miércoles, 2 de abril de 2008

VPN, usos, configuracion...


A los que nos cuesta cocinar, solemos usar una serie de trucos, para que los platos salgan mejor. Uno, que creo que se lleva la palma es usar condimentos, para así, poder camuflar un posible error.
Entre todos los complementos que podemos usar hay uno que desde mi punto de vista, sobresale sobre todos ellos es el queso.

Da igual en el formato que se use, en tranchete, derretido, en lonchas, etc...
Lo mas curioso de todo es que además se pueden usar en multitud de platos, y si te gusta minimamente te das cuenta que nunca esta de mas.

En cambio, en la informática, me temo que no todos los elementos encajan siempre con esa facilidad que lo tiene ese lácteo tan deseado. Muchas veces debemos escoger bien nuestros ingredientes para poder tener un buen resultado. La elección de un elemento que no venia a cuento, lo mas seguro es que de como resultado un escenario abocado al desastre.

Escenario
Queremos implementar un servicio vpn en nuestra instalación

Problema
¿Es adecuado para nuestras necesidades?
¿Como hacerla?

Solución
Primero de todo vamos a ver una serie de aspectos para entender mejor que usos se le puede dar:
¿Que es una vpn?
Podemos decir que se trata de un servicio el cual nos va a permitir conectar desde una red local a otra red local.
Detrás de esta frase tan sencilla y amplia existen multitud de matices, pero básicamente y para entendernos no deja de ser eso, una manera de conectar dos redes.

Algo que además define a la propia vpn es la seguridad en las conexiones que vamos a realizar. Lo mas común es realizar unas autenticaciones por usuario (cliente-servidor) restringiendo así los accesos. También deberemos de tener muy en cuenta el cifrado de datos para asegurar así la seguridad de las conexiones.

Por supuesto que esto es simplemente una forma muy bruta de explicarlo coloquialmente por si hay alguien que no sepa en que consiste una vpn. El tema es muy amplio y complicado.

Una información mas técnica podéis verla en este enlace de la wikipedia:
http://es.wikipedia.org/wiki/Red_privada_virtual

¿En que escenarios es aconsejable implementar una vpn?
Bien, esta puede ser la pregunta del millón. Básicamente me voy a centrar en dos tipos de vpn:
Servidor cliente: La cual por medio de un acceso telefónica a redes, el cliente se valida contra un servidor. Autorizándole así a acceder a los recursos de la red.
Ventajas
- Barata de implementar
- Fácil
- Fácil manejo
- Seguridad en el uso
Desventajas
- Acceder a recursos de peso de red se hacen pesados (netbios)
- Si el numero de usuarios es grande puede ser tedioso
- Ancho de banda

Punto a punto: En la que por medio por poner un ejemplo de dos router-vpn creamos un enlace virtual entre dos redes. Esto nos va a permitir unir por ejemplo dos oficinas situadas en dos ubicaciones diferentes
Ventajas
- Transparencia para el usuario
- Con una buena conexión wan el resultado es muy bueno
- Buen acceso a recursos

Desventajas
- Caras debido al gasto en buenos dispositivos y buena conexión wan
- Implementación mas difícil

De todas formas cada escenario es un mundo, y posiblemente cada uno sepa que servicios y que combinaciones puede hacer para conseguir el resultado deseado

Implementación sencilla de vpn
Vamos a ver como poner en funcionamiento un servicio vpn de la manera mas sencilla. En este escenario tenemos un servidor windows 2003 server, el cual va a dar el servicio vpn.
Los clientes se van a validad con el acceso telefónico a redes contra este servidor vpn.

Lo primero que vamos a hacer es configurar el servicio, para esto entramos en:
- Inicio- Todos los programas- Herramientas administrativas - Enrutamiento y acceso remoto


Esto nos abrirá la consola de configuración de los accesos remotos (VPN)
-Damos al botón derecho sobre nuestro servidor, y seleccionamos la opción "Configurar y habilitar Enrutamiento y acceso remoto"


- Se lanzara el asistente de configuración , seleccionamos "configuración personalizada" y damos a siguiente.


- Le indicamos que lo vamos a usar para un "acceso VPN"


-Nos saldrá un mensaje diciendo que se ha instalado el servicio y que si deseamos iniciarlo. Si no lo iniciamos se iniciara cuando reiniciemos el sistema.


