tÚnel vpn entre trendnet y linksys

5/13/2018 T NEL VPN ENTRE TRENDnet y LINKSYS - slidepdf.com

http://slidepdf.com/reader/full/tunel-vpn-entre-trendnet-y-linksys 1/23

TÚNEL VPN ENTRETRENDnet y LINKSYS



Realiza: Nahum Juan Nolasco

OBJETIVO

Configuración de routers de marcas TRENDnet y LINKSYS para la creación de untúnel VPN para la aplicación de Telefonía IP.



ÍNDICE TEMÁTICO

1. MARCO TEÓRICO

Tipos de VPN

Funcionamiento de la VPN tipo TUNNELING

Descripción de Equipos

2. CONFIGURACIÓN DE EQUIPOS

3. CONFIGURACIÓN DE ROUTER A (TRENDnet)

4. CONFIGURACIÓN DE ROUTER LINKSYS

5. PRUEBA DE CONEXIÓN DE TÚNEL VPN

6. OBSERVACIONES



MARCO TEÓRICO

VPN (VIRTUAL PRIVATE NETWORK)

Red privada virtual o tecnología de red que permite una extensión de la redlocal sobre una red pública. En otras palabras no es más que una estructura dered corporativa implantada sobre una red de recursos de carácter público (en estecaso el internet), pero que utiliza el mismo sistema de gestión y las mismaspolíticas de acceso que se usan en las redes privadas, al fin y al cabo no es másque la creación en una red pública de un entorno de carácter confidencial yprivado que permitirá trabajar al usuario como si estuviera en su misma red local.

TIPOS DE VPNExisten varios tipos de VPN

TUNNELINGConsiste en encapsular crear un túnel dentro de una red de computadoras.El establecimiento de dicho túnel se implementa incluyendo una PDU(información intercambiada entre entidades) determinada dentro de otraPDU con el objetivo de transmitirla desde un extremo al otro del túnel sin

que sea necesaria una interpretación intermedia de la PDU encapsulada.

VPN sitio-a-sitioEste esquema se utiliza para conectar oficinas remotas con la sede centralde organización. El equipo central VPN, que posee un vinculo a Internetpermanente, acepta las conexiones vía Internet provenientes de los sitios yestablece el "túnel" VPN. Los servidores de las sucursales se conectan aInternet utilizando los servicios de su proveedor local de Internet,típicamente mediante conexiones de banda ancha.

VPN de acceso remotoSe trata de comunicaciones donde los usuarios se conectan con la empresadesde sitios remotos (oficinas comerciales, casas, hoteles, etc.) utilizandoInternet como medio de acceso. Una vez autenticados tienen un nivel deacceso muy similar al que tienen en la red local de la empresa.

http://es.wikipedia.org/wiki/Red_de_computadoras

http://es.wikipedia.org/wiki/Red_local





http://es.wikipedia.org/wiki/Red_de_computadoras



VPN Interna Una aplicación realmente desconocida pero muy útil y potente consiste enestablecer redes privadas virtuales dentro de una misma red local. Es unavariante del tipo "acceso remoto" pero, en vez de utilizar Internet como

medio de conexión, emplea la misma red de área local (LAN) de laempresa. Sirve para aislar zonas y servicios de la red interna.

Funcionamiento de la VPN tipo TUNNELING

La tecnología de túneles (Tunneling) es un modo de envío de datos en el que seencapsula un tipo de paquetes de datos dentro del paquete de datos propio dealgún protocolo de comunicaciones, y al llegar a su destino, el paquete original esdesempaquetado volviendo así a su estado original.

En el traslado a través de Internet, los paquetes viajan encriptados, por este

motivo, las técnicas de autenticación son esenciales para el correctofuncionamiento de las VPN’s, ya que se aseguran a emisor y receptor que estánintercambiando información con el usuario o dispositivo correcto.

La autenticación se realiza normalmente al inicio de una sesión, y luego,aleatoriamente, durante el transcurso de la sesión, para asegurar que no hayaalgún tercer participante que se haya podido entrometer en la conversación.

Todas las VPN’s usan algún tipo de tecnología de encriptación, que empaquetalos datos en un paquete seguro para su envío por la red pública.

La encriptación hay que considerarla tan esencial como la autenticación, ya quepermite proteger los datos transportados de poder ser vistos y entendidos en elviaje de un extremo a otro de la conexión.

Existen dos tipos de técnicas de encriptación que se usan en lasVPN: Encriptación de clave secreta, o privada, y Encriptación de clavepública.

En la encriptación con clave secreta se utiliza una contraseña secreta conocida

por todos los participantes que van a hacer uso de la información encriptado. Lacontraseña se utiliza tanto para encriptar como para desencriptar la información.

