Professional Documents
Culture Documents
Atención: si usted es una persona experimentada y ya tiene los dos ruteadores bien
conectados a Internet saltee toda esta explicación y vaya directo a la sinopsis.
Queremos en cierta medida lograr que superen ese miedo y estimular las ventas. El interesado
debe poseer conocimientos de redes e Internet y tener bien claras las prestaciones, ventajas y
desventajas de poseer y llevar adelante un proyecto de VPN y el impacto en las aplicaciones.
Con todos los elementos en orden, el procedimiento llevará entre 45 y 90 minutos. Nuestro
personal técnico brinda coaching previo y soporte a las instalaciones usando este documento como
base y el manual del BEFVP41. Es imprescindible contar con los manuales de los modems
respectivos. Asimismo, se asume que en los sitios a unir con VPN hay conexiones de banda ancha
operativas y no hay obstáculos como firewalls o políticas de seguridad que impidan tráfico ICMP,
UDP/500, TCP y HTTP.
Damos a conocer que si Usted es capaz de poner ambos (o más) extremos operativos (esto es una
LAN conectada a Internet con un router Linksys, si Usted libera el puerto 8080 de administración
remota y nos suministra las respectivas WAN IPs, luego nosotros podemos configurar la VPN
remotamente para Usted, de modo que tenga el primer “feeling” positivo.
Elementos
Segundamente se explica como establecer una VPN entre dos sitios (site-to-site VPN) usando
routers Linksys por banda ancha con IP dinámica. En el nodo central, cabecera, debe existir una
LAN y una conexión a Internet por banda ancha.
Esta LAN está definida por un router Linksys BEFVP41, que incluye un switch de 4 puertos. Con un
cable UTP-5 plano se conecta el router al modem ADSL o cable modem. Si va a extender esta LAN
agregando un switch, observe que sea de 100mbps y si tiene puerto uplink, conectelo a este
puerto.
En caso de poseer cable-modem de Fiberfel o Telecentro, el router deberá configurarse para tomar
la IP dinámica via DHCP. En caso de poseer ADSL de alguna telefónica (Arnet o Speedy) o alguno
de sus dealers (Ciudad, Datamarkets, Netizen), establecer la conexión PPPoE como antes estaba
estipulada para la PC. Puede suceder que el modem ADSL tenga función de router y no admita
PPPoE, en este caso configure el modem para que le otorgue una IP fija y luego establezca en el
router esa IP como dirección WAN.
Si dispone de IP fija, mejor entonces, coloque la IP fija que ya le dio el ISP y compruebe que
funcione.
Conecte al menos una PC en este router (en algunos de los puertos del switch). Es indispensable
saber de antemano que PCs van a ser accedidas desde el extremo de la VPN. Puede conectar el
switch de su LAN. Al menos tenga una PC con IP fija (dentro de la subred 192.168.x.x) para poder
hacer pruebas de conectividad desde el extremo. Si va a usar NO-IP.com, en esta PC instale y
configure el programa IP updater.
Establezca la dirección del router como 192.168.4.1. Asigne mas tarde las IP internas de sus
servidores en el rango 2/99.
Comparta al disco de esta PC para mas tarde probar su acceso desde el túnel.
IMPORTANTE: esta LAN IP es la que verá su extremo, de modo que cuando se situe en el
extremo para hacer pruebas, recuerde que esta LAN es virtual y visible cuando el tunel esté
funcionando.
Habilite el puerto de administración remota 8080 y coloque un password que no sea “admin” al
usuario de administración.
Habilite ICMP con “Block WAN Request” en DISABLE, de modo que esto no impida hacerle PING
desde afuera al router.
Resetee físicamente el modem, luego el router y asegúrese que todo funciona correctamente.
Abra una cuenta DDNS en www.dyndns.org, elija un nombre para su cabecera, por ejemplo
vpnhead.dynalias.org, y configure luego el router, en la página de administración de DDNS,con
este nombre.
Verifique desde una PC conectada al router y luego repita lo mismo desde una PC en otra red (por
ejemplo desde un cyber) lo siguiente:
ping –a vpnhead.dynalias.org
El resultado debe contener la dirección IP actual del router y un reporte positivo y sus respectivos
tiempos de respuesta. Llamese contento si logra un promedio de 30msec en ADSL de las
telefónicas.
Verifique que desde una PC conectada a esta red pueda navegar en Internet. Con esto comprueba
que el DHCP esta entregando DNS correctamente a los clientes de la red interna.
