INTRODUCCION:

Estos ultimos dias me han hablado mucho sobre este equipo Fortigate 100D, donde recalcan su performance, seguridad y versatilidad. Ciertamente fue mi ultima adquisicion y tras unas horas de estudio logre configurarlo y revisarlo un poco mas a fondo, es por eso que decidi crear este espacio donde les mostrare como crear una VPN IPSEC paso a paso usando este gran dispositivo.

CONFIGURACION:

1. Si tenemos el equipo restablecido con los parametros de fabrica, debemos tener en cuenta los siguientes datos (por defecto)




2. En este caso utilizaremos la conexion INTERNAL que equivale a nuestra RED LOCAL.Conectamos el cable de red a uno de los puertos switch del equipo que trae 16 puertos.
El IP por defecto es 192.168.1.99, asi que cambiamos nuestro IP a alguno del rango 192.168.1.0.

Accedemos a la direccion con SSL: https://192.168.1.99 ,con usuario admin y contraseña vacia (en blanco)



3. Una vez dentro, en el apartado Network/Interface, fijamos los siguientes datos: (los importantes para la VPN)



internal: 192.168.100.99/255.255.255.0 (cambie a otro rango para mayor comodidad)
wan1: 192.168.1.240 (Un IP libre en mi red principal)




4. Nos dirigimos a Policy/Policy/Policy ,opcion Create New, donde llenamos los datos:
Source Interface/Zone: internal (interfaz de nuestra red local por defecto)
Source Address: RED LOCAL (He creado un rango de IP en este caso 192.168.100.0/255-255-255.0 Interface: ANY)
Destination Interface/Zone: wan1 (Interfaz de salida a internet, por defecto)
Destination Address: all (equivalente a 0.0.0.0, todo)
Schedule: always (default)
Service: ANY (todos los puertos, servicios)
Action: Accept (OK, default)
Activar Enable NAT, Use destination Interface address.

Aceptamos los cambios.


5. Escogemos Router/Static/Static Route, Create New ,llenamos lo siguiente:
Destination IP/Mask: 0.0.0.0 0.0.0.0
Device: wan1 (salida a internet)
Gateway: 0.0.0.0


Aceptamos los cambios

6. Hasta aqui ya tenemos configurado el equipo de tal manera que la red 192.168.100.0 ya puede navegar por internet con toda normalidad atraves de la interfaz wan1.


CONFIGURAR VPN IPSEC:


7. Nos dirigimos al menu User/User/User, Create New. donde llenamos los datos:
User Name: cualquiera (en este caso: prueba)
Password: cualquiera (en este caso lo mismo: prueba)


8. Nos vamos a User group, escogemos el grupo creado por defecto que es Guest-group, de lo contrario podemos crear uno nuevo.
Movemos el usuario a la derecha para agregarlo al grupo.



Aceptamos los cambios

9. Escogemos menu VPN. IPSEC, Auto Key (IKE), Create FortiClient VPN
Llenamos los siguientes datos:
Name: cualquier (en este caso: fortivpn2014)
Local Outgoing Interface: wan1 (salida a internet)
Authentication Method: Pre-shared key
Pre-shared Key: cualquiera (en este caso fortinet12345)
User Group: Escogemos el grupo creado anteriormente (En este caso Guest-group, por defecto)
Address Range Start IP: 192.168.100.10 (Inicio de direcciones disponibles en nuestra red)
Address Range End IP: 192.168.100.20 (Fin de direcciones disponibles en nuestra red)
Subnet Mask: 255.255.255.0

Activar Split Tunnel, si deseamos navegar por internet y usar la VPN al mismo tiempo.

Aceptamos los cambios

10. Seguidamente escogemos Create Phase 2, y llenamos los datos:

Name: cualquiera, (en este caso forti VPN_2)
Phase 1: Escogemos el anterior creado fortivpn2014

11. Finalmente nos dirigimos a Policy/Policy/Policy, Create New,
Llenamos lo siguiente:

Source Interface/Zone: fortivpn2014 (de la lista)
Source Address: Creamos una lista de direcciones, nombre: vpn direccones, rango 192.168.100.10 al 192.168.100.20)
Destination Interface/Zone: internal (nuestra red local)
Destination Address: RED LOCAL (de la lista)
Schedule: always (default)
Service: ANY (todos)
Action: Accept (default)




Aceptamos los cambios.

