red vpn

BocaDePez 9 abril 2007 21:20

⋮

Hola, tengo un problemilla, tengo que conectar dos oficinas de una misma empresa. os planteo el problema:
-Tengo la oficina 1, B1, que es la pricipal. Aqui hay 20 estaciones de trabajo y 2 servidores. Los ordenadores estan en una red (FastEthernet).
-La oficina 2, B2, esta a unos 3km. En esta oficina se hara una pequeña red (FastEthernet) con 4-6 ordenadores personales.
-Necesito una conexion a internet para las 2 oficinas.
-Quiero que los ordenadores de la oficina 2 se puedan conectar a traves de uno de los servidores de la oficina 1 para que pueda tener una gestion de tipo web.

Supongo que se hace con una red vpn, pero no se como conectarlos. En principio conectar un servidor de B1 a la red de B2. Donde iria el 2º seridor? Se conectarian lso 20 equipos a 1 servidor y este al otro?Como se conectarian las redes, directamente del servidor al router de B2? O necesitaria otro router en B1 simplemente para conectar las redes (a parte de la que necesito para la propia red de B1).
Este es un caso hipotetico, solo tengo estos datos y puedo tomar cualquier decision.
Que sistena operativo deberian tener los ordenedores, los servidores supongo que Windows 2000, pero lso d+, da igual?
Espero que me podais ayudar, gracias

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

JoeDalton 9 abril 2007 21:51

⋮

1.- Puedes tener 2 accesos a internet y que haya un tunel de A a B
2.- Puedes tener 2 accesos a internet, en la delegación capar el tráfico en B para que salga enrutado a través de A (o viceversa).

Lo que necesitas para los 2 casos es tener un router (o firewall) que soporte vpn y a ser posible con ipsec.

Para la red y los remotos, te da igual los sistemas operativos siempre y cuando tengas en cuenta como se van a validar y sus necesidades, es decir, si en la delegación montas estaciones de trabajo con xp o 2000 asegurate que el dns apunte al Active directory, y si son nt o 9x asegurate de tener wins.

quilloquepasa 9 abril 2007 21:54

⋮

Puedes implementarla de varias maneras. Una podría ser con Telefónica, me parece que ofrece servicio VPN para empresas o algo por el estilo, otra con la configuración de VPN del propio Windows, una tercera por software ajeno al sistema operativo como pudiera ser Hamachi y una última por Hardware, existen routers como los Linksys que soportan este tipo de redes. Ya es cuestión de barajar la opción que más se adapte a vuestras necesidades, aunque siendo para una empresa quizás la más viable sea la primera de las que te he citado.

✖

JoeDalton 9 abril 2007 21:57 ✎

⋮

A modo de comentario, por lo que cobra telefónica por una netlan con el alquiler de equipos y cualquier cambio de configuración que quieras hacer, la has rentabilizado de sobra en unos pocos meses comprando unos router cisco de la serie 800 con ipsec.

Por cierto, yo si es para una empresa la implementaría a través de dispostivos hardware, la opción de usar un windows con un software corriendo no lo veo demasiado viable, y para usar windows como concentrador de vpn, para ipsec necesitas que tenga la ip pública, aparte de pagar 600€ por cada extremo + máquina, prefiero tener un aparato hardware que me lo haga y tenga menos agujeros.

Saludos.

✖

quilloquepasa 9 abril 2007 22:03 ✎

⋮

Ok Joe, si tú lo dices no hay nada más que hablar, tu palabra va a misa. ;-)

✖

JoeDalton 9 abril 2007 22:06

⋮

Solo era a modo de comentario ;) siempre y cuando lo quieras tener todo legal.

quilloquepasa 9 abril 2007 22:12

⋮

...y para usar windows como concentrador de vpn, para ipsec necesitas que tenga la ip pública...

¿Qué quieres decir exactamente?

✖

JoeDalton 9 abril 2007 22:20

⋮

No es muy recomendable que los terminadores de túneles ipsec estén detrás de un router haciendo NAT:

(link roto)

El resumen es que lo más recomendable es que los terminadores de vpn (los equipos que establecen el túnel ipsec), tengan conectividad ip directa, por lo que puedes hacerlo en una LAN (por ej máquinas dentro del mismo rango, o de rangos distintos que el tráfico vaya enrutado sin hacer NAT), o bien lo que sería lo mismo en internet, que esas máquinas con w2000/2003 tuvieran una ip pública, con lo que dependerías de tu isp (con telefónica podrías tenerlo en monopuesto, y con proveedores que usan el protoclo pppoA, necesitarías contratar un rango de 4 ips).