La encriptación de clave pública implica la utilización de dos claves, una públicay una secreta. La primera es enviada a los demás participantes. Al encriptar, seusa la clave privada propia y la clave pública del otro participante de laconversación. La gran desventaja de este tipo de encriptación es que resulta sermás lenta que la de clave secreta.

http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_local

http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_local



DESCRIPCIÓN DE EQUIPOS.

ROUTER TRENDNET

Modelo: TW100-BRV324

Acceso VPN (red privada virtual) parahasta 70 usuarios remotos.

Tiene acceso a recursos de la red local demanera remota a través de conexiones 70IPSec o 10 Microsoft-VPN. El SPIavanzado, NAT y la encriptación firewallTraversal NAT protegen contra ataques enInternet.

ROUTER LINKSYS

Modelo: BEFVP41

Completas prestaciones de Red virtualprivada (VPN) IPSec

Emplea algoritmos de autenticación MD5 ySHA

Emplea gestión de claves IKE Coprocesador interno de seguridad del

hardware



CONFIGURACIÓN DE EQUIPOS

El tipo de VPN el cual se va a establecer es del tipo TUNNELING debido al tipode aplicación para lo cual se utilizara la red, ya que la conexión que se estableceserá desde una terminal IP (Teléfono IP) a otra terminal IP.

A continuación se muestra el diagrama de la conexión:

En este caso las conexiones se probaran mediante PC, y mediante teléfonos IP’sAVAYA,

Terminal IP Avaya 5610



Antes de empezar la configuración de los respectivos routers, se necesita obtenerlas direcciones IP’s redes las cuales se desean conectar mediante el túnel VPN.La información necesaria para la configuración de los routers es la siguiente:

1. Dirección IP de la red local de cada red, tanto A como B.

2. Dirección IP de red de internet o IP pública de cada red tanto A como B.

Estas direcciones se pueden consultar en cada router en la sección de statussiempre y cuando el router este en modo bridge con el modem del ISP, pero paraestar seguros de la IP pública, en caso de no conocer la configuración de nuestrorouter, resulta más factible consultar la IP mediante cualquier página de internetque ofrece servicios de ese tipo, solamente habrá que poner en el buscador midirección IP pública y escoger cualquiera de las opciones que aparece.

O se puede consultar mediante internet.



Ahora consultamos las IP’s locales de cada red.

Cada uno de estos datos los anotamos en una lista

.

Router A (TRENDnet) Router B (LINKSYS)

IP WAN IP LAN IP WAN IP LAN

187.133.57.147 192.168.20.1 187.133.54.174 192.168.30.2



CONFIGURACIÓN DE ROUTER A (TRENDnet)

1.- Accedemos a la interfaz grafica de configuración del router TRENDnet connuestro login y password.

2.- Una vez dentro de la interfaz seleccionamos la opción IPSec, y damos click enAdd New policy la cual abrirá una nueva ventana.

IPSec: IPSec (Internet Protocol security) es un conjunto de protocolos cuyafunción es asegurar las comunicaciones sobre el Protocolo deInternet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

http://es.wikipedia.org/wiki/Protocolo_de_Internet


http://es.wikipedia.org/wiki/Autenticar

http://es.wikipedia.org/wiki/Criptograf%C3%ADa

http://es.wikipedia.org/wiki/Paquete_de_datos

http://es.wikipedia.org/wiki/Paquete_de_datos

http://es.wikipedia.org/wiki/Criptograf%C3%ADa

http://es.wikipedia.org/wiki/Autenticar






Ventana de Add New Policy 3.- Ahora procedemos a configurar la nueva Policy asignándole un nombre yactivándola.

La parte de NetBIOS Transmission lo dejamos sin habilitar debido a que noqueremos que el tráfico NetBIOS que se transferidos a través del túnelVPN. NetBIOS es utilizado por Microsoft (Windows) en red. Este ajuste no debeser habilitado a menos necesario, ya que aumenta el volumen de tráfico.



4.- En la parte de Bundle WAN Port si nuestra red cuenta con dos líneas o dosRedes WAN seleccionamos la red por la cual saldremos a la red de internet al otroextremo de la VPN.

5.- Ahora ingresamos en Remote VPN la IP pública del otro extremo de la VPNen este caso el router B. En este caso nuestra IP es estática.

• IP dinámica. Seleccione esta opción si la dirección IP de Internet esdesconocida.En este caso, sólo son posibles las conexiones entrantes.

• IP Fija. Seleccione esta opción si el extremo remoto tiene un Internet fijodirección IP. Si es seleccionado, escriba la dirección IP de Internet del mando adistanciapunto final.