12. Debemos de crear otra politica pero esta vez inversa:
Create New y Llenamos lo siguiente:

Source Interface/Zone: internal (de la lista)
Source Address: RED LOCAL (nuestra red local)
Destination Interface/Zone: fortivpn2014 (de la lista)
Destination Address: vpn direcciones (la lista de ip creada anteriormente)
Schedule: always (default)
Service: ANY (todos)
Action: Accept (default)



13. Instalamos el software FortiClient 5.22 en el equipo remoto para realizar las pruebas, donde se deben llenar los parametros de servidor, en este caso. como modo IPSEC, apuntar a la direccion 192.168.1.240, usuario prueba, contraseña prueba, y conectar!.

Anexo: Video Explicativo



Adicionalmente:

ABRIR PUERTOS (PORT FORWARDING)


1. Nos dirigimos a Firewall Objects/Virtual IP/Virtual IP ,Create New.
2. Llenamos los datos:
Name: Cualquier nombre, en este caso: puerto ftp
External Interface: wan1 (salida a internet)

External IP Address/Range: 192.168.1.240-192.168.1.240 (IP wan1)
Mapped IP Address/Range: 192.168.100.100-192.168.100.100 (IP con el servidor FTP)

Activamos Port Forwarding
Marcamos el protocolo TCP (En este caso)
External Service Port 21-21
Map to Port: 21


Aceptamos los cambios

3.Nos dirigmos a Firewall Objects/Virtual IP/Virtual Group ,Create New.

Llenamos los datos:
Group Name: Cualquiera (en este caso: prueba puertos)
Movemos las Virtual IP's disponibles hacia abajo, en este caso: puerto ftp



Aceptamos los cambios

4.Regresamos a Policy/Policy/Policy, Create New,
Llenamos los siguientes datos:
Source Interface/Zone: wan1 (salida a internet)
Source Address: all (todo)
Destination Interface/Zone: internal (Nuestra red local)
Schedule: always (default)
Service: FTP
Action: Accept (default)

Activamos Enable NAT




Aceptamos los cambios


5. Para probar el puerto, ingresamos a nuestro servidor FTP desde otra ubicacion o red usando la direccion ftp://IP_wan1:21 (en este caso ftp://192.168.1.240:21)





1. INTRODUCCION

Este articulo nacio de la necesidad de poder realizar llamadas punto a punto de manera gratuita sin contar con algun proveedor de llamadas IP y con solo contar con algunas de las opciones mencionadas mas adelante ya sea un telefono IP, un Adaptador Telefonico IP (ATA), un computador o laptop, una tablet o un celular inteligente (smartphone).

La configuracion es sencilla, involucra los siguientes pasos:
a) Apertura de puertos en el router principal.
b) Configuracion del dispositivo de llamadas (telefono IP, ATA, Softphone eyeBeam, Smartphone o tablet Android)

2. ESQUEMA DE RED


 Les presento los posibles escenarios de red, de acuerdo a nuestras necesidades.
Topologia de red

3. CONFIGURACION:

3.1 CONFIGURACION DE DISPOSITIVO DE LLAMADA

3.1.1 LINKSYS SPA-3102 ATA

Como primer paso se debe conocer el IP del equipo que viene de fabrica para poder acceder a el.
En este caso lo tengo configurado con la direccion IP 192.168.1.99, accedemos en el navegador a:
http://192.168.1.99, no olvidar entrar en modo administrador en los enlaces ADMIN LOGIN y ADVANCED en lado derecho.

En la pestaña Router, WAN Setup, tengo los siguientes datos.

Ejemplo:
Direccion IP: 192.168.1.99
Mascara de subred: 255.255.255.0 
Puerta de Enlace: 192.168.1.1
DNS: 200.48.225.130 y 200.48.225.146





Luego ingresamos a la pestaña VOICE, SIP, tenemos lo siguiente (por default)





En la misma pestaña en la parte inferior, tenemos algunos parametros de NAT, configuramos tal y como esta en la siguiente imagen.


Como dato adicional, si al finalizar la guia tenemos problemas en las llamadas como perdida de audio en ambos lados o tiempos de espera muy largos sugiero cambiar el servidor STUN.

