Foro en Español

Reply
New Contributor

Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC

Saludos a todos.

 

Nos estamos encontrando el siguiente problema al dar de alta controladoras en un Mobility Master (MM) a través de un VPNC.

El VPNC envía una ruta estática incorrecta al MM para que pueda alcanzar las controladoras remotas.

 

El VPNC se encuentra conectado directamente al MM, al hacer un “show ip route” en el MM, se ve que crea la siguiente ruta para llegar al  VPNC:

 

C    192.168.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap192.168.XXX.XXX <-- IP de VPNC

 

El MM comunica y administra las configuraciones del VPNC.

 

Cuando conectamos una controladora remota a nuestro VPNC al hacer un “show ip route” se ve que crea la siguiente ruta para llegar a la controladora remota:

 

C    192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap-20:4c:03:XX:XX:XX <-- Mac de controladora remota

 

 Y en el MM se crea la siguiente ruta estática para llegar a la controladora remota:

 

C    192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap-20:4c:03:YY:YY:YY <-- Mac de VPNC

 

Llegados a este punto el MM no es capaz de llegar a nuestra controladora remota y tenemos que crear la siguiente ruta estática para que sea capaz de alcanzarlo:

 

 C    192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap192.168.XXX.XXX <-- IP de VPNC

 

¿Es este el comportamiento normal o estamos configurando algo de forma incorrecta en nuestro VPNC?

 

Muchas gracias y saludos

Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC

Habría que revisar bien el escenario, pero:

¿Estás publicando correctamente la vlan de la branch que contiene el Controller-IP hacia VPNC para que sea accesible? Esto es lo que debería estar en las Branchs:

crypto-local isakmp route ipsec default-vpnip-local-ipsecmap vlan <vlan-id>

Por otro lado, ¿tiene rutas las branch para llegar bien hacia las rutas del CPD?

ip route x.x.x.x. 255.255.255.0 ipsec default-vpnip-local-ipsecmap

Por tus mensajes, revisaría que el MM / VPNC tienen las rutas para llegar a la branch, y además revisará las rutas al contrario, para que el tráfico sepa volver. 


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
New Contributor

Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC

Buenas de nuevo.

 

Respecto a la consulta realizada, al inicio del post, la solución nos obligaba a crear una ruta estática en el MM para poder alcanzar la controladora remota, provisionando el VPNC mediante IP/PSK.

 

Finalmente, y después de revisar configuraciones, hemos visto que para evitar configurar la ruta manualmente la solución pasa por provisionar el VPNC mediante MAC/PSK.

 

Os comentamos las configuraciones que hemos realizado por si le puede servir a alguien y sobre todo por confirmar que es la configuración más óptima, y abrir el dialogo de en qué entornos aplicaría mejor una configuración u otra.

 

 

Configuración inicial:

 

Se provisiona un VPNC en el MM mediante IP/PSK, el MM crea un túnel contra el VPNC denominándolo con el siguiente nombre:

default-local-master-ipsecmap(IP VPNC)

 De esta manera vemos la siguiente ruta:

(IP VPNC)/32 is an ipsec map default-local-master-ipsecmap(IP VPNC)

Al conectar un MD mediante MAC/PSK al VPNC, en la tabla de rutas del MM aparece la siguiente ruta:

(IP MD) /32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)

Con esta ruta el MD no es alcanzable, y nos obliga a crear una ruta estática, para que el MM sea capaz de alcanzar el MD.

(IP MD)/32 is an ipsec map default-local-master-ipsecmap(IP VPNC)

 

Configuración final:

 

Se provisiona un VPNC en el MM mediante MAC/PSK, el MM crea un túnel contra el VPNC denominándolo con el siguiente nombre:

default-local-master-ipsecmap(MAC VPNC)

De esta manera vemos la siguiente ruta:

(IP VPNC)/32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)

Al conectar un MD mediante MAC/PSK al VPNC, en la tabla de rutas del MM aparece la siguiente ruta:

(IP MD) /32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)

Con esta ruta el MD es alcanzable, y no nos vemos obligados a crear una ruta estática, para que el MM sea capaz de alcanzar el MD.

 

Saludos

Frequent Contributor I

Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC

Entonces debemos suponer que la manera más óptima de configurar los túneles es mediante MAC?

Ricardo Luis Cañavate García - ACMP / ACCA / ACCP / ACDX#972
Moderator

Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC

Mi recomendación es siempre negociar el cifrado de los túneles en base a certificados digitales, por las mejoras de seguridad evitentes que ello conlleva.

 

En el caso de los túneles entre equipos Aruba, esto además conlleva una simplificación importante de la configuración, ya que se usa el certificado TPM incluido en los equipos. Este certificado presenta la MAC address de los equipos como "nomber". Por tanto cuando usamos la MAC no sólo estamos simplificando la configuración, sino que estamos mejorando la seguridad.

 

Un saludo!


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: