VPN entre 2 Routers. Dilemas con la arquitectura de red.

Urien #1 Sep '19 Gatillazo

Hola!

Antes de nada decir que he visto tutoriales y demás pero tengo unas dudas con la propia arquitectura de red que me están volviendo un poco loco.

Problema:
Tengo 2 localizaciones (oficinas) que tengo que conectar. El método elegido es VPN.

Arquitectura de red actual:
-En la Oficina A existe un router de Movistar (el clásico que te ponen en tu casa) y un servidor (Debian) que actua de Firewall y enruta el tráfico con IPTABLES.
-En la Oficina B existe un router de Jazztel (lo mismo de antes, el básico que te ponen cuando contratas).

Información:
Nunca he seteado una VPN pero por lo que veo en los tutos... parece que hay que poner un router intermedio que lo gestione. Con lo que la arquitectura de red sería:
-Oficina A: Router(Movistar) -> Router(VPN) -> Server firewall -> Red interna.
-Oficina B: Router(Jazztel) -> Router(VPN) -> Red interna.
¿es esto así?
Siendo así... ¿es posible que en el servidor (Debian) Firewall de la Oficina A instalara un servidor VPN y me ahorrara un router?

Info adicional:
En el Servidor Firewall tengo instalado un servidor OpenVPN con sus correspondientes reglas de IPTABLES puestas para filtrar el tráfico VPN. Así que cuando quiero conectar un cliente a mi red interna (pongamos un portatil) genero un fichero.opvn con una contraseña cifrada y listo pero... ¿existe alguna forma de usar OpenVPN para conectar 2 routers directamente?
Cuando es 1 cliente no tengo problema pero en la Oficina B hay 18 máquinas y no tiene sentido que todas se conecten punto a punto.

Si hay formas más simples de hacer esto también estaría encantado de escucharlas!
Muchas gracas

PD: Sorry. No estudié redes y hay cosas muy simples que se me escapan

deathsoul #2 Sep '19

la forma mas simple y cara es comprarte dos router meriaki de cisco (no me acuerdo ahora del modelo) que te hacen la vpn automaticamente y te unen las dos oficinas de forma estupìdamente simple

tambien puedes tirar de open DD-WRT que es un poco mas barato

1 respuesta

HeXaN #3 Sep '19

¿No te vale con poner OpenVPN?

1 respuesta

B

[Borrado] #4 Sep '19

usa lede que es un fork de wrt pero enfocado en seguridad se actualiza mas

1 respuesta

APOCa #5 Sep '19

en la b una raspa con openvpn

1 respuesta

PaCoX #6 Sep '19 Ant queen

puedes comprarte 2 router con vpn automatica o poner en ambos sitios un pc que haga la vpn. Para hacer los canales de forma manual puedes usar libreswan por ejemplo

1 respuesta

Urien #7 Sep '19 Gatillazo

#2 Estaba viendo poner lo de DD-WRT porque buscando una guía sobre OpenVPN entre 2 routers me apareció eso. Se supone que solo necesito 2 routers que admitan firmware open-source y listo.

Lo de los router meriaki es algo que voy a considerar viendo la poca idea que tengo xD. Gracias!

#3 La idea que tengo de lo que sugieres es poner un tunnelblick u openvpn client en cada máquina de la Oficina B y que cada vez que quieran entrar en nuestra red tengan que logearse. Mi plan es dejar una VPN permanente entre ambas oficinas (a las que es posible que se les usan muchas más). ¿Puede hacerse eso con OpenVPN? Si es así no tengo ni idea de como hacerlo.

#4 #5 investigaré eso porque ahora mismo me suena un poco a chinorris xD
¿Pero la arquitectura de red es esa que he puesto verdad?

#6 O sea que en mi servidor de la Oficina A puedo setear un servidor VPN y ahorrarme un Router VPN. O puedo poner entre medias un Router VPN automático y compro otro igual para la otra ubicación. ¿Verdad?
Me apunto eso de libreswan que tampoco se lo que es.

D

DiSKuN #8 Sep '19

Es sencillo.
Uno de los routers que haga de client OpenVPN del otro.

Router A Client ------> Router B Server

Ten claro que tendrás que tocar rutas

Otra opción es tirar de IPSec, pero ya no controlo tanto.

1 respuesta

Urien #9 Sep '19 Gatillazo

#8 O sea que puedo exportar un certificado openvpn para un router? y como se lo come? Supongo que a través de DD-WRT o algo así no? Lo que quiero decir es que no voy a tener algo tan sencillo como una opción dentro del router para cargarle el .opvn, poner usuario y contraseña y listo. Verdad?

Sobre tocar las rutas pues me tendrá que dejar el router hacerlo también ya que en la oficina B no tengo servidor firewall. Supongo que el DD-WRT también me deja eso. No? (estoy realmente muy perdido e internet no me está ayudando a resolverlo xD)

2 respuestas

NeV3rKilL #10 Sep '19 :psyduck:

Si es para empresas, no te líes con servidores caseros para que hagan el trabajo que debería hacer el router.

Compra routers industriales que vienen ya con el chiringuito montado y listo para configurar. Que luego se para el pc con el cliente o el servidor vpn, el dhcp se desconfigura, se queda algo colgado, se peta hasta la wifi y te van a estar tocando la moral cada 2x3.

Otra cosa es si fuese algo de tu casa, pues te apañas gastando lo mínimo posible, que eso que pides lo montas con routers/modems de mierda y un par de raspberry pi, pero si es para empresas, soluciones empresariales.

#9 Sí, con los industriales no se hace con openvpn, pero tienen sus propios protocolos que se basan en lo mismo y son prácticamente enchufar poner un par de ips y seguridades y pista. https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/app_notes/rv0xx_g2gvpn_an_OL-26286.pdf

1 respuesta

Urien #11 Sep '19 Gatillazo

#10 Alguna recomendación?

D

DiSKuN #12 Sep '19

#9 pues levantando el servicio openvpn cargando el fichero de configuración. Pero vaya, si es para algo serio, tiraría por comprar productos específicos que serán más estables.

Daidum #13 Sep '19

Yo las que suelo montar en el trabajo son con equipos draytek o mikrotik. Los routers de ambas oficinas para evitar el doble nat los pones en modo bridge, depues pones estos equipos como router, en una oficina lo pones como server y otro como cliente y sin fallo.

El firewall ya lo gestionas desde los propios equipos y te evitas calzar por ahí un server.

1 respuesta

Urien #14 Sep '19 Gatillazo

#13 Otros que van a la lista.

Parece más lógico meterme con soluciones más profesionales. Sobretodo si al final vamos a conectar varias oficinas.
He estado leyendo por ahí que es muy importante que todos sean iguales y no que cada Router sea distinto así que tiene sentido una solución completa.

VPN entre 2 Routers. Dilemas con la arquitectura de red.

Usuarios habituales

Tags