 Aqui una lista:
List of Public STUN servers
faq940-7542
Posted: 4 Feb 12 (Edited 6 Feb 12)

Copied directly from http://www.voip-info.org/wiki/view/STUN

They seem to have updated the list of public stun servers recently

Public STUN servers

    provserver.televolution.net
    sip1.lakedestiny.cordiaip.com
    stun1.voiceeclipse.net
    stun01.sipphone.com
    stun.callwithus.com
    stun.counterpath.net
    stun.endigovoip.com
    stun.ekiga.net (alias for stun01.sipphone.com)
    stun.ideasip.com (no XOR_MAPPED_ADDRESS support)
    stun.internetcalls.com
    stun.ipns.com
    stun.noc.ams-ix.net
    stun.phonepower.com
    stun.phoneserve.com
    stun.rnktel.com
    stun.softjoys.com (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stunserver.org see their usage policy
    stun.sipgate.net
    stun.sipgate.net:10000
    stun.voip.aebc.com
    stun.voipbuster.com (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stun.voxalot.com
    stun.voxgratia.org (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stun.xten.com
    numb.viagenie.ca (http://numb.viagenie.ca) (XOR_MAPPED_ADDRESS only with rfc3489bis magic number in transaction ID)
    stun.ipshka.com inside UA-IX zone russsian explanation at http://www.ipshka.com/main/help/hlp_stun.php

Seguidamente nos dirigimos a la pestaña Line 1. y configuramos tal y como esta en la siguiente imagen:







 Finalmente en la pestaña User 1, sera donde indiquemos los numeros o direcciones a las cuales vamos a llamar. En el apartado Speed Dial Settings, precisamente es donde debemos de escribir la direccion usando la siguiente sintaxis.

 USER@IP_DESTINO_o_HOST:PUERTO

 Speed Dial 2 significa que llamare a la direccion 102@casa.no-ip.com pulsando el boton 2#
Speed Dial 3 significa que llamare a la direccion 103@trabajo.no-ip.com pulsando el boton 3#





3.1.2 LINKSYS SPA-841

3.1.3 SOFTPHONE EYEBEAM 1.5.7

3.1.4 SMARTPHONE ANDROID 4.X

3.2 APERTURA DE PUERTOS:

Aqui se debe de ingresar al router principal, generalmente 192.168.1.1, y abrir el puerto TCP y UDP 5060 apuntando a nuestra direccion IP Estatica del Equipo de llamada (ej. 192.168.1.99)

 Continuara...

INTRODUCCION

Nuevamente tocando el tema del Voip, en esta ocasion explicare lo necesario para poder realizar llamadas directas punto a punto (IP a IP) o Direct IP Calling, dentro de la misma red usando telefonos IP de marcas Grandstream (GXP-280 concretamente), Cisco (SPA841), Linksys (ATA SPA3102) y Softphones X-lite y Eyebeam (PC) y otros para versiones en ANDROID,


ESQUEMA DE RED

El esquema de red es el siguiente:


EQUIPOS

-Grandstream GXP-280
-Cisco SPA-841
-Linksys SPA-3102
-Softphones eyeBeam 1.1 3004t stamp 16741 (PC Windows)
-Softphone Zoiper IAX SIP VoIP Softphone (ANDROID)


CONFIGURACION DE GRANDSTREAM GXP-280


Este telefono IP es sencillo de configurar, lo primero es ingresar al equipo con su direccion IP respectiva.
En este caso lo tengo configurado con 192.168.1.202


CONFIGURACION DE CISCO SPA841


Este telefono IP posee ciertas caracteristicas que resaltan sobre los demas que las explicare mas adelante, para configurarlo ingresamos con su IP respectiva, en mi caso lo tengo con 192.168.1.100, les proporciono la configuracion basica que utilice.

1. Ingresamos al equipo con el IP respectivo

2. Luego elegimos ADMIN LOGIN y ADVANCED, para habilitar todas las opciones.

3. Ahora ingresamos al apartado EXT1, lo resaltado en rojo es lo mas critico y lo configuramos de la siguiente manera:

Line Enable: Yes (obviamente)
SIP PORT: 5060 (por default)



4. En la misma ventana,
Register: No (Ya que son llamadas punto a punto sin usar una PBX o Central VoIP de por medio, no requiere registrar nuestro usuario en ella)

Use Outbound Proxy: No (Igual que anterior)

Make Call Without Reg. No (Como indica, permite realizar llamadas sin registrarse en un servidor VoIP)

Ans Call Without Reg. No (Como indica, permite recibir llamadas sin registrarse en un servidor VoIP)

Display Name: 102 (Este valor es arbitrario, sera el numero identificador, elijan a su conveniencia)

Auth ID: 102 (El mismo numero igual que el anterior)

User ID: 102 (El mismo numero igual que el anterior)

Enable IP Dialling: Yes (Necesario para realizar y recibir llamadas)



5. Luego entramos al apartado USER, para configurar unas opciones de usuario.
Speed Dial es un modo rapido para llamar a numeros frecuentes, por ejemplo si tenemos otros usuarios configurados con numeros 100, 101 y 103, podemos llamarlos simplemente marcando el numero 2,3 y 4 respectivamente. 
Para este caso he configurado en Speed Dial 2: 100@192.168.1.25, lo cual significa que marcando el numero 2 seguido de # se realiza la llamada directa al Telefono IP con direccion 192.168.1.25.
Caso similiar con los otros cuadros de texto Speed Dial 3 y 4.




