VPN sitio a sitio usando routers Linksys por banda ancha con IP dinámica.

Tema en 'Redes Informáticas' iniciado por elsapo, 25 Ago 2008.

Estado del tema:
Cerrado para nuevas respuestas
  1. elsapo

    elsapo New Member

    [FONT=Arial, sans-serif]VPN sitio a sitio usando routers Linksys por banda ancha con IP dinámica.[/FONT]​
    [FONT=Arial, sans-serif]Guía paso a paso.[/FONT]​
    ATENCION: vea el sitio especializado OpenDNS
    [FONT=Arial, sans-serif]Este documento ha sido escrito con el objetivo de brindar un camino firme a la puesta en marcha de una VPN y está orientado a nuestros clientes que nos compran sus equipos y encuentran imcompleto o no claro el manual de los mismos, o bien, quieren saber antes de comprar si se an a poder arreglar con el manual del producto o si pueden llegar a fracasar.


    Atención: si usted es una persona experimentada y ya tiene los dos ruteadores bien
    conectados a Internet saltee toda esta explicación y vaya directo a la sinopsis.
    [/FONT]
    [FONT=Arial, sans-serif]Queremos en cierta medida lograr que superen ese miedo y estimular las ventas. El interesado debe poseer conocimientos de redes e Internet y tener bien claras las prestaciones, ventajas y desventajas de poseer y llevar adelante un proyecto de VPN y el impacto en las aplicaciones.[/FONT]
    [FONT=Arial, sans-serif]Con todos los elementos en orden, el procedimiento llevará entre 45 y 90 minutos. Nuestro personal técnico brinda coaching previo y soporte a las instalaciones usando este documento como base y el manual del BEFVP41. Es imprescindible contar con los manuales de los modems respectivos. Asimismo, se asume que en los sitios a unir con VPN hay conexiones de banda ancha operativas y no hay obstáculos como firewalls o políticas de seguridad que impidan tráfico ICMP, UDP/500, TCP y HTTP.[/FONT]

    [FONT=Arial, sans-serif]Damos a conocer que si Usted es capaz de poner ambos (o más) extremos operativos (esto es una LAN conectada a Internet con un router Linksys, si Usted libera el puerto 8080 de administración remota y nos suministra las respectivas WAN IPs, luego nosotros podemos configurar la VPN remotamente para Usted, de modo que tenga el primer “feeling” positivo.[/FONT]

    [FONT=Arial, sans-serif]Elementos[/FONT]


    [FONT=Arial, sans-serif]LAN en cabecera con banda ancha y rotuer Linksys BEFVP41.[/FONT]
    [FONT=Arial, sans-serif]Al menos una PC en la LAN de cabecera.
    En el sitio remoto, banda ancha y router Linksys BEFSX41 o superior.
    [/FONT]
    [FONT=Arial, sans-serif]Al menos una PC en la LAN del sitio remoto.[/FONT]
    [FONT=Arial, sans-serif]Cuenta gratuita (o paga) en DynDNS.org o NO-IP.com.
    [/FONT]

    [FONT=Arial, sans-serif]I. Establecimiento de la cabecera de la VPN.[/FONT]


    [FONT=Arial, sans-serif]Segundamente se explica como establecer una VPN entre dos sitios (site-to-site VPN) usando routers Linksys por banda ancha con IP dinámica. En el nodo central, cabecera, debe existir una LAN y una conexión a Internet por banda ancha.[/FONT]

    [FONT=Arial, sans-serif]Esta LAN está definida por un router Linksys BEFVP41, que incluye un switch de 4 puertos. Con un cable UTP-5 plano se conecta el router al modem ADSL o cable modem. Si va a extender esta LAN agregando un switch, observe que sea de 100mbps y si tiene puerto uplink, conectelo a este puerto.[/FONT]

    [FONT=Arial, sans-serif]Siga las insrucciones de cableado del manual de Linksys.[/FONT]

    [FONT=Arial, sans-serif]Asegure primero que tiene buena conectividad con Internet. [/FONT]

    [FONT=Arial, sans-serif]Obtenga de su ISP las direccioens de los servidores DNS.[/FONT]
    [FONT=Arial, sans-serif]Son en general dos del tipo 200.xxx.xxx.xxx.

