Buenas 👋, soy César Sánchez y vengo a ayudaros con: ⤵️
OSPF sobre túnel dinámico con ‘net-device disable’ y ‘mode config’
La topología consiste en dos cortafuegos, en una topología de hub y spoke.
Las IPs superpuestas de los Spokes (10.10.10.x) pueden ser aprovisionadas manual o automáticamente, usando el modo-configuración de IKE.
En este ejemplo utilizaremos el modo-configuración de IKE.
Configuración en el HUB.
Configuración de la interfaz del túnel:
# config system interface
editar «TO_SPOKE»
set vdom «root»
set ip 10.10.10.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 10.10.10.254 255.255.255.0
set snmp-index 24
set interface «port7»
siguiente
fin
Configuración de IPsec:
# config vpn ipsec phase1-interface
editar «TO_SPOKES»
set type dynamic
set interface «port7»
set keylife 3600
establecer modo agresivo
set peertype any
set net-device disable
set exchange-interface-ip enable
set mode-cfg enable
set proposal aes256-sha256
set add-route disable
set dpd on-idle
set dhgrp 14
set tunnel-search nexthop
set ipv4-start-ip 10.10.10.2
set ipv4-end-ip 10.10.10.253
set ipv4-netmask 255.255.255.0
set psksecret ENC mi_contraseña_encriptada
set dpd-retryinterval 60
siguiente
end
# config vpn ipsec phase2-interface
edit «TO_SPOKES»
set phase1name «TO_SPOKES «
set propuesta aes256-sha256
set dhgrp 14
set keylifeseconds 1800
siguiente
end
Configuración de OSPF:
# config router ospf
set router-id 10.10.10.1
# config area
editar 0.0.0.0
siguiente
end
# config ospf-interfac
editar «TO_SPOKES»
set interface «TO_SPOKES»
establecer intervalo muerto 40
set hello-interval 10
set mtu-ignore enable
set network-type point-to-multipoint
siguiente
end
# config network
editar 1
set prefix 172.16.103.0 255.255.255.0
siguiente
editar 2
set prefix 10.10.10.0 255.255.255.0
siguiente
Configuración de los radios.
Configuración de la interfaz del túnel:
# config system interface
editar «TO_HUB»
set vdom «root»
set allowaccess ping
set type tunnel
set snmp-index 27
set interface «port16»
siguiente
end
Configuración de IPsec:
# config vpn ipsec phase1-interface
edit «TO_HUB»
set interface «port16»
set keylife 3600
establecer modo agresivo
set peertype any
set net-device disable
set exchange-interface-ip enable
set mode-cfg enable
set proposal aes256-sha256
set add-route disable
set dhgrp 14
set remote-gw 192.168.103.1
set psksecret ENC mi_contraseña_encriptada
siguiente
fin
# config vpn ipsec phase2-interface
edit «TO_HUB»
set phase1name «TO_HUB«
set proposal aes256-sha256
set dhgrp 14
set auto-negotiate enable
set keylifeseconds 1800
siguiente
fin
Configuración de OSPF:
# config router ospf
set router-id 10.10.10.2
# config area
editar 0.0.0.0
siguiente
fin
# config ospf-interface
editar «TO_HUB»
set interface «TO_HUB»
set mtu-ignore enable
set network-type point-to-point
siguiente
fin
# config network
editar 1
set prefix 172.16.104.0 255.255.255.0
siguiente
editar 2
set prefix 10.10.10.0 255.255.255.0
siguiente
fin
Resultado.
# get router info ospf neighbor
Proceso OSPF 0, VRF 0:
Neighbor ID Pri State Dead Time Address Interface
10.10.10.2 1 Completo/ – 00:00:39 10.10.10.2 TO_SPOKES
⚙️ Por último, agradecerte por haber llegado hasta abajo del post. Espero que haya sido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no consigues dar con la solución a tu pregunta utiliza el buscador o escríbenos en el cuadro de comentarios.
¡Hasta luego!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!