 CONFIGURACION DE LINKSYS SPA3102


Este equipo permite ademas de permitirnos conectar la linea telefonica para realizar llamadas tambien nos brinda la opcion de un telefono analogico en la toma PHONE, aqui detallo la configuracion basica que realice.

Antes que nada configurar el equipo usando la toma INTERNET (WAN), con un IP que este en el rango de una LAN, en este caso 192.168.1.99

Los pasos son similares al equipo Cisco SPA841.









Pruebas... proximamente

Retomando el tema de las VPN, esta vez mostrare como realizar una conexion VPN entre 2 PC, ambas con Windows 7 (funciona de igual modo en Windows XP, Vista y Windows 7) , usando la red internet ADSL o de manera alternativa la red 3G movil.

CONFIGURACION DEL SERVIDOR VPN EN WINDOWS 7 ULTIMATE EDITION


 1. Primeramente debemos ingresar a: 
  • "CENTRO DE REDES Y RECURSOS COMPARTIDOS", en el panel izquierdo a 
  • "CAMBIAR CONFIGURACION DEL ADAPTADOR", 

 luego presionamos la tecla ALT, 
  • "MENU ARCHIVO", 
  • "NUEVA CONEXION ENTRANTE"

2. En la siguiente ventana debemos especificar los usuarios a los cuales se le va a  permitir el acceso a nuestra red VPN, es posible agregar usuarios de manera personalizada cliqueando en AGREGAR A ALGUIEN, ingresamos un nombre de usuario y contraseña cualquiera, para que se conecten.

3. Luego, tenemos la lista de protocolos de red a usar, en este caso marcamos PROTOCOLO DE INTERNET VERSION TCP/IP IPV4 y hacemos click en PROPIEDADES, para configurar algunos parametros que nos podrian ser utiles.

4. De esta ventana podemos elegir entre 2 opciones:

 La primera opcion ASIGNAR AUTOMATICAMENTE DIRECCION IP USANDO DHCP, o la segunda ESPECIFICAR DIRECCIONES IP, yo opto por la segunda para tener un mejor control de los usuarios por IP. 

 Para poder conocer cuantos usuarios podrian conectarse como maximo debemos de realizar un pequeño calculo que tiene que ver con nuestro ancho de banda de la linea de Internet.

 Por ejemplo si dispongo de 3 MB de Internet sería: 3072 Mbit = 384 KB/s  / 3 , tendriamos a 3 usuarios navegando a 128 KB/s. Asi que todo depende de la velocidad de nuestra linea.

 Si elegimos la opcion de especificar direcciones IP sugiero colocar rangos de IP que esten dentro de nuestra red local, en este caso 192.168.1.x.

 Como dato adicional el primer IP (192.168.1.220) sera el IP del Servidor, y el siguiente usuario en conectarse tomara la direccion 192.168.1.221 especificamente.

5. Como paso final estrictamente debemos abrir el puerto 1723 TCP en nuestro Router, redireccionado a nuestro IP privado local.

 6. Con estos pasos ya tenemos configurado nuestro Servidor VPN Windows 7.

CONFIGURACION DEL CLIENTE VPN EN WINDOWS 7


 1. Ingresamos a:
  • "CENTRO DE REDES Y RECURSOS COMPARTIDOS", luego a 
  • "CONFIGURAR UNA NUEVA CONEXION O RED", 
  • "CONECTARSE A UN AREA DE TRABAJO", 
  • "CREAR UNA NUEVA CONEXION", y 
  • "USAR MI CONEXION A INTERNET (VPN)", 

y debemos llenar los siguientes datos:
  • Direccion de Internet: Aqui va el IP Publico de nuestro servidor VPN a donde nos conectaremos.
  • Nombre de Destino: Cualquier nombre que nos haga referencia a esta conexion.


2. Enseguida debemos especificar el nombre de usuario y contraseña que hemos fijado anteriormente en el Servidor VPN para tener acceso.



 3. Procedemos a Conectar.


4. Ya tenemos acceso a nuestro Cliente VPN.

PRUEBAS DE CONEXION

Se realizaron pruebas de conexion de Cliente-Servidor obteniendo los siguientes resultados:

 ...(pronto)...