✖

quilloquepasa 9 abril 2007 22:25 ✎

⋮

Bodescu 9 abril 2007 22:41

⋮

Tengo que estar de acuerdo con Joe (como no xD) en que para una empresa, mejor una solucion VPN via hardware.

Tampoco seria mala idea usar un soft VPN del estilo Smoothwall, o similar. Basicamente se trataria de implementar dos cortafuegos de perimetro en sendas tomas de Net, y configurar la VPN entre ellos, cerrando el trafico que no nos interese, redirigiendo segun necesidades, y monitorizando el resto.

Puede ser una opcion interesante, economica y relativamente sencilla de implementar.

Un saludo

✖

yomimmo 9 abril 2007 23:36

⋮

Basicamente esa es la configuracion que tengo yo, pero en vez de SmoothWall uso Ipcop en los dos extremos.

✖

Bodescu 10 abril 2007 00:10

⋮

arrainahoa 10 abril 2007 01:20

⋮

Estoy de acuerdo en lo dicho por Joe y los demás de que lo mejor es una solución hardware y a ser posible por IPSec.
Y la opción de Telefónica.... $$$$ (yo la descartaría por completo)

Ahora bien, en mi opinión y teniendo en cuenta que los clientes remotos son solamente 4-6 equipos, puedes barajar la posibilidad de utilizar PPTP mediante el servidor VPN integrado en Windows Server.

Sería simplemente configurarlo en uno de los servidores de B1 y redirigir los puertos adecuados en la NAT del router en esa ubicación. En B2 solo necesitarías tener configurados los equipos con una conexión VPN en el S.O. hacia B1.

Sería recomendable disponer en B1 de una conexión dedicada y con IP fija para atender la VPN

Ventaja principal: menor coste económico.

Inconveniente principal: PPTP provoca mayor carga en el tráfico que IPSec, lo que implica un peor rendimiento (mas lento).

PPTP Vs IPSec

✖

JoeDalton 11 abril 2007 00:16

⋮

Yo desestimaría pptp por varios motivos:

La contraseña va en texto plano, primero se envia la contraseña para la conexión y a partir de ahí se cifra.
Levantas un cliente por máquina, con lo que consumes más ancho de banda por túnel.
Requiere más cpu por máquina ya que cada una encripta su tráfico.

Saludos

✖

arrainahoa 11 abril 2007 01:15 ✎

⋮

>> La contraseña va en texto plano, primero se envia la contraseña para la conexión y a partir de ahí se cifra.

¿Ésto es aplicable también usando CHAP/Ms CHAP/Ms CHAP v2?.
Según tengo entendido, con CHAP se envía desde el servidor una muestra cifrada (desafío) no la propia contraseña y el cliente debe devolver con el cálculo resuelto la propia contraseña cifrada para su validación en el servidor.

Edito: (no lo encontraba)
Enlace

✖

JoeDalton 11 abril 2007 01:31

⋮

Si a medias (no me he explicado yo bien con lo de que la contraseña va sin cifrar), como bien dices PAP va sin cifrar, CHAP y versiones usan desafío con un hash en md5 como bien dices.

El problema es que se negocia primero y se cifra después, con lo cual la parte de negociación/autentificación se produce sin encriptar.

Saludos.

✖

arrainahoa 11 abril 2007 02:25

⋮

BocaDePez 10 abril 2007 20:44

⋮

Gracias a todos los que me habeis contestado. Estaba pensando otra opcion, la de tener una linea privada. No creo que sea muy cara ya que son solo 3km. No se de fibra ptica o de cobre. Podria valer? Aunque si hubiera posibilidad de ampliar las sucursales...no se. Que opinais? De todas formas haciendolo con mi cable, solo tendria que tener un cablemodems en cada sucursal, no, con eso valdria?
Gratzie

✖

arrainahoa 11 abril 2007 02:35 ✎

⋮

La línea privada ya es $$$ y si vá por fibra $$$$$$$$$
De todos modos y en tal caso, nada de cablemodems.
Entiendo que hablaríamos de una LAN/MAN y en tal caso serían conmutadores, repetidores, amplificadores, etc. aunque ésto ya se me escapa un poco, la verdad.