• Nombre de Dominio. Seleccione esta opción si el extremo remoto tiene undominioEl nombre asociado a él. Si es seleccionado, introduzca el nombre del dominiodel extremo remoto.

6.- Seleccionamos las IP’s de nuestra red local las cuales podrán tener acceso altúnel VPN .En este caso seleccionamos subnet ya que solo le daremos acceso alos que se encuentren en la subred 192.168.20.0.

Any: Todas las IP’s. Single Address: Una IP en especifico. Range Address: un rango de IP’s en especifico. Subnet: Solo tendrán acceso la subred que especifiquemos.



7.- Seleccionamos las IP’s de la red remota en este caso la red del router B, lascuales podrán tener acceso a este túnel VPN. De la misma forma que en las IP’sde red local.

8.- Ahora configuramos la parte de seguridad de la VPN Authentication andEncryption.

Esta parte es muy importante para que funcione correctamente nuestra VPN, yaque los parámetros que configuremos en este router, serán los mismos para el

router del otro extremo de la VPNAH Authentication: especifica el protocolo de autenticación para la cabecera deVPN (AH es a menudo no se utiliza). Este proceso restringe la posibilidad deemplear NAT(es un mecanismo utilizado por routers IP para intercambiar paquetesentre dos redes que se asignan mutuamente direcciones incompatibles). En elcaso del TRENDnet solo permite un método de autentificación.

ESP Encryption: Proporciona seguridad para los datos enviados a través deltúnel VPN.

El algoritmo 3DES proporciona mayor seguridad que DES, pero esmás lento. Si utiliza AES, debe seleccionar el tamaño de clave. Si se utiliza DES o

3DES, este campo es ignorado.

http://es.wikipedia.org/wiki/NAT

http://es.wikipedia.org/wiki/Router

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP

http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP

http://es.wikipedia.org/wiki/Router

http://es.wikipedia.org/wiki/NAT



La parte de Manual Key Exchange es para la configuración manual de claves deautentificación y encriptación, cabe aclarar que si se utiliza esta opción, las clavesque sean asignadas en este router serán las mismas que para el router B.

9.- Ahora pasamos a configurar la parte IKE (Internet Key Exchange). En la parte dedirección se muestran las siguientes opciones:

Initiator - Sólo las conexiones de salida será creado. Entrantes los intentosde conexión se rechazarán.

Responder - Sólo las conexiones entrantes serán aceptadas. Tráficosaliente que de otro modo daría lugar a una conexión se tendrá en cuenta.

Both directions - Tanto las conexiones entrantes y salientes se admiten.

Escogemos la opción de Both Directions, debido a que en el túnel tendremos tantoconexiones entrantes como salientes.

10.- Configuramos las opciones siguientes, Este valor debe coincidir en el VPNremoto. Seleccione la opción deseada e introduzca los datos requeridos.

Dirección IP WAN - Este es el método más común. Si seleccionada, no serequiere de entrada de IP’s debido a que los detecta en forma automática.

Domain Name - introduzca el nombre de dominio asignada a este dispositivo.Nombre completo del usuario - El nombre no tiene una válida de nombres dedominio de Internet. Las direcciones de correo electrónico se utilizan a menudopara esta entrada.

DER ANS.1 DN - Debe ser una DER ANS.1 de nombres de dominio.



Seleccionamos la primera opción.

11.- Seleccionamos la opción de autentificación de nuestro túnel VPN en estecaso tenemos dos opciones:

Firma RSA requiere que ambos extremos de VPN tengan certificados válidos expedidospor una CA (Autoridad de Certificación).

Para Clave compartida, introduzca el mismo valor clave en ambos extremos. Laclave debe tener al menos 8 caracteres (el máximo es 128 caracteres). Tenga encuenta que esta clave se utiliza para las SA de IKE solamente. Las teclasutilizadas para la SA IPsec se generan automáticamente.

En esta configuración seleccionamos la opción de clave compartida y leasignamos a ambos routers el siguiente valor 1234567890.

Seleccionamos el algoritmo de autentificación que será el MD5.

MD5 es un algoritmo de reducción criptográfico que se utiliza para encriptar lacontraseña que nos debe ser enviada. Así se realiza el envío de forma mássegura.

SHA-1 es un algoritmo criptográfico para autentificación de mensajes ocontraseñas, esta es más poderosa o fuerte que el MD5, pero al tener más pasos

resulta ser más lenta.



12.- Escogemos el modo de encriptación en este caso escogeremos el DES, teneren cuenta de escoger el mismo modo en el otro extremo de la VPN.

• El algoritmo 3DES proporciona mayor seguridad que DES, pero es más lento.

