VPN usando routers Linksys por banda ancha con IP dinmica

VPN sitio a sitio usando routers Linksys por banda ancha

con IP dinmica.
Gua paso a paso.
Este documento ha sido escrito con el objetivo de brindar un camino firme a la puesta en marcha de una VPN
y est orientado a nuestros clientes que nos compran sus equipos y encuentran imcompleto o no claro el
manual de los mismos, o bien, quieren saber antes de comprar si se an a poder arreglar con el manual del
producto o si pueden llegar a fracasar.

Atencin: si usted es una persona experimentada y ya tiene los dos ruteadores bien
a la .
conectados a Internet saltee toda esta explicacin y vaya directosinopsis

Queremos en cierta medida lograr que superen ese miedo y estimular las ventas. El interesado debe poseer
conocimientos de redes e Internet y tener bien claras las prestaciones, ventajas y desventajas de poseer y llevar
adelante un proyecto de VPN y el impacto en las aplicaciones.

Con todos los elementos en orden, el procedimiento llevar entre 45 y 90 minutos. Nuestro personal tcnico
brinda coaching previo y soporte a las instalaciones usando este documento como base y el manual del
BEFVP41. Es imprescindible contar con los manuales de los modems respectivos. Asimismo, se asume que
en los sitios a unir con VPN hay conexiones de banda ancha operativas y no hay obstculos como firewalls o
polticas de seguridad que impidan trfico ICMP, UDP/500, TCP y HTTP.

Damos a conocer que si Usted es capaz de poner ambos (o ms) extremos operativos (esto es una LAN
conectada a Internet con un router Linksys, si Usted libera el puerto 8080 de administracin remota y nos
suministra las respectivas WAN IPs, luego nosotros podemos configurar la VPN remotamente para Usted, de
modo que tenga el primerfeeling positivo.

Elementos

LAN en cabecera con banda ancha y rotuer Linksys BEFVP41.

Al menos una PC en la LAN de cabecera.

Pgina 1
 VPN usando routers Linksys por banda ancha con IP dinmica

En el sitio remoto, banda ancha y router Linksys BEFSX41 o superior.

Al menos una PC en la LAN del sitio remoto.

Cuenta gratuita (o paga) en DynDNS.org o NO-IP.com.

I. Establecimiento de la cabecera de la VPN.

Segundamente se explica como establecer una VPN entre dos sitios (site-to-site VPN) usando routers Linksys
por banda ancha con IP dinmica. En el nodo central, cabecera, debe existir una LAN y una conexin a
Internet por banda ancha.

Esta LAN est definida por un router Linksys BEFVP41, que incluye un switch de 4 puertos. Con un cable
UTP-5 plano se conecta el router al modem ADSL o cable modem. Si va a extender esta LAN agregando un
switch, observe que sea de 100mbps y si tiene puerto uplink, conectelo a este puerto.

Siga las insrucciones de cableado del manual de Linksys.

Asegure primero que tiene buena conectividad con Internet.

Obtenga de su ISP las direccioens de los servidores DNS.

Son en general dos del tipo 200.xxx.xxx.xxx.

En caso de poseer cable-modem de Fiberfel o Telecentro, el router deber configurarse para tomar la IP
dinmica via DHCP. En caso de poseer ADSL de alguna telefnica (Arnet o Speedy) o alguno de sus dealers
(Ciudad, Datamarkets, Netizen), establecer la conexin PPPoE como antes estaba estipulada para la PC.
Puede suceder que el modem ADSL tenga funcin de router y no admita PPPoE, en este caso configure el
modem para que le otorgue una IP fija y luego establezca en el router esa IP como direccin WAN.

Si dispone de IP fija, mejor entonces, coloque la IP fija que ya le dio el ISP y compruebe que funcione.

Conecte al menos una PC en este router (en algunos de los puertos del switch). Es indispensable saber de
antemano que PCs van a ser accedidas desde el extremo de la VPN. Puede conectar el switch de su LAN. Al
menos tenga una PC con IP fija (dentro de la subred 192.168.x.x) para poder hacer pruebas de conectividad
desde el extremo. Si va a usar NO-IP.com, en esta PC instale y configure el programa IP updater.

El router esta configurado de fbrica en 192.168.1.1 y entrega DHCP.

Una vez encendido, su PC se conecta con el TCP/IP configurado para obtener IP dinamica y al resetear o
encender la PC, va a obtener la IP 192.168.1.100.

Pgina 2
 VPN usando routers Linksys por banda ancha con IP dinmica

Para comprobar que el router contesta, haga "ping 192.168.1.1"

Luego se conecta al puerto de administracin via el Internet Explorer

http://192.168.1.1
en usuarioadmin
passwordadmin. En algunos routers, segn el firmware, el username va vaco.

Si lleg hasta aqu, felicitaciones, su router est funcionando.

Establezca su red de cabecera con LAN IP 192.168.4.0 / netmask 255.255.255.0.

Establezca la direccin del router como 192.168.4.1. Asigne mas tarde las IP internas de sus servidores en el
rango 2/99.

Al cambiar esta direccin, el router se resetea y empieza a funcionar en esta subred. Si su PC es Windows 98,
reseteela para que tome una IP nueva del router. En W2000 o XP, puede reconfigurarla deshabilitando y
habilitando la interfase, si duda, reseteela.

Va a ser infinitamente ms cmodo en adelante que a la PC de administracin le coloque una IP fija, por
ejemplo la 192.168.4.2/255.255.255.0, el default gateway en 192.168.4.1 y coloque sin falta los DNS.

Comparta al disco de esta PC para mas tarde probar su acceso desde el tnel.