CONFIGURACION VPN USANDO LA RED 3G (movistar)


 1. Utilice precisamente un Modem USB Huawei E173 de Movistar con un plan de datos de 3GB.


Modem USB Huawei E17

2. Se procede a instalar los drivers correspondientes del dispositivo.

3. Personalmente no me gusta usar el software predeterminado del dispositivo llamado "ESCRITORIO MOVISTAR", asi que explico como se realiza una conexion manual para poder conectarnos a la red.

Para ello. ingresamos a 
  • "CENTRO DE REDES Y RECURSOS COMPARTIDOS", luego a 
  • "CONFIGURAR UNA NUEVA CONEXION O RED", 
  • "CONECTARSE A INTERNET", 
  • "CONFIGURAR UNA NUEVA CONEXION DE TODAS FORMAS", y 
  • "BANDA ANCHA (PPPOE)"

Llenar los siguientes datos:

  • Numero de Telefono de marcado: Siempre *99#
  • Nombre de usuario: Por operador Movistar es movistar@datos 
  • Contraseña: Por operador es movistar
  • Nombre de conexion: Cualquier nombre que haga referencia a la conexion.

Informacion para conexion a red 3G con el modem USB

Luego, cliqueamos en CONECTAR, y nos muestra la siguiente imagen.

Prueba de conexion a la red

Cerramos la ventana.

Enseguida, en el lado derecho, en Redes, se puede observar que se realizo correctamente la conexion.


Como siguiente paso sera realizar un test de nuestra velocidad de acceso a Internet y ademas de los tiempos de respuesta (ping)

Para ello ingresamos al portar www.speedtest.net


Como podemos observar en la imagen, tenemos una Velocidad de Descarga de 1,51 Mbps (188,75 KB/s), una Velocidad de Subida de 0,26 Mbps (32,5 KB/s) y como tiempo de respuesta de 59 milisegundos.

Estos valores son normales, yo mismo los comprobe en horas de la madrugada donde no existe congestionamiento de linea como sucede a horas punta.

Tenemos un valor de descarga que tenemos que tenerlo en cuenta ( 188,75 = 189 KiloBytes por Segundo)

Bien, ahora procedemos a crear una conexion VPN, que sera de la misma manera como lo mencionado en el apartado CONFIGURACION DEL CLIENTE VPN EN WINDOWS 7

PRUEBAS DE CONEXION


Se realizo unas pruebas de conectividad con el Servidor VPN, obteniendo los siguientes resultados:

1. Se realizo un ping al Servidor (192.168.1.220) y primera vista se observan perdidas de paquetes en tiempos aleatorios, lo cual no nos garantiza la estabilidad de la conexion con el servidor, sin embargo funciona.


 2. A pesar de las perdidas, tenemos tiempos de respuesta demasiado altos, un promedio de 250 milisegundos, un valor relativamente alto.


3. De la misma manera se realizo la prueba desde el lado del Servidor al Cliente.
ping a 192.168.1.224


Notamos que persisten los paquetes perdidos.

4. Ademas se realizo una copia simple de archivos al Servidor, obteniendo las siguientes velocidades:

40 KB/s

Valor muy bajo.

...(pronto)...

Autor: Angel Palomares Pedraza

 Google+

CONFIGURANDO UNA VPN LAN TO LAN IPSEC ENTRE 2 EQUIPOS CISCO 1841

Procedemos a configurar de la siguiente manera en los routers CISCO 1841.

 ROUTER-A#sh run
Building configuration...
Current configuration : 1123 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ROUTER-A
!
!
!
!
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp key testkey1234 address 100.0.0.2
!
!
crypto ipsec transform-set aes-sha-transform esp-aes 256 esp-sha-hmac
!
crypto map aesmap 10 ipsec-isakmp
set peer 100.0.0.2
set transform-set aes-sha-transform
match address acl_vpn
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 100.0.0.1 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map aesmap
!
interface FastEthernet0/1
ip address 192.168.1.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
router rip
!
ip nat inside source list acl_nat interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 100.0.0.2
!
!
ip access-list extended acl_vpn
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list extended acl_nat
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
ROUTER-B#sh run

 Building configuration...
Current configuration : 1123 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ROUTER-B
!
!
!
!
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp key testkey1234 address 100.0.0.1
!
!
crypto ipsec transform-set aes-sha-transform esp-aes 256 esp-sha-hmac
!
crypto map aesmap 10 ipsec-isakmp 
set peer 100.0.0.1
set transform-set aes-sha-transform
match address acl_vpn
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map aesmap
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
router rip
!
ip nat inside source list acl_nat interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 100.0.0.1
!
!
ip access-list extended acl_vpn
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended acl_nat
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
Autor: Angel Palomares Pedraza
Google+

