TÚNEL VPN ENTRE TRENDnet y LINKSYS

Realiza: Nahum Juan Nolasco

OBJETIVO Configuración de routers de marcas TRENDnet y LINKSYS para la creación de un túnel VPN para la aplicación de Telefonía IP.

PRUEBA DE CONEXIÓN DE TÚNEL VPN 6. CONFIGURACIÓN DE ROUTER A (TRENDnet) 4.ÍNDICE TEMÁTICO 1. OBSERVACIONES . CONFIGURACIÓN DE EQUIPOS 3. CONFIGURACIÓN DE ROUTER LINKSYS 5. MARCO TEÓRICO    Tipos de VPN Funcionamiento de la VPN tipo TUNNELING Descripción de Equipos 2.

Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet. VPN sitio-a-sitio Este esquema se utiliza para conectar oficinas remotas con la sede central de organización.) utilizando Internet como medio de acceso.   . al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local.MARCO TEÓRICO VPN (VIRTUAL PRIVATE NETWORK) Red privada virtual o tecnología de red que permite una extensión de la red local sobre una red pública. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. VPN de acceso remoto Se trata de comunicaciones donde los usuarios se conectan con la empresa desde sitios remotos (oficinas comerciales. típicamente mediante conexiones de banda ancha. etc. pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas. casas. En otras palabras no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público (en este caso el internet). El equipo central VPN. El establecimiento de dicho túnel se implementa incluyendo una PDU (información intercambiada entre entidades) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. TIPOS DE VPN Existen varios tipos de VPN  TUNNELING Consiste en encapsular crear un túnel dentro de una red de computadoras. hoteles. que posee un vinculo a Internet permanente. acepta las conexiones vía Internet provenientes de los sitios y establece el "túnel" VPN.

durante el transcurso de la sesión. y luego. y Encriptación de clave pública. Funcionamiento de la VPN tipo TUNNELING La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se encapsula un tipo de paquetes de datos dentro del paquete de datos propio de algún protocolo de comunicaciones. o privada. y al llegar a su destino. En la encriptación con clave secreta se utiliza una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptado. aleatoriamente. VPN Interna Una aplicación realmente desconocida pero muy útil y potente consiste en establecer redes privadas virtuales dentro de una misma red local. Al encriptar. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta. La autenticación se realiza normalmente al inicio de una sesión. por este motivo. una pública y una secreta. ya que permite proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. Existen dos tipos de técnicas de encriptación que se usan en las VPN: Encriptación de clave secreta. La encriptación de clave pública implica la utilización de dos claves. La contraseña se utiliza tanto para encriptar como para desencriptar la información. las técnicas de autenticación son esenciales para el correcto funcionamiento de las VPN’s. ya que se aseguran a emisor y receptor que están intercambiando información con el usuario o dispositivo correcto. La encriptación hay que considerarla tan esencial como la autenticación. se usa la clave privada propia y la clave pública del otro participante de la conversación. para asegurar que no haya algún tercer participante que se haya podido entrometer en la conversación. Sirve para aislar zonas y servicios de la red interna. . los paquetes viajan encriptados. emplea la misma red de área local (LAN) de la empresa. Es una variante del tipo "acceso remoto" pero. el paquete original es desempaquetado volviendo así a su estado original. La primera es enviada a los demás participantes. En el traslado a través de Internet. en vez de utilizar Internet como medio de conexión. Todas las VPN’s usan algún tipo de tecnología de encriptación. que empaqueta los datos en un paquete seguro para su envío por la red pública.

ROUTER TRENDNET Modelo: TW100-BRV324   Acceso VPN (red privada virtual) para hasta 70 usuarios remotos. El SPI avanzado. NAT y la encriptación firewall Traversal NAT protegen contra ataques en Internet. Tiene acceso a recursos de la red local de manera remota a través de conexiones 70 IPSec o 10 Microsoft-VPN.DESCRIPCIÓN DE EQUIPOS. ROUTER LINKSYS Modelo: BEFVP41     Completas prestaciones de Red virtual privada (VPN) IPSec Emplea algoritmos de autenticación MD5 y SHA Emplea gestión de claves IKE Coprocesador interno de seguridad del hardware .