BocaDePez 11 abril 2007 14:05

⋮

Bien, bueno, ya tengo mas o menos todo claro, eso creo. Siento si hago preguntas que deberian ser logicas, pero es que soy aun estudiante, estoy haciendo un trabajo proyecto y quisiera tenerlo todo bien estudiado. Bueno, en B1 tengo 20 estaciones conectadas a traves de un servidor a una red local (lo que no se es que pinta ahi el 2º servidor). Este router esta conectado a la vpn que va hasta la sucursal, que a su vez tiene otro router con otra red local, no? hasta ahi creo que lo he entendido asi. La duda que tengo es el tipo de vpn. La ppt (punto a punto) he cisto que no es la adecuada ya que seria mas lenta porque cada equipo de B2 iria conectado al servidor de B1? Cual es la mayor diferencia entre el punto a punto y el acceso remoto?
Eskerrikasko

BocaDePez 12 abril 2007 15:29

⋮

BocaDePez 12 abril 2007 15:37

⋮

Hola a todos

Siento usar este foro para hacer otra pregunta, he intentado crear una nueva pregunta pero no me ha sido posible hacerlo.

Mi problema es que tengo que hacer una conexion VPN con una empresa situada en Inglaterra, mi router es el Netgear DG834G, al hacer la conexion aparece el error 721 , el equipo remoto no responde.
He llamado a Netgear y me han dicho que tengo que abrir dos puertos en el router para realizar dicha conexion (start port, y finish port).
Lo que pasa es que no me han facilitado los numero para abrir dichos puertos, me han dicho que llamara a Microsofot y tampoco, de Microsoft me mandan a Telefonica y nadie lo sabe.
Podria alguien decirme esos numeros?
Muchisimas gracias por vuestra ayuda
Os agradeceria si pudierais contestar a omarllf2@yahoo.es, he intentado abrir una cuenta en esta pagina pero no me llega el email de confirmacion
Muchas gracias

roco 12 abril 2007 20:13

⋮

Lo mas sencillo y economico si tienes dos ordenadores viejos (yo lo tengo con PII-200 y va sobrado) es instalar la distro de linux IPCOP, es muy sencillo de configurar, implementa un servidor web y configuras todo desde un navegador (no necesitas conocimientos de linux).

Te permite crear distintas VPN con pre-shared key o con certificados facilmente para poder acceder desde cualquier sitio.

Ademas de distintos plugins para controles, monitoreos, etc.

Yo lo llevo usando 3 años y es muy estable.

Un saludo.

BocaDePez 17 abril 2007 22:54

⋮

Hola
tengo una red con 100 pcs y 2 servidores windows 2003 necesito hacer vpns internas para c/departamento, alguien me puede ayudar??? :-o

✖

Guiller 18 abril 2007 01:49

⋮

vlans, lo que tu necesitas son vlans

y sera mejro que des muchos mas datos si queres que te ayudemos, todos los que se te ocurran menos el nombre de la empresa

✖

BocaDePez 19 abril 2007 15:37

⋮

Hola
mira te comento tengo 120 pcs conectados con red de area local, un servidor de dominio con w2003, y necesito crear subredes pequeñas para que la comunicacion entre departamentos sea mas rapida. Cual sería la solución? no he leido acerca de vlan y que beneficios tiene?
No se que datos mas necesitas????

✖

Guiller 19 abril 2007 22:52

⋮

Que es la comunicacion entre departamentos?¿
Que problema tienes, tormentas de broadcast?

lentitud en acceso a ficheros?

Entiendo que estan todos los pcs y servidores en el mismo edificio, es asi? que elctronica de red tienes?

una vlan es.... si la LAN es como una zona amplia pero ruidosa ( mucho trafico) hacer vlans es como separar esta con tabiques interiores, ganas en silencio, pero pierdes en movilidad

esto lo hacen los swiches de red que tengas, por eso la pregunta, de que elctronica usas y si tiene capacidad de vlan
( que seguramente si)

efectivamente aumentaria el rendimineto de red, pero si lo que esta colapsado es el servidor, la cosa no va a cambiar mucho, por eso mis preguntas :)