CONFIGURANDO UN TELEFONO IP GRANDSTREAM GXP-280 PARA TRIXBOX 2.8 CE ASTERISK


Se realizaron los siguientes pasos:

1. Configurar el telefono IP con lo siguiente:

IP: 192.168.1.202
MASK: 255.255.255.0
GATEWAY: 192.168.1.1
DNS: cualquiera

2. Ingresar al explorador con el IP configurado (192.168.1.202)


3. Contraseña por defecto: admin

4. Ingresar a la pestaña ACCOUNT y activar NAT TRAVERSAL (STUN) = YES



5. Click en Update y luego Reboot.

6. Con esto solucionamos el problema sel SIP NAT que requiere un nuevo puerto para las llamadas que provienen de diferente red en la VPN. Para comprobarlo ingresamos a la central Trixbox y en System Status, apreciamos que ha tomado un nuevo puerto para establecer la comunicacion.

Autor: Angel Palomares Pedraza Google+

ENLACE PUNTO A PUNTO PARA LLAMADAS TELEFONICAS USANDO ROUTER CISCO 1700 Y AIRGRID 5 GHZ


En este proyecto se creara un enalce punto a punto, para realizar obtener todo de llamada en el lugar remoto y por ende realizar llamadas en la red de telefonia. Se usaron 2 Router Cisco 1700, con firmware c1700-sv3y-mz.123-12.bin para FXO y c1700-sv3y-mz.120-5.XQ1 para FXS, como minimo, dependiendo del espacio en la memoria flash.

Para realizar el enlace inalambrico se usaron 2 AirGrid M5 Hi-Pwer 5GHz, en modo Point to Point (o AP, Client), previamente configuradas con seguridad WPA2.

Conectamos un telefono convencional en los puertos FXS y la lineas telefonicas en FXO.

Como precaucion, verificar la polaridad de la linea telefonica, ya que esto puede original timbrados redundantes.

Escenario del enlace inalambrico:

Aqui la configuracion en el router con puerto FXS: (telefonos convencionales)

Router1#
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ROUTER1
!
!
!
!
!
!
memory-size iomem 25
ip subnet-zero
!
!
!
!
voice-port 2/0
 cptone PE
 music-threshold -50
!
voice-port 2/1
!
dial-peer voice 1 pots
 destination-pattern 100
 port 2/0
!
dial-peer voice 2 voip
 destination-pattern 9
 ip precedence 5
 session target ipv4:192.168.1.61
!
dial-peer voice 3 pots
 destination-pattern 101
 port 2/1
!
process-max-time 200
!
interface Serial0
 no ip address
 no ip directed-broadcast
 shutdown
!
interface FastEthernet0
 ip address 192.168.1.60 255.255.255.0
 no ip directed-broadcast
!
ip classless
no ip http server
!
!
line con 0
 transport input none
line aux 0
line vty 0 4
 login
!
!
no scheduler allocate
end

ROUTER1#


ROUTER1#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-SV3Y-M), Version 12.0(5)XQ1, EARLY DEPLOYMENT REL
EASE SOFTWARE (fc1)
TAC:Home:SW:IOS:Specials for info
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 23-Nov-99 11:21 by sharpd
Image text-base: 0x80008088, data-base: 0x80789B9C

ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
ROM: C1700 Software (C1700-SV3Y-M), Version 12.0(5)XQ1, EARLY DEPLOYMENT RELEASE
 SOFTWARE (fc1)

ROUTER1 uptime is 1 minute
System returned to ROM by power-on
System image file is "flash:c1700-sv3y-mz.120-5.XQ1"

cisco 1750 (MPC860) processor (revision 0x601) with 24576K/8192K bytes of memory
.
Processor board ID JAD0505283T (3452633481), with hardware revision 3097
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
1 Serial(sync/async) network interface(s)
2 Voice FXS interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102



En seguida la configuracion del Router con puertos FXS: (lineas telefonicas)

ROUTER2#SH RUN
Building configuration...

