Cisco PIX:Acceso remoto con Preshared-key y Easy VPN

Juan Jose Diaz Antuña

Cisco Pix Firewall que va a operar con Cisco Easy VPN utilizando Xauth,IKE y autorización AAA con servidor de Radius. El esquema a seguir:
pix-easyvpn-pre

1- Definimos los parametros AAA. Servidor de RADIUS, secreto compartido abcdef
aaa-server radius protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
2-Configuramos la directiva de IKE. Cifrado 3DES, hash MD5 con preshared-keys
isakmp enable outside
isakmp policy 8 encr 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication pre-share
Nota:Si tenemose Cisco VPN Client Version 3.x, incluiremos la line isakmp policy 8 group 2 que configura Diffie-Helman 2
3-Configuramos la clave preshared a cisco1234
isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
4-Configuramos el pool de direcciones a dar a los clientes
ip local pool dealer 10.1.1.1-10.1.1.254
5-Excluimos a los host internos de hacer NAT cuando se conectan por la VPN
access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
nat (inside) 0 access-list 80
6-Creamos la lista de acceso que me define que servicios van a utilizar los clientes externos. El servidor de RADIUS va a autorizar a los usuarios el uso de los servicios definidos en la lista de acceso al AAA.
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq telnet
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq ftp
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq http
7-Configuramos el transform-set
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
8-Creamos el crypto map dinamico
crypto dynamic-map cisco 4 set transform-set strong-des
9-Asociamos el crypto map dinamico al crypto map estatico
crypto map partner-map 20 ipsec-isakmp dynamic cisco
10-Aplicamos el crypto map al interfaz externo
crypto map partner-map interface outside
11-Habilitamos XAUTH
crypto map partner-map client authentication partnerauth
12-Configuramos la directiva para el Cisco Easy VPN Remoto
vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam split-tunnel 80
vpngroup superteam idle-time 1800
13-Habilitamos el IPSec en nuestro PIX
sysopt connection permit-ipsec

3-