Terminal IP Avaya 5610 . ya que la conexión que se establece será desde una terminal IP (Teléfono IP) a otra terminal IP.CONFIGURACIÓN DE EQUIPOS El tipo de VPN el cual se va a establecer es del tipo TUNNELING debido al tipo de aplicación para lo cual se utilizara la red. A continuación se muestra el diagrama de la conexión: En este caso las conexiones se probaran mediante PC. y mediante teléfonos IP’s AVAYA.

La información necesaria para la configuración de los routers es la siguiente: 1. Dirección IP de la red local de cada red. tanto A como B. O se puede consultar mediante internet. se necesita obtener las direcciones IP’s redes las cuales se desean conectar mediante el túnel VPN.Antes de empezar la configuración de los respectivos routers. resulta más factible consultar la IP mediante cualquier página de internet que ofrece servicios de ese tipo. Dirección IP de red de internet o IP pública de cada red tanto A como B. . Estas direcciones se pueden consultar en cada router en la sección de status siempre y cuando el router este en modo bridge con el modem del ISP. solamente habrá que poner en el buscador mi dirección IP pública y escoger cualquiera de las opciones que aparece. en caso de no conocer la configuración de nuestro router. 2. pero para estar seguros de la IP pública.

30.1 Router B (LINKSYS) IP WAN 187.133. Router A (TRENDnet) IP WAN 187.54.2 .168.20.133.174 IP LAN 192.57.168.Ahora consultamos las IP’s locales de cada red. Cada uno de estos datos los anotamos en una lista .147 IP LAN 192.

y damos click en Add New policy la cual abrirá una nueva ventana. 2..Accedemos a la interfaz grafica de configuración del router TRENDnet con nuestro login y password. IPSec: IPSec (Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.CONFIGURACIÓN DE ROUTER A (TRENDnet) 1..Una vez dentro de la interfaz seleccionamos la opción IPSec. .

.Ahora procedemos a configurar la nueva Policy asignándole un nombre y activándola. Este ajuste no debe ser habilitado a menos necesario. NetBIOS es utilizado por Microsoft (Windows) en red. ya que aumenta el volumen de tráfico.Ventana de Add New Policy 3. . La parte de NetBIOS Transmission lo dejamos sin habilitar debido a que no queremos que el tráfico NetBIOS que se transferidos a través del túnel VPN.

En este caso seleccionamos subnet ya que solo le daremos acceso a los que se encuentren en la subred 192. En este caso nuestra IP es estática. Si es seleccionado. • Nombre de Dominio.     Any: Todas las IP’s. • IP Fija. introduzca el nombre del dominio del extremo remoto.20. sólo son posibles las conexiones entrantes. • IP dinámica. Subnet: Solo tendrán acceso la subred que especifiquemos.0.Seleccionamos las IP’s de nuestra red local las cuales podrán tener acceso al túnel VPN . 5. escriba la dirección IP de Internet del mando a distancia punto final.Ahora ingresamos en Remote VPN la IP pública del otro extremo de la VPN en este caso el router B. En este caso. Seleccione esta opción si el extremo remoto tiene un dominio El nombre asociado a él. Single Address: Una IP en especifico.En la parte de Bundle WAN Port si nuestra red cuenta con dos líneas o dos Redes WAN seleccionamos la red por la cual saldremos a la red de internet al otro extremo de la VPN..4. Si es seleccionado. .. Seleccione esta opción si la dirección IP de Internet es desconocida.. Seleccione esta opción si el extremo remoto tiene un Internet fijo dirección IP. 6.168. Range Address: un rango de IP’s en especifico.

