces, clic en el signo más (+) elegimos IP Tunnel he introducimos un nombre, la dirección IP local y la dirección IP remota. Más adelante configuraremos IPSec Secret para cifrar la conexión y convertirla en una VPN.

Hacemos lo mismo en el sitio 2.

Ya tenemos el túnel establecido con las dos interfaces activas sin necesidad de agregar ninguna regla en el Firewall.

No tenemos direccionamiento IP, por lo tanto vamos a agregar dirección IP a las interfaces. En este caso utilizaremos utilizando un direccionamiento IP /32 la IP de un sitio y como máscara la IP del otro sitio. También podemos utilizar el direccionamiento /30 y funcionará. Por ejemplo - 40.0.0.0/30 los hosts tendrán las IPs 40.0.0.1 - 40.0.0.2 Broadcast 40.0.0.3 Máscara de red 255.255.255.252. En realidad puede ser cualquier red. 80.0.0.1 y 80.0.0.2. etc.

Tenemos conexión entre ambas redes, sin cifrar:

Agregando rutas. Desde el site-2 quiero ir a la LAN del site-1.

Agregando rutas. Desde el site-1 quiero ir a la LAN del site-2

Hacemos NAT srcnat en ambos sitios:

Esta conexión ya funciona pero los datos no viajan cifrados. Vamos a cifrar añadiendo un Secret a IPSec:

Entramos en IP IPSec veremos que tenemos la conexión establecida, PH2 State (estado de la fase 2) en stablished quiere decir que la comunicación es cifrada. Los datos entre los extremos 10.200.1.1 y 10.200.1.2 son cifrados:

Mikrotik es genial!.

Interfaz de Red NAT VMware GNS3 MacOS

Como crear interfaces de red en GNS3 usando VMware Fusion en MacOS con el fin de simular topologías de red en la que dos sitios separados geográficamente puedan conectar. Un recordatorio la versión de VM para GNS3 (archivo ova) debe ser la misma que la versión de GNS3 y se tiene que iniciar desde la terminal utilizando sudo (con privilegios de root). MacBook-Pro-de-Carlos:~ carlosc$ sudo /Applications/GNS3.app/Contents/MacOS/gns3 

Todas la releases

https://github.com/GNS3/gns3-gui/releases/

Release 2.1.9
Versión 2.1.9 GNS3 VM

GNS3 2.1.9
https://github.com/GNS3/gns3-gui/releases/tag/v2.1.9

OpenBSD es genial!.

GNS3 Mikrotik Internet MacOS

La versiónes de GNS3 y GNS3 VM debe ser la misma. Las diferentes versiones de GNS3 VM se pueden descargar desde este enlace:

https://github.com/GNS3/gns3-gui/releases/

Versión 2.1.9 GNS3 VM

https://github.com/GNS3/gns3-gui/releases/tag/v2.1.9

Iniciar gns3 como root desde la terminal

MacBook-Pro-de-Carlos:~ carlosc$ MacBook-Pro-de-Carlos:~ carlosc$ sudo /Applications/GNS3.app/Contents/MacOS/gns3

Averiguar cual es la interfaz Ethernet a la que estoy conectado a través de la terminal con el comando ifconfig -a o utilizando el panel de preferencias de red, en mi caso es la en0.

MacBook-Pro-de-Carlos:~ carlosc$ ifconfig en0

en0: flags=8963 mtu 1500

options=10b

ether 40:6c:8f:4a:62:94 

inet6 fe80::de:4be9:b5bd:8d8f%en0 prefixlen 64 secured scopeid 0x7 

inet 192.168.88.211 netmask 0xffffff00 broadcast 192.168.88.255

nd6 options=201

media: autoselect (1000baseT )

status: active

La interfaz en0 es la que utilizaremos para conectar la topología de red del GNS3 a la misma red de mi portátil.

Clic derecho en Cloud1 y clic en Configure en0 es la que nos interesa, eliminamos las demás interfaces:

Conectar en0 a Cloud1 al Switch que está conectado al R1 de Mikrotik en el simulador GNS3.

Entramos en el R1 y obtenemos una IP por DHCP utilizando DHCP Client

[admin@R1] > /ip dhcp-client add interface=ether2 disabled=no

Realizamos la comprobación utilizando el comando ip dhcp-client print retail

              

[admin@R1] > ip dhcp-client print detail 

   

Flags: X - disabled, I - invalid, D - dynamic 

[admin@R1] > /ip dhcp-client add interface=ether2 disabled=no 

[admin@R1] > ip dhcp-client print detail                     

Flags: X - disabled, I - invalid, D - dynamic 

 0   interface=ether2 add-default-route=yes default-route-distance=1 

     use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid 

     status=bound address=192.168.88.210/24 gateway=192.168.88.1 

     dhcp-server=192.168.88.1 primary-dns=192.168.88.1 secondary-dns=1.1.1.1 

     primary-ntp=31.207.89.49 expires-after=10m 

Hacemos ping al router por defecto de la red:

[admin@R1] > ping 192.168.88.1

  SEQ HOST                                     SIZE TTL TIME  STATUS           

    0 192.168.88.1                               56   0 25ms 

    1 192.168.88.1                               56   0 10ms 

    sent=2 received=2 packet-loss=0% min-rtt=10ms avg-rtt=17ms max-rtt=25ms 

El comando ip route print nos permite ver la ruta por defecto desde R1 (Mikrotik gns3).

[admin@R1] > ip route print     

Flags: X - disabled, A - active, D - dynamic, 

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 

B - blackhole, U - unreachable, P - prohibit 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE

 0 ADS  0.0.0.0/0                          192.168.88.1              1

 1 ADC  192.168.88.0/24    192.168.88.210  ether2                    0

Crear en una interfaz personalizada vmnet2 10.10.10.0/24 NAT

En este punto solo nos falta configurar los routers e interfaces con sus respectivas direcciones IPs, dependiendo del laboratorio que vamos a montar. Por ejemplo agregando un segundo Cloud para simular una IP pública a través de una de las interfaces de red de VMware. Los Mikrotik están conectados por NAT a nuestra red física.

Mikrotik es genial!.