• Si utiliza AES, debe seleccionar el algoritmo de autenticación. Si utilizando DESo 3DES, este campo es ignorado.

DES método de encriptación de 64 bits, Data Encryption Standard (DES), losdatos se cifran en bloques de 64 bits utilizando una clave de 56 bits.

3DES es el método DES aplicado 3 veces para mayor seguridad.

Seleccionamos el tipo de protección de identidad.

• MAIN MODE ofrece protección de identidad para los anfitriones de iniciar lasesión de IPSec, pero tarda más en completarse.

• AGGRESSIVE MODE no ofrece protección de identidad, pero es más rápido

13.- Seleccionamos el tiempo que se desea mantener la conexión de VPN, estapuede ser arbitrario, pero asegurarse que se mantenga en el otro extremo de laVPN.

14.- Seleccionamos el grupo DH, en este caso seleccionamos el grupo 1,asegurarse que en el otro extremo sea el mismo.



15.- En la opción IKE PFS depende de la configuración que se escoja asegurarsede que en el otro extremo sea el mismo, en este caso elegimos la desactivamos.

16.- En la última opción escogemos ninguno.

Ahora damos click en salvar

CONFIGURACIÓN DE ROUTER LINKSYS

Ahora pasamos a la configuración de router B LINKSYS, la configuración es muyparecida a la del router anterior.

Tener presente todos los parámetros configurados en el router A, ya que seránutilizados para este.

Ya contamos con los datos de IP’s de este router B, de acuerdo a la tabla in icial,ahora procedemos a configurar los parámetros del router.

1.- Abrimos la interfaz del router,

Vamos en la parte de security y escogemos VPN



Ahora procederemos a rellenar los campos, en su mayoría con los datos queutilizamos en el router A.

1.- Seleccionamos un número de túnel, esto es en caso de que ya se tenganconfigurado varios túneles en el router, lo activamos y le asignamos el nombre, eneste caso SDT que fue el que le asignamos en el otro extremo.



2.- Ahora, de manera muy similar al router A, asignamos las IP’s, tanto local como

remota, que podrán tener acceso al túnel VPN.

3.- Ingresamos la IP remota o publica del router remoto A.

4.- En la sección Key Management escogemos la forma automática de clavesIKE y desactivamos el PFS, debido a que en el router A fue asignado de esaforma. Asignamos la clave que usamos en el router A: 1234567890, y el tiempoque fue de 28800.



5.- Ahora escogemos la opción Advanced Setting:

6.- Rellenamos los campos desacuerdo de manera similar a como configuramos elrouter A. Así como se muestra en la figura siguiente.

La parte última de Other Setting se deja sin configuración.

Damos click en Save Settings.



Retornamos a la ventana anterior y damos click Save Settings.

PRUEBA DE CONEXIÓN DE TÚNEL VPN

Ahora pasamos a probar el TÚNEL VPN.

1.- Verificamos que ambos equipos (A y B) estén conectados a internet.

2.- Ya que estén ambos conectados a internet, activamos el túnel en cada

router:EN TRENDnet

Vamos a la ventana de VPNIPsec y damos click en Enable/Disable yverificamos que el estado este en on



EN LINKSYS

Damos click en connect y verificamos que el estado cambie a conectado:

OBSERVACIONES

Es de suma importancia que para verificar si existe conexión entre ambosextremos del túnel, en los equipos que se realice la prueba, tengan desactivado elFirewall.

Ahora conectamos equipos en ambos lados de la red, ya sea PC’s o equipo

telefónico IP. Para probar de que exista conexión en el caso de que sean PC’s,

debe de haber ping entre cada máquina en cada extremo del TÚNEL, esto sepuede verificar mediante comando MS-DOS.

En caso de TRENDnet en la interfaz yéndonos a la opción administration y luegoa Diagnostics en la parte superior derecha podemos ingresar la IP del equipodestino del otro extremo del túnel con el cual queremos realizar la prueba, ydamos click en ping, y nos mostrara si es exitoso la prueba o no.



Si la configuración en ambos routers fue de acuerdo a los pasos indicados, el pingentre ambas maquinas será exitosa, y con esto verificamos el funcionamiento del

TUNNEL VPN.

También se puede realizar la prueba mediante dos Terminales telefónicas IP’s en

cada extremo del túnel y realizar llamadas entre una y otra.

En caso de fallas o error de conexiones revisar:

Configuración en cada router. Verificar que los equipos tengan desactivado del Firewall. En caso de que la red local este segmentada por conmutadores u otro

equipo IP, verificar la configuración de la misma para que permita laconexión entrante y saliente a los equipos que pertenezcan a su dominio.

tÚnel vpn entre trendnet y linksys

Documents