 El algoritmo 3DES proporciona mayor seguridad que DES. 8. este campo es ignorado. . ya que los parámetros que configuremos en este router. debe seleccionar el tamaño de clave. serán los mismos para el router del otro extremo de la VPN AH Authentication: especifica el protocolo de autenticación para la cabecera de VPN (AH es a menudo no se utiliza).7. De la misma forma que en las IP’s de red local. Esta parte es muy importante para que funcione correctamente nuestra VPN.Seleccionamos las IP’s de la red remota en este caso la red del router B. En el caso del TRENDnet solo permite un método de autentificación.Ahora configuramos la parte de seguridad de la VPN Authentication and Encryption.. Si se utiliza DES o 3DES.. las cuales podrán tener acceso a este túnel VPN. pero es más lento. ESP Encryption: Proporciona seguridad para los datos enviados a través del túnel VPN. Este proceso restringe la posibilidad de emplear NAT(es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles).  Si utiliza AES.

Ahora pasamos a configurar la parte IKE (Internet Key Exchange). Si seleccionada.Tanto las conexiones entrantes y salientes se admiten. cabe aclarar que si se utiliza esta opción.. 9. Dirección IP WAN . no se requiere de entrada de IP’s debido a que los detecta en forma automática.1 DN . En la parte de dirección se muestran las siguientes opciones:  Initiator .  Both directions . Domain Name .La parte de Manual Key Exchange es para la configuración manual de claves de autentificación y encriptación. Las direcciones de correo electrónico se utilizan a menudo para esta entrada. Este valor debe coincidir en el VPN remoto.. DER ANS. Entrantes los intentos de conexión se rechazarán. .Debe ser una DER ANS.Configuramos las opciones siguientes. 10.Este es el método más común.introduzca el nombre de dominio asignada a este dispositivo.  Responder .Sólo las conexiones entrantes serán aceptadas.El nombre no tiene una válida de nombres de dominio de Internet.Sólo las conexiones de salida será creado.1 de nombres de dominio. Seleccione la opción deseada e introduzca los datos requeridos. Nombre completo del usuario . Tráfico saliente que de otro modo daría lugar a una conexión se tendrá en cuenta. las claves que sean asignadas en este router serán las mismas que para el router B. Escogemos la opción de Both Directions. debido a que en el túnel tendremos tanto conexiones entrantes como salientes.

.. esta es más poderosa o fuerte que el MD5. SHA-1 es un algoritmo criptográfico para autentificación de mensajes o contraseñas. Para Clave compartida. Tenga en cuenta que esta clave se utiliza para las SA de IKE solamente. pero al tener más pasos resulta ser más lenta. introduzca el mismo valor clave en ambos extremos. Seleccionamos el algoritmo de autentificación que será el MD5. En esta configuración seleccionamos la opción de clave compartida y le asignamos a ambos routers el siguiente valor 1234567890. Así se realiza el envío de forma más segura.Seleccionamos la primera opción. La clave debe tener al menos 8 caracteres (el máximo es 128 caracteres). MD5 es un algoritmo de reducción criptográfico que se utiliza para encriptar la contraseña que nos debe ser enviada. Las teclas utilizadas para la SA IPsec se generan automáticamente.Seleccionamos la opción de autentificación de nuestro túnel VPN en este caso tenemos dos opciones: Firma RSA requiere que ambos extremos de VPN tengan certificados válidos expedidos por una CA (Autoridad de Certificación). 11.

.12. los datos se cifran en bloques de 64 bits utilizando una clave de 56 bits. . 14. asegurarse que en el otro extremo sea el mismo.. en este caso seleccionamos el grupo 1. • El algoritmo 3DES proporciona mayor seguridad que DES. DES método de encriptación de 64 bits. 3DES es el método DES aplicado 3 veces para mayor seguridad. pero es más lento. debe seleccionar el algoritmo de autenticación. Si utilizando DES o 3DES. Seleccionamos el tipo de protección de identidad.Escogemos el modo de encriptación en este caso escogeremos el DES. • MAIN MODE ofrece protección de identidad para los anfitriones de iniciar la sesión de IPSec. pero tarda más en completarse..Seleccionamos el grupo DH.Seleccionamos el tiempo que se desea mantener la conexión de VPN. este campo es ignorado. • AGGRESSIVE MODE no ofrece protección de identidad. pero asegurarse que se mantenga en el otro extremo de la VPN. pero es más rápido 13. • Si utiliza AES. Data Encryption Standard (DES). tener en cuenta de escoger el mismo modo en el otro extremo de la VPN. esta puede ser arbitrario.