Verifique que consigue pingear a los servidores DNS:
ping –a 200.x.x.x
ping www.sun.com
Ping www.yahoo.es
La WAN IP podría variar. El router se ocupa de actualizarla cada vez que expira la dirección y toma
una nueva. Puede existir un de la de 5 a 10 minutos entre que el DDNS actualizó su entrada en
DNS hasta que se propagó el cambio en el DNS local.
ping –a vpnhead.dynalias.org
Sitúese en el sitio remoto que llamaremos tanto remoto como extremo. Para cada extremo de la
VPN designe una subred, en el espacio 192.168.x.x, distinta de 1.x, 255.x y 4.x (la subred 4 es en
este caso la cabecera).
Vamos a usar como ejemplo la 192.168.2.0/.255.255.255.0 (la subred dos).El prefijo 192.168.x no
esta librado al azar.
En este punto tiene que entenderse claramente que, situado en el extremo, la red VPN le va a dar
acceso virtual a la subred en la cabecera como 192.168.4.x y desde la cabecera los extremos van
a ser 192.168.x.x, en este caso 192.168.2.x
http://vpnhead.dynalias.org:8080
Si pudo hacerlo sin problemas, entonces está todo listo para establecer el túnel.
La configuración se puede hacer local como remota. En este caso vamos a describirla situandose
primero en la cabecera y luego en el extremo.
En “VPN”, abra un nuevo túnel y coloquele un nombre cualquiera, por ejemplo “extremo-uno”.
Los parámetros a definir deben ser simétricos entre cabecera y extremo salvo por las direcciones
que van invertidas.
Local Secure Group: es el rango de direcciones locales que van a ser visibles en forma segura
desde el extremo, coloque “Subnet” 192.168.4.0/255.255.255.0.
Remote Secure Group: es el rango de direcciones de la red del extremo, coloque ”Subnet”
192.168.2.0/255.255.255.0.
Remote Ssecurity Gateway: en la cabecera significa que este túnel acepta conexiones desde
cuaqluier extremo, coloque “Any”.
Establezca el secreto de seguridad compartido, por ejemplo “mivpn1234” o algo menos ingenuo en
“Pre-shared secret” (recuerdelo porque va en el extremo).
Ya fue creado el túnel, ahora seleccionelo y configure luego en “Advanced” los parámetros de
autentificación. Guarde simetría con el extremo. Son: Main Mode/3DES/SHA1/1024/14440 en
ambas propuestas.
Todo lo demas como en la cabecera, asegurando simetría. No olvide colocar los parametros
avanzados y los finales. Una vez que esto esté revisado, haga
ping -a vpnhead.dynalias.org.
Luego por Internet Explorer, en “Mis sitios de red”, “Redes” explore para ver si obtiene los nombres
de las PCs remotas.
En una PC del extremo, asigne una unidad de red G: en \\192.168.4.2 previamente deje el disco C
de la primer PC de la cabecera como compartido.
Situado en la red de cabecera, haga ping 192.168.2.2 (ó 100/101) para comprobar que se ve el
extremo de la VPN.
Recuerde que los equipos que desea ver fijos desde el extremo, deben tener IP fija en la cabecera.
Una forma cómoda de ver los servidores desde el extremo es creando accesos directos o unidades
de red que reflejen los discos de la cabecera de la VPN.
Tanto en el extremo como en la cabecera, tenga un batch-file que le faclite diagnosticar el estado
de cada uno de los puntos, a modo de ejemplo este es el status.bat situado en el extremo
@echo off
ifconfig /all # tengo IP ?
pause
ping 192.168.2.1 # contesta el router ?
ping 200.x.x.x # contesta el DNS
ping vpnhead.dynalis.org # contesta la cabecera
ping 192.168.4.1 # contesta el router de la cabecera
ping 192.168.4.2 # contesta el servidor en la cabecera
Una vez que su VPN se estabilice, puede deshabilitar ICMP para que no lo pingueen extraños. No
olivde de colocar eun secreto compartido que no sea ingenuo o fácil de advinar. No use por mucho
tiempo el DDNS prestado, haga su cuenta y no divulgue el nombre fuera de las personas que
tengan capacidad de administración de esta red.
El BEFVP41 responde bien hasta 4 túneles, a pesar que soporta 70. Para ir mas allá, consiga un
RV082.
Siempre que pueda, suscriba una IP fija al menos para la cabecera. Con esto evita que los túheles
reconecten ante el cambio de la IP dinámica en la cabecera.