Current configuration : 958 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ROUTER2
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
voice-card 2
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.61 255.255.255.0
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
!
ip classless
no ip http server
!
!
!
!
voice-port 2/0
 cptone PE
 timing hookflash-out 500
 connection plar 100
 caller-id enable
!
voice-port 2/1
 cptone PE
 timing hookflash-out 500
 connection plar 101
 caller-id enable
!
dial-peer cor custom
!
!
!
dial-peer voice 1 pots
 destination-pattern 9T
 port 2/0
!
dial-peer voice 2 voip
 destination-pattern 10.
 session target ipv4:192.168.1.60
 dtmf-relay h245-alphanumeric
!
dial-peer voice 3 pots
 destination-pattern 9T
 port 2/1
!
!
line con 0
line aux 0
line vty 0 4
 login
line vty 5 15
 login
!
end

ROUTER2#

ROUTER2#SH VER
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-SV3Y-M), Version 12.3(12), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Mon 29-Nov-04 22:23 by kellythw
Image text-base: 0x8000816C, data-base: 0x810882DC

ROM: System Bootstrap, Version 12.2(1r)XE1, RELEASE SOFTWARE (fc1)
ROM: C1700 Software (C1700-SV3Y-M), Version 12.3(12), RELEASE SOFTWARE (fc3)

ROUTER2 uptime is 2 minutes
System returned to ROM by power-on
System image file is "flash:c1700-sv3y-mz.123-12.bin"

cisco 1751-V (MPC860P) processor (revision 0x200) with 55706K/9830K bytes of mem
ory.
Processor board ID JAD0634029X (529314602), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
1 Serial(sync/async) network interface(s)
2 Voice FXO interface(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Autor: Angel Palomares Pedraza
Google+

CONFIGURANDO UNA VPN ATRAVES DE UNA INTERFAZ SERIAL PUNTO A PUNTO EN CISCO 1841

En este articulo se procedera a configurar una conexion VPN punto a punto, usando una interfaz Serial WIC-1T atraves de Modems Adtran 6500 y Routers Cisco 1841.

Para lograr establecer la conexion serial se usaron 2 Modems Adtran Express 6500 Series.
Su configuracion es la siguiente:
A) Para el modem NODO:
1. Ingresamos al Hyperterminal o cualquier otro software terminal, usando estas caracteristicas:
  • Bits por segundo: 115200
  • Bits de datos: 8
  • Paridad: Ninguno
  • Bits de Parada: 1
  • Control de Flujo: Ninguno
2. En la pantalla principal tenemos lo siguiente, donde elegimos item 2 (Provisioning)


Unit Mode:  NT                                                03-Jan-00 12:10:57
Circuit ID:                                                Terminal Mode: Local
                                   Main Menu
                            1.  Unit Information
                            2.  Provisioning
                            3.  Status
                            4.  Test
                            5.  Performance History
                            6.  TSCAN
                            7.  Terminal Mode
                                 Selection: 2
                                ?.  System Help
3. Nos aparece lo siguiente: Item 2 (SHDSL Options)
Provisioning
                               1.  Unit Options
                               2.  SHDSL Options
                               3.  G.703 Options
                               4.  Nx64K Options
                               5.  Test Options
4. Tenemos: (cambiamos a 2-wire en Interface Mode, en Payload Rate escogemos la velodidad en este caso 2048 = 2Mb )
SHDSL Options
             1.  Interface Mode                       = 2-wire
             2.  Payload Rate(Kbps)                   = 2048 (N=32),N/A
             3.  SNR Margin Alarm Threshold(dB)       = Disabled
             4.  Loop Attenuation Alarm Threshold(dB) = Disabled
             5.  Outage Auto-Retrain                  = Disabled
             6.  PM Thresholds
5. Salimos a la pantalla anterior con ESC, y entramos a Item 1 (Unit Options)
6. La siguiente pantalla muestra las opciones de Unit Options, elegimos el Item 1 (Unit mode. y escogemos NT para NODO, para el caso del otro modo que sera cliente escogemos LT)
Unit Options
               1.  Unit Mode                = NT
               2.  Cross-Connect Map
               3.  Clock Source             = SHDSL RX Clock
               4.  Circuit ID
               5.  Date and Time
               6.  Restore Factory Defaults
               7.  Upgrade Firmware
               8.  Local Management         = Enabled
               9.  Change Password
Unit Mode
                                    1.  NT
                                    2.  LT
7. Regresando al menu de Unit Options, escogemos Item 2 (Cross-Connect Map). Aqui presionamos la tecla N para Full Nx64K Service, luego marcamos TS0 y presionamos la tecla 0, debe quedar de la siguiente manera, no olvidar presionar la tecla A para aplicar los cambios realizados. Salir
Cross-Connect Map
             SHDSL Timeslots                         G.703 Timeslots
    TS0  = 0    TS12 = 33   TS24 = 33      TS0  = 0    TS12 = 0    TS24 = 0
    TS1  = 33   TS13 = 33   TS25 = 33      TS1  = 0    TS13 = 0    TS25 = 0
    TS2  = 33   TS14 = 33   TS26 = 33      TS2  = 0    TS14 = 0    TS26 = 0
    TS3  = 33   TS15 = 33   TS27 = 33      TS3  = 0    TS15 = 0    TS27 = 0
    TS4  = 33   TS16 = 33   TS28 = 33      TS4  = 0    TS16 = 0    TS28 = 0
    TS5  = 33   TS17 = 33   TS29 = 33      TS5  = 0    TS17 = 0    TS29 = 0
    TS6  = 33   TS18 = 33   TS30 = 33      TS6  = 0    TS18 = 0    TS30 = 0
    TS7  = 33   TS19 = 33   TS31 = 33      TS7  = 0    TS19 = 0    TS31 = 0
    TS8  = 33   TS20 = 33   TS32 = NA      TS8  = 0    TS20 = 0
    TS9  = 33   TS21 = 33   TS33 = NA      TS9  = 0    TS21 = 0
    TS10 = 33   TS22 = 33   TS34 = NA      TS10 = 0    TS22 = 0
    TS11 = 33   TS23 = 33   TS35 = NA      TS11 = 0    TS23 = 0
       Timeslot Assignments                         Commands
        0.  Idle                A.  Apply New Map   G.  Full G.703 Service
    1.-31.  G.703 Service 1-31  C.  Cancel Changes  N.  Full Nx64K Service
       32.  G.704 Frame         Z.  Zero New Map  Tab.  SHDSL or G.703 Timeslots
       33.  Nx64K Service      Movement Keys: U. Up  D. Down  L. Left  R. Right
                           G.704 Framing = NA