la configuración es muy parecida a la del router anterior..Abrimos la interfaz del router. 16. de acuerdo a la tabla inicial. ahora procedemos a configurar los parámetros del router.. Tener presente todos los parámetros configurados en el router A. ya que serán utilizados para este.En la última opción escogemos ninguno. en este caso elegimos la desactivamos. Ahora damos click en salvar CONFIGURACIÓN DE ROUTER LINKSYS Ahora pasamos a la configuración de router B LINKSYS. Ya contamos con los datos de IP’s de este router B.15. Vamos en la parte de security y escogemos VPN .En la opción IKE PFS depende de la configuración que se escoja asegurarse de que en el otro extremo sea el mismo. 1..

en su mayoría con los datos que utilizamos en el router A.Seleccionamos un número de túnel. 1. esto es en caso de que ya se tengan configurado varios túneles en el router.Ahora procederemos a rellenar los campos. en este caso SDT que fue el que le asignamos en el otro extremo. lo activamos y le asignamos el nombre. ..

.Ahora. tanto local como remota.. 4. asignamos las IP’s.En la sección Key Management escogemos la forma automática de claves IKE y desactivamos el PFS.2. debido a que en el router A fue asignado de esa forma.Ingresamos la IP remota o publica del router remoto A. que podrán tener acceso al túnel VPN. Asignamos la clave que usamos en el router A: 1234567890.. de manera muy similar al router A.. y el tiempo que fue de 28800. 3.

. La parte última de Other Setting se deja sin configuración. .5.. Damos click en Save Settings.Ahora escogemos la opción Advanced Setting: 6. Así como se muestra en la figura siguiente.Rellenamos los campos desacuerdo de manera similar a como configuramos el router A.

activamos el túnel en cada router: EN TRENDnet Vamos a la ventana de VPNIPsec y damos click en Enable/Disable verificamos que el estado este en on y .. 2.Retornamos a la ventana anterior y damos click Save Settings.Ya que estén ambos conectados a internet.. 1.Verificamos que ambos equipos (A y B) estén conectados a internet. PRUEBA DE CONEXIÓN DE TÚNEL VPN Ahora pasamos a probar el TÚNEL VPN.

. en los equipos que se realice la prueba. ya sea PC’s o equipo telefónico IP. y damos click en ping. Para probar de que exista conexión en el caso de que sean PC’s. esto se puede verificar mediante comando MS-DOS. tengan desactivado el Firewall. En caso de TRENDnet en la interfaz yéndonos a la opción administration y luego a Diagnostics en la parte superior derecha podemos ingresar la IP del equipo destino del otro extremo del túnel con el cual queremos realizar la prueba.EN LINKSYS Damos click en connect y verificamos que el estado cambie a conectado: OBSERVACIONES Es de suma importancia que para verificar si existe conexión entre ambos extremos del túnel. y nos mostrara si es exitoso la prueba o no. Ahora conectamos equipos en ambos lados de la red. debe de haber ping entre cada máquina en cada extremo del TÚNEL.

En caso de fallas o error de conexiones revisar:    Configuración en cada router. y con esto verificamos el funcionamiento del TUNNEL VPN. En caso de que la red local este segmentada por conmutadores u otro equipo IP. verificar la configuración de la misma para que permita la conexión entrante y saliente a los equipos que pertenezcan a su dominio.Si la configuración en ambos routers fue de acuerdo a los pasos indicados. También se puede realizar la prueba mediante dos Terminales telefónicas IP’s en cada extremo del túnel y realizar llamadas entre una y otra. . Verificar que los equipos tengan desactivado del Firewall. el ping entre ambas maquinas será exitosa.