    En caso de poseer cable-modem de Fiberfel o Telecentro, el router deberá configurarse para tomar la IP dinámica via DHCP. En caso de poseer ADSL de alguna telefónica (Arnet o Speedy) o alguno de sus dealers (Ciudad, Datamarkets, Netizen), establecer la conexión PPPoE como antes estaba estipulada para la PC. Puede suceder que el modem ADSL tenga función de router y no admita PPPoE, en este caso configure el modem para que le otorgue una IP fija y luego establezca en el router esa IP como dirección WAN.
    [/FONT]

    [FONT=Arial, sans-serif]Si dispone de IP fija, mejor entonces, coloque la IP fija que ya le dio el ISP y compruebe que funcione.

    Conecte al menos una PC en este router (en algunos de los puertos del switch). Es indispensable saber de antemano que PCs van a ser accedidas desde el extremo de la VPN. Puede conectar el switch de su LAN. Al menos tenga una PC con IP fija (dentro de la subred 192.168.x.x) para poder hacer pruebas de conectividad desde el extremo. Si va a usar NO-IP.com, en esta PC instale y configure el programa IP updater.
    [/FONT]

    [FONT=Arial, sans-serif]El router esta configurado de fábrica en 192.168.1.1 y entrega DHCP. [/FONT]
    [FONT=Arial, sans-serif]Una vez encendido, su PC se conecta con el TCP/IP configurado para obtener IP dinamica y al resetear o encender la PC, va a obtener la IP 192.168.1.100.[/FONT]

    [FONT=Arial, sans-serif]Para comprobar que el router contesta, haga "ping 192.168.1.1"[/FONT]

    [FONT=Arial, sans-serif]Luego se conecta al puerto de administración via el Internet Explorer en [/FONT] [FONT=Arial, sans-serif]http://192.168.1.1[/FONT] [FONT=Arial, sans-serif]usuario “admin” password “admin”.[/FONT][FONT=Arial, sans-serif] En algunos routers, segûn el firmware, el username va vacío.[/FONT]
    [FONT=Arial, sans-serif]Si llegó hasta aquí, felicitaciones, su router está funcionando.

    Establezca su red de cabecera con LAN IP 192.168.4.0 / netmask 255.255.255.0.
    [/FONT]

    [FONT=Arial, sans-serif]Establezca la dirección del router como 192.168.4.1. Asigne mas tarde las IP internas de sus servidores en el rango 2/99. [/FONT]

    [FONT=Arial, sans-serif]Al cambiar esta dirección, el router se resetea y empieza a funcionar en esta subred. Si su PC es Windows 98, reseteela para que tome una IP nueva del router. En W2000 o XP, puede reconfigurarla deshabilitando y habilitando la interfase, si duda, reseteela.[/FONT]

    [FONT=Arial, sans-serif]Va a ser infinitamente más cómodo en adelante que a la PC de administración le coloque una IP fija, por ejemplo la 192.168.4.2/255.255.255.0, el default gateway en 192.168.4.1 y coloque sin falta los DNS. [/FONT]

    [FONT=Arial, sans-serif]Comparta al disco de esta PC para mas tarde probar su acceso desde el túnel.[/FONT]

    [FONT=Arial, sans-serif]IMPORTANTE: esta LAN IP es la que verá su extremo, de modo que cuando se situe en el extremo para hacer pruebas, recuerde que esta LAN es virtual y visible cuando el tunel esté funcionando.[/FONT]

    [FONT=Arial, sans-serif]Habilite DHCP interno desde 192.168.4.100 en adelante.[/FONT]

    [FONT=Arial, sans-serif]Habilite el puerto de administración remota 8080 y coloque un password que no sea “admin” al usuario de administración.[/FONT]

    [FONT=Arial, sans-serif]Habilite ICMP con “Block WAN Request” en DISABLE, de modo que esto no impida hacerle PING desde afuera al router.[/FONT]

    [FONT=Arial, sans-serif]Resetee físicamente el modem, luego el router y asegúrese que todo funciona correctamente.[/FONT]

    [FONT=Arial, sans-serif]Abra una cuenta DDNS en [/FONT] [FONT=Arial, sans-serif]www.dyndns.org[/FONT][FONT=Arial, sans-serif], elija un nombre para su cabecera, por ejemplo vpnhead.dynalias.org, y configure luego el router, en [/FONT][FONT=Arial, sans-serif]la página de administración de DDNS,con este nombre.[/FONT]

    [FONT=Arial, sans-serif]Asegure que al presionar DDNS>>Update, la dirección se haya actualizado.[/FONT]

    [FONT=Arial, sans-serif]Obtenga de la página de administración “Status”, la WAN IP que tiene en ese momento el router. [/FONT]

    [FONT=Arial, sans-serif]Verifique desde una PC conectada al router y luego repita lo mismo desde una PC en otra red (por ejemplo desde un cyber) lo siguiente:[/FONT]

