Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Virtual Private LAN Service con túneles GRE con IPsec

Solospam

Estoy en pleno proceso de rediseñar mi red que se compone de 4 salidas a internet, todas con Movistar y con router Mikrotik.

Últimamente estoy leyendo acerca del MPLS y VPLS que se que encapsulan el tráfico.

Mi intención es poner rutas OSPF encriptadas y aquí mi duda, según la wikipedia es.wikipedia.org/wiki/Virtual_Private_LAN_Service VPLS se compara en servicio y funcionamiento con L2TPv3 o GRE.

Mi primera intención es crear túneles GRE con IPsec, pero al haber encontrado esta información acerca de VPLS tengo la duda si encripta realmente la información como lo haría IPsec o sólo encapsula y envía la información entre los routers.

Mi intención es que de los cuatro dispositivos todos alcancen internet a través de uno, quedando el resto ocultos tras el router que sale a internet.

Quedo a la espera de vuestra experiencia.

vukits

Buenas.

Cuando buscas info en la wikippedia, fijate muy bien en las referencias. En este caso hace referencias a dos RFC.

en el rfc4761

The focus in Virtual Private LAN Service is the privacy of data, i.e., that data in a VPLS is only distributed to other nodes in that VPLS and not to any external agent or other VPLS. Note that VPLS does not offer confidentiality, integrity, or authentication: VPLS packets are sent in the clear in the packet switched network, and a man-in-the-middle can eavesdrop, and may be able to inject packets into the data stream. If security is desired, the PE-to-PE tunnels can be IPsec tunnels. For more security, the end systems in the VPLS sites can use appropriate means of encryption to secure their data even before it enters the Service Provider network.

Consulta también 'Security Coinsdireations' del RFC4762 donde también indican de que el tráfico va en claro.

¿Cuál es la conclusión de todo esto? Pues que igual que L2TP/Ipsec … necesitas una capa de cifrado (Ipsec , p.e.)

Yo sólo he usado L2TP/Ipsec … hace ya muchos años… y lo que me chocó es que demasiado a menudo para las VPN's clásicas, te pedían IP fijas, por temas de certificados y tal… (en pfSesnse, había un apaño para que funcione con IP's dinámicas ) (así que ten muy en cuenta de si la VPN que vas a usar, soporta 'Road Warriors', porque el día de mañana puedes proprocionar movilidad de oficina a coste cero )

kotBegemot

El problema de siempre de ipsec es que firma todo el paquete. si le cambias direccion de origen o de destino (por ejemplo haciendo NAT) el paquete deja de ser valido.

Lo de las direcciones de origen y destino fijas tiene mas que ver en como se ha implementado historicamente en todos los sistemas operativos, en los que le dices que encapsule todo el trafico entre una dirección y otra. Si tuvieras una implementacion que usara resolución de DNS antes de montar el nuevo paquete que va a llevar como payload tu paquete original, no habria problemas con las ips dinamicas. Pero esto no resuelve el NAT. Y nadie ha avanzado porque con l2TP se resuelven tanto los problemas de NAT como las ips dinamicas.

No hay ningun problema en montar un tunel vpls entre tus mikrotiks y encima meter ipsec, ya que puedes poner ips privadas a cada uno de los extremos (a los interfaces vpls) y marcar como ipsec lo que vaya de un lado a otro usando de remote peer las direcciones internas del tunel vpls.

Peeero… la implementacion de vpls del mikrotik usa IP para designar al peer remoto, tampoco te deja usar un nombre DNS. Asi que tampoco puedes usar ips dinamicas.

Asi que ya que tienes ips fijas ¿para qué encapsular dos veces? Montas el ipsec y a verlas venir.

🗨️ 1
kotBegemot

Se me pasó decir que el que en estas implementaciones te limites a ips fijas en los peers te resuelve muchos problemas a la hora de la autenticacion e intercambio de claves… Pero no es nada que no se haya resuelto ya en otros protocolos.

txuspe
2

Olvídate de la VPLS; no cubre lo que buscas. Una VPLS no es más que un dominio de broadcast (es decir, un switch) extendido. Puede ir sobre MPLS pero también sobre GRE, por ejemplo. Lo que te permite es tener una única LAN extendida entre oficinas. El problema que tiene la VPLS es que el tráfico BUM (broadcast, unknown unicast, multicast) se replica a todas las sedes, con el consiguiente consumo de recursos.

Lo que estás buscando no es eso sino, si te he entendido bien, tener las cuatro oficinas con sus respectivas redes, que por supuesto también podrían comunicarse entre ellas, pero luego tener una salida centralizada a internet. Voy a llamar principal a la sede que ofrece la salida a internet y secundarias al resto.

Lo que yo haría sería establecer túneles IPsec (con IKE normal y corriente) desde cada sede secundaria hasta la sede principal (tres túneles). Puedes utilizar GRE o no, eso ya depende de gustos o de las posibilidades de configuración de tus equipos.

Además no utilizaría encaminamiento dinámico sino estático (nada de OSPF sino rutas estáticas). Utilizar OSPF aumenta la complejidad y para una red tan sencilla no merece la pena. Por ejemplo, en el caso de que una de las oficinas sature su enlace (transferencia de fichero grande), puede que se descarten paquetes OSPF y entonces se te caiga toda la conectividad. Para evitarlo necesitarías QoS, aumentando de nuevo la complejidad innecesariamente. Lo dicho, olvídate del tema y utiliza rutas estáticas. Es mucho más simple y no falla.

En cada sede secundaria, configura el túnel hacia la sede principal y una ruta estática por defecto (0/0) hacia el túnel IPsec, de manera que todo el tráfico vaya por ahí.

En la sede principal, configura los tres túneles hacia las sedes secundarias y una ruta estática hacia la LAN de cada una de ellas, además de la ruta por defecto hacia internet.

La única consideración es que, por hacer el diseño más sencillo, el tráfico entre dos oficinas secundarias pasará siempre por la principal. Es decir, un hub&spoke. Si el volumen de tráfico es pequeño, sin problema, yo lo dejaría así porque te facilita el troubleshooting. Pero si el volumen es grande, igual quieres considerar establecer túneles también entre ellas.

Por cierto, una curiosidad: ¿por qué quieres hacer que todas salgan a internet a través de la principal?

red-oficinas.webp
🗨️ 14
Solospam

Por cierto, una curiosidad: ¿por qué quieres hacer que todas salgan a internet a través de la principal?

Porque así sólo me pueden atacar por un frente y sólo tengo que ocuparme de un firewall

🗨️ 13
rbetancor

Te pueden atacar por cualquiera de las sedes, siempre que hay un equipo con conexión a una red, hay un posible vector de ataque.

🗨️ 12
Solospam

Entonces, según tu cual es la mejor forma de actuar?

Ya que encriptar conxiones y tener sólo un nodo de salida no es suficiente?

🗨️ 11
rbetancor
1
🗨️ 10
Solospam
🗨️ 1
vukits
Solospam
🗨️ 6
Solospam
🗨️ 4
Solospam
🗨️ 2
vukits
🗨️ 1