Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL/VDSL

duda sobre vpn

carlos-rilo

que tal espero me puedan ayudar

la empresa en la que estoy quieren hacer una vpn para enlazar 3 sitios, me recomendaron que comprara unos equipos fortigate pero me dicen que se necesitan por lo menos 1 ip estática en cada sitio

si tengo solo una ip estática en un sitio se puede hacer la configuración de la vpn o afuerza requiero una en cada sitio ?

espero y me puedan despejar esta duda

BocaDePez
BocaDePez
1

Espero que tengas DDNS configurado primero, porque de lo contrario...

Pero esos equipos no los conozco.

rbetancor
1

Compra unos Mikrotik, más económicos y no necesitas tener IP fija en ninguno de los sitios. Tienes ejemplos de como configurar ese escenario en el Wiki de Mikrotik.

Unos 750GL te valen perfectamente para VPNs de hasta 40Mbs

vukits
1

no necesitas IP Fija en absoluto , eso sí, la sede del 'server' tendra que tener ddns configurado.

yo te recomiendo usar pfSense y OpenVPN . (la sede con más ancho de banda, hará de server(es donde meterás DDNS ), mientras que las otras dos serán 'clients'

¡ojo! las tres sedes tienen que tener LAN's su subred propia (p.e. sede2: 192.168.2.* , y sede3: 192.168.3.* )

BocaDePez
BocaDePez

Debes de comprar 3 ASA5585-S10X-K9 y establecer las configuraciones para la vpn IPsec. Bueno claro, sería aconsejable tener los enlaces con IP empresarial fija, o contratar un sistema de enlace backbone para centros de datos.

🗨️ 1
rbetancor

Y de paso atracar el banco de la esquina.

¿Porqué le tiene tanto miedo la gente a configurar las cosas? ... NADA de lo que has comentado es necesario para darle solución a su problema, y por la pasta que costaría lo que le recomiendas, se puede montar una solución mucho más robusta.

campi
1

Hombre yo no se que firewalls soléis tocar, pero en todos te piden una ip fija para establecer un tunel ipsec. Tanto en un extremo como en otro ya que la ip forma parte de la identificación en la fase 1 del tunel.

Respecto al señor que te ha recomendado unos Cisco ASA, ni de coña, si no tienes experiencia como parece que no la tienes vete a fortigate, te volverías loco con los cisco (eso y que te arruinas comprando solo 1, como para comprar 3).

Respecto al que ha recomendado Mikrotik, son un poco especiales de configurar pero deberían funcionarte sin problemas.

Yo si te recomiendo fortigate. En mi empresa utilizamos watchguard pero se van mucho de precio.

Por último, si no tienes experiencia, contratar a una empresa que te gestione la red no debería salirte caro.

🗨️ 11
rbetancor

Si empiezas por decir, que necesitas una IP fija para establecer un tunel IPSec porque es 'parte de la identificación de la fase 1' ... mal vas.

No es necesario en ABSOLUTO.

Coincido en que la opción de CISCO es mala opción, sobre todo si nunca has trabajado con ellos.

Los Mikrotik no tienen 'nada de especial' ... bueno sí ... son soberanamente baratos comparados con cualquier otra marca y te dan las mismas o más prestaciones.

🗨️ 9
campi

tu has configurado algún tunel ipsec que te deje poner un destino/origen que sea una entrada dns y no una ip ? yo no he visto ninguno todavía

que puedes configurarlo teniendo ip dinamica? por supuesto, que tienes que reconfigurarlo cada vez que te cambie la ip, pues también, algo absurdo en una empresa

PD: Y ojo, estoy hablando de tuneles punto a punto, no una vpn ipsec.

🗨️ 8
rbetancor

Se ve que no te has tenido que pelear mucho con eso ...

Se puede perfectamente crear un tunel punto a punto y también una VPN ipsec sin usar IP's estáticas, usando entradas DNS, lo hice hace 2 días precisamente. En ese caso concreto, se usó autenticación por certificados, aunque también se puede hacer con PSK, aunque no es nada recomendable.

El problema que no sabrás resolver, intuyo ..., es como crear la SA para ese tunel PtP, cosa la mar de simple de hacer con cualquier router que soporte scripting ... (ya puedes ir descartando los carísimos e inútiles CISCO, los Fortigate, los ....., sigue apuntando, porque solo lo podrás hacer con equipos que lleven Linux, RouterOS o derivados).

"Cuestan 10 veces menos y hacen 100 veces más" ... ;)

🗨️ 3
campi
🗨️ 2
rbetancor
🗨️ 1
campi
BocaDePez
BocaDePez

se puedo configurar la vpn con 1 ip fija y ligarlos con dns

🗨️ 3
rbetancor
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
rbetancor
BocaDePez
BocaDePez

De entrada los CISCO no es que sean una mala solución, yo creo que son tan buenos como otras marcas, y por prestaciones dependerá de la gama de producto que elijas. De hecho existen numerosas grandes empresas y multinacionales que se basan en equipos cisco. Lo que pasa en los CISCO es que son muy complicados ( o no, según se mire, y la formación que tengas) de gestionarlos y administrarlos, y si quieres tener en tu empresa productos CISCO casi que mejor pienses en contratar a técnicos con certificaciones CISCO y sobre todo que tengan experiéncia en administrar, gestionar e implementar estos dispositivos.

Si un usuario quiere implementar soluciones VPN, FIREWALL etc.. por su cuenta o sus empleados no tienen formación y experiéncia con dispositivos CISCO, mejor valorar otro tipo de marcas, por ejemplo Watchguard es bastanta más fácil de administrar que CISCO.

Saludos.

txuspe

Efectivamente los FortiGate son buenos y soportan direcciones IP dinámicas: booches.nl/2016/04/fortigate-ipsec-with-dynamic-ip/

Por ejemplo, FortiGate o FortiWifi 60E para pequeñas oficinas y el FortiGate 900D en sedes más grandes, o algo así.

🗨️ 2
BocaDePez
BocaDePez

Y valorar la compra de Equipos Fortigate 7000 ?

🗨️ 1
txuspe

Depende de lo que busques. Si es para IPsec, los 7000 dan 100Gbps (según datasheet), igual que los 3700 pero menos que los 3800. Es como todo, habría que mirar precios, huella, etc. En cualquier caso son buenas máquinas. :)