    [FONT=Arial, sans-serif]ping –a vpnhead.dynalias.org

    El resultado debe contener la dirección IP actual del router y un reporte positivo y sus respectivos tiempos de respuesta. Llamese contento si logra un promedio de 30msec en ADSL de las telefónicas.
    [/FONT]

    [FONT=Arial, sans-serif]Verifique que desde una PC conectada a esta red pueda navegar en Internet. Con esto comprueba que el DHCP esta entregando DNS correctamente a los clientes de la red interna.[/FONT]
    [FONT=Arial, sans-serif]Verifique que consigue pingear a los servidores DNS:[/FONT]

    [FONT=Arial, sans-serif]ping –a 200.x.x.x[/FONT]

    [FONT=Arial, sans-serif]Verifique ping –a a distintos lugares en Internet:[/FONT]

    [FONT=Arial, sans-serif]p[/FONT][FONT=Arial, sans-serif]ing [/FONT] [FONT=Arial, sans-serif]www.sun.com[/FONT]
    [FONT=Arial, sans-serif]Ping [/FONT] [FONT=Arial, sans-serif]www.yahoo.es[/FONT]

    [FONT=Arial, sans-serif]Verifique que puede navegar desde la PC conectada.

    Hasta aquí aseguramos que el router es accesible desde afuera.
    [/FONT]

    [FONT=Arial, sans-serif]La WAN IP podría variar. El router se ocupa de actualizarla cada vez que expira la dirección y toma una nueva. Puede existir un de la de 5 a 10 minutos entre que el DDNS actualizó su entrada en DNS hasta que se propagó el cambio en el DNS local.[/FONT]

    [FONT=Arial, sans-serif]Si puede irse a otro lugar o pedir ayuda, verifique [/FONT]

    [FONT=Arial, sans-serif]ping –a vpnhead.dynalias.org
    [/FONT]

    [FONT=Arial, sans-serif]II. Establecimiento del extremo.[/FONT]


    [FONT=Arial, sans-serif]Sitúese en el sitio remoto que llamaremos tanto remoto como extremo. Para cada extremo de la VPN designe una subred, en el espacio 192.168.x.x, distinta de 1.x, 255.x y 4.x (la subred 4 es en este caso la cabecera).[/FONT]

    [FONT=Arial, sans-serif]Vamos a usar como ejemplo la 192.168.2.0/.255.255.255.0 (la subred dos).El prefijo 192.168.x no esta librado al azar.[/FONT]

    [FONT=Arial, sans-serif]En este punto tiene que entenderse claramente que, situado en el extremo, la red VPN le va a dar acceso virtual a la subred en la cabecera como 192.168.4.x y desde la cabecera los extremos van a ser 192.168.x.x, en este caso 192.168.2.x[/FONT]

    [FONT=Arial, sans-serif]Conecte el router y asegure que obtenga buena conectividad con Internet.[/FONT]

    [FONT=Arial, sans-serif]Haga lo mismo que en la cabecera con respecto a ICMP y al puerto de administración.[/FONT]

    [FONT=Arial, sans-serif]Establezca LAN IP 192.168.2.0./255.255.255.0.
    El rotuer con su IP 192.168.2.1. DHCP activo desde 192.168.2.100.
    [/FONT]

    [FONT=Arial, sans-serif]Resetee el router y su PC y verifique que todo esé funcionando.[/FONT]

    [FONT=Arial, sans-serif]Haga contacto con la cabecera con:[/FONT]

    [FONT=Arial, sans-serif]ping –a vpnhead.dynalias.org[/FONT]

    [FONT=Arial, sans-serif]Es probable que la direccion IP de la cabecera haya variado, téngalo
    en cuenta.
    [/FONT]

    [FONT=Arial, sans-serif]Intente administrar remotamente el router de la cabecera.[/FONT]

    [FONT=Arial, sans-serif]http://vpnhead.dynalias.org:8080[/FONT]

    [FONT=Arial, sans-serif]Si pudo hacerlo sin problemas, entonces está todo listo para establecer el túnel.
    [/FONT]

    [FONT=Arial, sans-serif]III. Estableciendo el túnel.[/FONT]


    [FONT=Arial, sans-serif]La configuración se puede hacer local como remota. En este caso vamos a describirla situandose primero en la cabecera y luego en el extremo.[/FONT]

    [FONT=Arial, sans-serif]Situado entonces en la cabecera, ingrese a la página de administración del router.[/FONT]

    [FONT=Arial, sans-serif]En “VPN”, abra un nuevo túnel y coloquele un nombre cualquiera, por ejemplo “extremo-uno”.[/FONT]

    [FONT=Arial, sans-serif]Los parámetros a definir deben ser simétricos entre cabecera y extremo salvo por las direcciones que van invertidas.

