Como una niña con un juguete nuevo e inevitable impulso ya estoy haciendo las primeras configuraciones y una de las primeras ha sido la de la VPN.
Los dos protagonistas son un router draytek vigor 2800 y el 2710Vn.
Por un lado al 2800 con la siguiente configuración:
y por el otro el 2710Vn con la siguiente configuración:
Voy a explicar un poco las secciones de ambos.
En la primera sección, common settings, vamos a definir el nombre del perfil que encontramos dentro de VPN and Remote Access > LAN to LAN de ambos routers, Enable this profile, el call direction a both para permitir conexiones de la VPN en ambos lados con el dial que mostraré después de la configuración, si queriésemos que la conexión siempre estuviese establecida deberíamos pulsar el always on que lo unico que hace es mantener un ping entre ambos routers o ips de la red interna.
En la segunda sección, Dial-out settings, definiremos la configuración de llamada.
En ella configuraremos el tipo de conexión que nos encontraremos al otro lado, vamos a usar la misma configuración en ambos.
En este caso estamos creando una VPN sobre IPSec (si usásemos otro tipo de conexión como PPTP, podríamos definir el nombre de usuario y contraseña) usando una pre-shared key (que la definimos en un pop-up), el uso de una signatura digital, además de la seguridad del túnnel IPSec.
En la tercera sección, Dial-in settings, tendremos que configurar esta sección con la configuración que esperamos de las llamadas VPN. Si no definimos ninguna ip, permitiremos que cualquier que sepa nuestra configuración de la VPN pueda conectarse a nosotros.
Si vamos siguiendo los cuadros, podremos definir también un nombre de usuario y contraseña para las VPN sobre PPTP, por ejemplo).
Podremos definir también la Pre-Shared key, la signatura digital y los métodos de seguridad de IPSec para encriptar un poquito el asuntillo.
Finalmente en la cuarta sección, TCP/IP Network Settings, definimos la configuración ip que esperamos de la red que se nos conectará a nosotros.
En las imágenes estamos usando las redes privadas 192.168.1.0/24 y 192.168.2.0/24, con la mascara de subred 255.255.255.0, pero podríamos abrir el abanico de subredes permitidas poniendo como redes privadas 192.168.0.0/32 usando como mascara de subred 255.255.0.0 y así succesivamente.
En RIP direction definimos que sea de ambos lados, además si queremos que todo el tráfico de la red saliente pase por el tunnel VPN creado, idóneo para centrar toda la información de las redes a una misma ubicación, altamente no recomendable a menos que tengas un buen tubo de salida a internet.
Una vez configurados ambos routers deberemos crear el túnnel VPN entre ambos routers, simplemente bastará en ir a VPN and Remote Access>Connection Management, en dial-out tool vamos a seleccionar la VPN que queremos conectar y pulsaremos al botón dial.
En unos segundos en la sección de abajo, VPN connection status, podremos ver como se conecta la VPN.
Si nos fijamos en el color de la conexión podremos ver si esta está cifrada o no, en la imagen ahora mismo la conexión no está cifrada, porque he definido una seguridad de IPSec media, si definiésemos una High (ESP) la conexión saldría de color verde, también implicaría que la conexión sería mas lenta, por ahí está servido el dilema ¿mas seguridad o mas velocidad?
Ahora para poder interactuar entre los distintos ordenadores de la red, será preciso crear las rutas pertinentes en los servidores y estaciones de trabajo con las que tenemos que interactuar.
Para los equipos de la red 192.168.2.0/24 tenemos que definir esto:
# route add -net 192.168.1.0 netmask 255.255.255.0 gateway 192.168.2.1
y para los equipos que tenemos en la red 192.168.1.0/24 esto:
# route add -net 192.168.2.0 netmask 255.255.255.0 gateway 192.168.1.1
siendo el gateway el router que tiene la VPN creada.
Luego un ping entre equipos de una red y otra (con las rutas configuradas) podrán transmitirse los paquetes, o incluso conectarte por vnc o ssh a alguno de los servidores.
Condisdero que tu sitio contiene informaicon de mucha utilidad gracias..
Las referencias que haces son excelentes, aun cuand no se utilice la misma tecnologia.
En micaso uso un router cisco 2610.
Gracias…
ChoKer ; )
La informacion esta demasiodo buena, estoy configurando un Draytek 2710Vn y me resulta de mucha utilidad. Gracias.
Hola buen dia solo para preguntar que si es nesesario tener una ip fija o como le hace el vigor para encontrar al otro en la red?
saludos..
puedes usar una ip dinámica, pero cuenta que cuando esta se cambie va a haber un pequeño lapso de tiempo que se va a cortar la conexión.
Saludos … yo pude crear la vpn con exito pero a la hora de buscar los equipos no los puedo ver, me falta el paso de crear las rutas podrias ampliar mas el detalle_?
Hola buenos dias, tal vez me puedas ayudar, tengo en algunas oficinas routers Draytek Vigor 2912, la configuracion de las VPN lan to lan estan en modo Both, tiene configurado el pre shared key, la wan del router es una ip publica que me dio un ISP. Mi pregunta es la siguiente quiero saber que debo configurar para que la VPN no se caiga ya que estoy detectando que a veces la misma se cae, pero la ip publica sigue funcionando, es decir no hubo perdidas de paquetes, si me podes dar una mano para poder atacar el tema, te lo agradezco.
te recomiendo que pruebes mikrotik ;)