B) Para el modem CLIENTE
1. Se utiliza la misma configuracion anterior, a excepcion de Unit Mode que debe ser LT.
Para ambos modems deben activarse los 4 leds en verde: SHDSL, Nx64K, RTS/C y RLSD/I.
Probar que ambas interfaces Serial de los routers Cisco esten con los leds verdes encendidos.

Configuracion de los Routers Cisco
Router A:
ROUTER-A#sh run
Building configuration...
Current configuration : 1638 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER-A
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
crypto isakmp key testkey1234 address 100.0.0.2
no crypto isakmp ccm
!
!
crypto ipsec transform-set aes-sha-transform esp-aes 256 esp-sha-hmac
!
crypto map aesmap 10 ipsec-isakmp
 set peer 100.0.0.2
 set transform-set aes-sha-transform
 match address acl_vpn
!
!
!
!
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 100.0.0.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map aesmap
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.0.0.2
!
!
ip http server
no ip http secure-server
ip nat inside source list acl_nat interface Serial0/0/0 overload
!
ip access-list extended acl_nat
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended acl_vpn
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end
ROUTER-A#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.3(14)T7,
 RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Mar-06 16:41 by pwade
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
ROUTER-A uptime is 2 hours, 29 minutes
System returned to ROM by reload at 03:31:04 UTC Thu Sep 29 2011
System image file is "flash:c1841-adventerprisek9-mz.123-14.T7.bin"
Cisco 1841 (revision 7.0) with 118784K/12288K bytes of memory.
Processor board ID FTX1135Y192
2 FastEthernet interfaces
1 Serial(sync/async) interface
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102


Router B:
Current configuration : 1638 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER-B
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
crypto isakmp key testkey1234 address 100.0.0.1
no crypto isakmp ccm
!
!
crypto ipsec transform-set aes-sha-transform esp-aes 256 esp-sha-hmac
!
crypto map aesmap 10 ipsec-isakmp
 set peer 100.0.0.1
 set transform-set aes-sha-transform
 match address acl_vpn
!
!
!
!
!
interface FastEthernet0/1
 ip address 192.168.2.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 100.0.0.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 crypto map aesmap
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.0.0.1
!
!
ip http server
no ip http secure-server
ip nat inside source list acl_nat interface Serial0/0/0 overload
!
ip access-list extended acl_nat
 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.2.0 0.0.0.255 any
ip access-list extended acl_vpn
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
end
ROUTER-B#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.3(14)T7,
 RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Mar-06 16:41 by pwade
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
ROUTER-B uptime is 2 hours, 27 minutes
System returned to ROM by reload at 03:39:04 UTC Thu Sep 29 2011
System image file is "flash:c1841-advipservicesk9-mz.123-14.T7.bin"
Cisco 1841 (revision 7.0) with 118784K/12288K bytes of memory.
Processor board ID FTX1120W0UD
2 FastEthernet interfaces
1 Serial(sync/async) interface
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
Autor: Angel Palomares Pedraza Google+

Suscribete!

Suscribete para ser notificado sobre actualizaciones o nuevos posts.

Copyright 2015 Mis Experimentos con REDES y CISCO | Designed by Veethemes.com