    Local Secure Group: es el rango de direcciones locales que van a ser visibles en forma segura desde el extremo, coloque “Subnet” 192.168.4.0/255.255.255.0.
    [/FONT]

    [FONT=Arial, sans-serif]Remote Secure Group: es el rango de direcciones de la red del extremo, coloque ”Subnet” 192.168.2.0/255.255.255.0.[/FONT]

    [FONT=Arial, sans-serif]Remote Ssecurity Gateway: en la cabecera significa que este túnel acepta conexiones desde cuaqluier extremo, coloque “Any”.[/FONT]

    [FONT=Arial, sans-serif]Establezca key management en "Auto/IKE".[/FONT]

    [FONT=Arial, sans-serif]Establezca el secreto de seguridad compartido, por ejemplo “mivpn1234” o algo menos ingenuo en “Pre-shared secret” (recuerdelo porque va en el extremo).[/FONT]

    [FONT=Arial, sans-serif]Active PFS (perfect forward secrecy).

    Key lifietime: 3600.
    [/FONT]
    [FONT=Arial, sans-serif]Encripción y huella: 3DES/SHA1.[/FONT]

    [FONT=Arial, sans-serif]Guarde los cambios con “Apply”.[/FONT]

    [FONT=Arial, sans-serif]Verifique seleccionando el túnel que todo quedó bien almancenado.[/FONT]

    [FONT=Arial, sans-serif]Ya fue creado el túnel, ahora seleccionelo y configure luego en “Advanced” los parámetros de autentificación. Guarde simetría con el extremo. Son: Main Mode/3DES/SHA1/1024/14440 en ambas propuestas.[/FONT]

    [FONT=Arial, sans-serif]Otros parametros finales van en ENABLE: Netbios broadcast y keep alives.[/FONT]

    [FONT=Arial, sans-serif]Guarde los cambios con “Apply”.[/FONT]

    [FONT=Arial, sans-serif]Verifique que los cambios hayan sido introducidos.[/FONT]

    [FONT=Arial, sans-serif]Sitúese ahora en el extremo.[/FONT]

    [FONT=Arial, sans-serif]Abra un tunel y coloque el mismo nombre.[/FONT]

    [FONT=Arial, sans-serif]Estos son los tres parámetros que no guardan simetría[/FONT]
    [FONT=Arial, sans-serif]- Local Secure Grop: 192.168.2.0 (su red).[/FONT]
    [FONT=Arial, sans-serif]- Remote Secure Group: 192.168.4.0 (la cabecera).[/FONT]
    [FONT=Arial, sans-serif]- Remote Security Gateway: “FDQN” vpnhead.dynalias.org, o
    bien, si la cabecera tiene IP fija, entonces coloque esa IP.
    [/FONT]

    [FONT=Arial, sans-serif]Todo lo demas como en la cabecera, asegurando simetría. No olvide colocar los parametros avanzados y los finales. Una vez que esto esté revisado, haga [/FONT]

    [FONT=Arial, sans-serif]ping -a vpnhead.dynalias.org.[/FONT]

    [FONT=Arial, sans-serif]Si contesta, entonces en la página del túnel, seleccionelo y presione “Connect”.[/FONT]

    [FONT=Arial, sans-serif] Intente comprobar el túnel haciendo ping a la primer PC remota
    que es:
    [/FONT]

    [FONT=Arial, sans-serif]ping 192.168.4.2 ó ping 192.168.4.100[/FONT]

    [FONT=Arial, sans-serif]Luego por Internet Explorer, en “Mis sitios de red”, “Redes” explore para ver si obtiene los nombres de las PCs remotas.[/FONT]

    [FONT=Arial, sans-serif]En una PC del extremo, asigne una unidad de red G: en [/FONT] [FONT=Arial, sans-serif]\\192.168.4.2 [/FONT] [FONT=Arial, sans-serif]previamente deje el disco C de la primer PC de la cabecera como compartido.[/FONT]

    [FONT=Arial, sans-serif]Situado en la red de cabecera, haga ping 192.168.2.2 (ó 100/101) para comprobar que se ve el extremo de la VPN.[/FONT]

    [FONT=Arial, sans-serif]Recuerde que los equipos que desea ver fijos desde el extremo, deben tener IP fija en la cabecera.[/FONT]