- Tardara unos segundos en poner el servicio en marcha


Una vez realizado este asistente, ya tendremos las opciones de configuración listas en la consola de administración.
Por defecto y con esto, ya debiera funcionar el servicio.


Algo muy importante sera decir que usuarios tienen acceso a este servicio. Para esto, entraremos en la consola de administración de los usuarios y en sus propiedades marcaremos "Permitir acceso", en la pestaña de marcado


No olvidaremos abrir los puertos usados para este tipo de conexiones en el router-firewall.
Los puertos usados son tcp 1723 y udp 47. También deberá estar permitido el protocolo ip47.


Otros software para realizar VPN
Por supuesto que existen multitud de maneras de realizar una configuración vpn. Un software muy usado y que tiene una gran aceptación es OpenVPN
http://openvpn.net/index.php

Con smoothwall también existe la posibilidad de realizar una vpn tanto de punto a punto, como de cliente- servidor. Existe una aplicación desarrollada homebrew que nos permite este ultimo acceso:
http://community.smoothwall.org/forum/viewtopic.php?f=16&t=3625
De punto a punto, ya lo trae por defecto, para poder enlazar dos smoothwall.

De todas formas si alguien quiere comentar escenarios vpn, ventajas, problemas,etc... esta invitado, creo que puede ser un tema muy interesante donde todos podemos aprender.
Saludos

6 comentarios:

ulysess dijo...

Muy interesante el artículo. Utilizaba otra forma de crear una VPN.

¿Sabes si tengo que abrir o configurar algo que se me escapa para compartir una impresora de red?

La tengo compartida en el servidor, y si estuviera físicamente conectada, no habría problemas, pero está compartida con una dirección IP.

Anónimo dijo...

Excelente articulo que me encantaría que se desarrollase aun más en detalle.

Tengo una empresa con trabajadores que se tienen que conectar desde tarjetas 3G a la oficina dado que están viajando por toda españa. Me gustaría poder crear una conexión segura para poder acceder a los programas del servidor e reportar los trabajos realizados.

montar una maquina Smoothwall tal vez sería lo ideal, pero en este año tan precario en inversiones no va a ser posible.

Como se realizaría en windows de forma segura? Con las indicaciones creadas se evitaría el acceso a terminal server hasta no haber creado previamente la conexión vpn?

Los usuarios y contraseñas serían los mismos que los utilizados para loguearse en el servidor ?

Datos, datos, datos!!

Un abrazo
Beltran

David dijo...

ulysess:En principio no tendrías que abrir nada en especial para poder usar los recursos como impresora,etc...
De hecho por ip, debiera de ser mas sencilla configurarla ya que te ahorras el tener que transportar el netbios por la vpn.
Comprueba que la comunicación con la ip desde el otro extremo de la vpn sea correcto.

Beltran:Apuntado queda... a ver si hacemos una instalación de terminal + vpn + certificados que puede ser sumamente interesante.
Por cierto, un smoothwall + vmware lo puedes montar por 0 euros a ver que te parece...Pruebalo y dime resultados jejej
Saludos

Fede dijo...

David, muy bueno el articulo, la verdad. Queria ya de paso evacuar unas dudas: con windows 2000 nada mas, se puede tambien hacer de esta manera??
Cuantas conexiones admite esta forma???
Mi idea es que gente de otra red pueda entrar en mi red. Puedo lograrlo de esta manera???
Muchas gracias.

Anónimo dijo...

Excelente Articulo, en mi empresa tenemos una conexion de punto a punto en vpn, existe una serie de problemas y los quisiera solucionar Mi pregunta es que si hay un programa donde simule hacer una configuracion de estos router?
LI. GUADALUPE BARCELOS OLAZO (J_OLAZO@HOTMAIL.COM)

Ing. Sist. Comp. dijo...

Interesantisimo el articulo. Les agradezco el compartir. Yo tengo un problema, necesito configurar un router y me declaro principiante en esto. Quiero cifrar los datos y que no permita que cualquiera se conecte. En este momento no se conectan si no cuentan con las puertas de enlace y una ip fija, puesto que mi proveedor de internet me restringe a 29 direcciones. Es decir un rango entre 152 a 180.

Debo modificar primero con mi proveedor las ip's? Las puedo hacer dinamicas aun contando conmargen restingido? Como se configura correctamente un rputer 3com???

Mil gracias.