    [FONT=Arial, sans-serif]Una forma cómoda de ver los servidores desde el extremo es creando accesos directos o unidades de red que reflejen los discos de la cabecera de la VPN.[/FONT]

    [FONT=Arial, sans-serif]Tanto en el extremo como en la cabecera, tenga un batch-file que le faclite diagnosticar el estado de cada uno de los puntos, a modo de ejemplo este es el status.bat situado en el extremo[/FONT]

    [FONT=Arial, sans-serif]@echo off[/FONT]
    [FONT=Arial, sans-serif]ifconfig /all # tengo IP ?[/FONT]
    [FONT=Arial, sans-serif]pause[/FONT]
    [FONT=Arial, sans-serif]ping 192.168.2.1 # contesta el router ?[/FONT]
    [FONT=Arial, sans-serif]ping 200.x.x.x # contesta el DNS[/FONT]
    [FONT=Arial, sans-serif]ping vpnhead.dynalis.org # contesta la cabecera[/FONT]
    [FONT=Arial, sans-serif]ping 192.168.4.1 # contesta el router de la cabecera[/FONT]
    [FONT=Arial, sans-serif]ping 192.168.4.2 # contesta el servidor en la cabecera
    [/FONT]

    [FONT=Arial, sans-serif]IV. Consejos finales.[/FONT]


    [FONT=Arial, sans-serif]Una vez que su VPN se estabilice, puede deshabilitar ICMP para que no lo pingueen extraños. No olivde de colocar eun secreto compartido que no sea ingenuo o fácil de advinar. No use por mucho tiempo el DDNS prestado, haga su cuenta y no divulgue el nombre fuera de las personas que tengan capacidad de administración de esta red.[/FONT]

    [FONT=Arial, sans-serif]El BEFVP41 responde bien hasta 4 túneles, a pesar que soporta 70. Para ir mas allá, consiga un RV082.[/FONT]

    [FONT=Arial, sans-serif]Siempre que pueda, suscriba una IP fija al menos para la cabecera. Con esto evita que los túheles reconecten ante el cambio de la IP dinámica en la cabecera.[/FONT]

    [FONT=Arial, sans-serif]Notas (para no clavarse):[/FONT]

    • [FONT=Arial, sans-serif]El WRT54G tiene IPSec passthru, lo que significa que para armar una VPN y establecer una PC interna como extremo, debe habilitarlo y previamente instalar y configurar in software VPN cliente genérico em esa PC.[/FONT]
    • [FONT=Arial, sans-serif]Si usa un cliente VPN Windows 2000 o XP sepa que este no reconoce a su cabecera por FQDN. Si precisara de un cliente VPN genérico que ande bien con todos los Linksys, la primer elección es SafeNet HA Remote y la segunda SSH Sentinel (no se soporta más pero aun se consigue).[/FONT]
    • [FONT=Arial, sans-serif]El WRV54G funciona tanto como extremo y cabecera ya a diferencua de los otros soporta autenticacuòn RADIUS.[/FONT]
    • [FONT=Arial, sans-serif]Si bien es factible usar ADSL en la cabecera de la VPN, es acomsejable tener IP fija o al menos CableModem.[/FONT]
    • [FONT=Arial, sans-serif]Los extremos de VPN que entren via ADSL, configureloos con redial period en 180 segundos o más.[/FONT]
    • [FONT=Arial, sans-serif]No le pida peras al olmo: BEFVP41 hasta 4 tuneles, en adelante RV082, mas de 16 vaya a un Cisco PIX 506E ó un 3000.[/FONT]
    • [FONT=Arial, sans-serif]Si tiene dudas, no dude en consultar, no se atasque en los vericuetos.[/FONT]
    • [FONT=Arial, sans-serif]El dilema de los modems de siempre: nuestras preferencias son: Cisco 677 (ADSL), Motorola (Cable) y SciAtl Webstar (Cable).[/FONT]


    [FONT=Arial, sans-serif]V. Literatura[/FONT]


    [FONT=Arial, sans-serif]Building and managing Virtual Private Networks
    Dave Kosiur, Wiley, 1998, ISBN 0-471-29526-4[/FONT]

    [FONT=Arial, sans-serif]IPsec: The new security standard for the Internet, Intranets, and VPNs.
    Naganand Doraswamy, Dan Harkins, Prentice Hall, 1999, ISBN 0-13-001-898-2[/FONT]


    [FONT=Arial, sans-serif]fuente[/FONT]
    [FONT=Arial, sans-serif]http://www.geocities.com/ccrosetti/vpn/index.html
    [/FONT]
     
Estado del tema:
Cerrado para nuevas respuestas

Compartir esta página