IMPORTANTE: esta LAN IP es la que ver su extremo, de modo que cuando se situe en el extremo para
hacer pruebas, recuerde que esta LAN es virtual y visible cuando el tunel est funcionando.

Habilite DHCP interno desde 192.168.4.100 en adelante.

Habilite el puerto de administracin remota 8080 y coloque un password que no

admin
sea al usuario de
administracin.

Habilite ICMP conBlock WAN Request en DISABLE, de modo que esto no impida hacerle PING desde
afuera al router.

Resetee fsicamente el modem, luego el router y asegrese que todo funciona correctamente.

Abra una cuenta DDNS enwww.dyndns.org , elija un nombre para su cabecera, por ejemplo
vpnhead.dynalias.org, y configure luego el router,laen
pgina de administracin de
DDNS,con este nombre.

Asegure que al presionar DDNS>>Update, la direccin se haya actualizado.

Pgina 3
 VPN usando routers Linksys por banda ancha con IP dinmica

Obtenga de la pgina de administracin

Status, la WAN IP que tiene en ese momento el router.

Verifique desde una PC conectada al router y luego repita lo mismo desde una PC en otra red (por ejemplo
desde un cyber) lo siguiente:

ping a vpnhead.dynalias.org

El resultado debe contener la direccin IP actual del router y un reporte positivo y sus respectivos tiempos de
respuesta. Llamese contento si logra un promedio de 30msec en ADSL de las telefnicas.

Verifique que desde una PC conectada a esta red pueda navegar en Internet. Con esto comprueba que el
DHCP esta entregando DNS correctamente a los clientes de la red interna.

Verifique que consigue pingear a los servidores DNS:

ping a 200.x.x.x

Verifique pinga a distintos lugares en Internet:

ping www.sun.com

Ping www.yahoo.es

Verifique que puede navegar desde la PC conectada.

Hasta aqu aseguramos que el router es accesible desde afuera.

La WAN IP podra variar. El router se ocupa de actualizarla cada vez que expira la direccin y toma una
nueva. Puede existir un de la de 5 a 10 minutos entre que el DDNS actualiz su entrada en DNS hasta que se
propag el cambio en el DNS local.

Si puede irse a otro lugar o pedir ayuda, verifique

ping a vpnhead.dynalias.org

II. Establecimiento del extremo.

Sitese en el sitio remoto que llamaremos tanto remoto como extremo. Para cada extremo de la VPN designe

Pgina 4
 VPN usando routers Linksys por banda ancha con IP dinmica

una subred, en el espacio 192.168.x.x, distinta de 1.x, 255.x y 4.x (la subred 4 es en este caso la cabecera).

Vamos a usar como ejemplo la 192.168.2.0/.255.255.255.0 (la subred dos).El prefijo 192.168.x no esta librado
al azar.

En este punto tiene que entenderse claramente que, situado en el extremo, la red VPN le va a dar acceso
virtual a la subred en la cabecera como 192.168.4.x y desde la cabecera los extremos van a ser 192.168.x.x,
en este caso 192.168.2.x

Conecte el router y asegure que obtenga buena conectividad con Internet.

Haga lo mismo que en la cabecera con respecto a ICMP y al puerto de administracin.

Establezca LAN IP 192.168.2.0./255.255.255.0.

El rotuer con su IP 192.168.2.1. DHCP activo desde 192.168.2.100.

Resetee el router y su PC y verifique que todo es funcionando.

Haga contacto con la cabecera con:

ping a vpnhead.dynalias.org

Es probable que la direccion IP de la cabecera haya variado, tngalo

en cuenta.

Intente administrar remotamente el router de la cabecera.

http://vpnhead.dynalias.org:8080

Si pudo hacerlo sin problemas, entonces est todo listo para establecer el tnel.

III. Estableciendo el tnel.

La configuracin se puede hacer local como remota. En este caso vamos a describirla situandose primero en
la cabecera y luego en el extremo.

Pgina 5
 VPN usando routers Linksys por banda ancha con IP dinmica

Situado entonces en la cabecera, ingrese a la pgina de administracin del router.

En VPN, abra un nuevo tnel y coloquele un nombre cualquiera, por ejemplo

extremo-uno.

Los parmetros a definir deben ser simtricos entre cabecera y extremo salvo por las direcciones que van
invertidas.

Local Secure Group: es el rango de direcciones locales que van a ser visibles en forma segura desde el
extremo, coloqueSubnet 192.168.4.0/255.255.255.0.

Remote Secure Group: es el rango de direcciones de la red del extremo, coloque

Subnet
192.168.2.0/255.255.255.0.

Remote Ssecurity Gateway: en la cabecera significa que este tnel acepta conexiones desde cuaqluier
extremo, coloqueAny.

Establezca key management en "Auto/IKE".

Establezca el secreto de seguridad compartido, por ejemplo

mivpn1234 o algo menos ingenuo en
Pre-shared
secret (recuerdelo porque va en el extremo).

Active PFS (perfect forward secrecy).

Key lifietime: 3600.

Encripcin y huella: 3DES/SHA1.

Guarde los cambios con

Apply.

Verifique seleccionando el tnel que todo qued bien almancenado.

Ya fue creado el tnel, ahora seleccionelo y configure luegoAdvanced

en los parmetros de autentificacin.
Guarde simetra con el extremo. Son: Main Mode/3DES/SHA1/1024/14440 en ambas propuestas.

Otros parametros finales van en ENABLE: Netbios broadcast y keep alives.

Guarde los cambios con

Apply.

Pgina 6
 VPN usando routers Linksys por banda ancha con IP dinmica

Verifique que los cambios hayan sido introducidos.

Sitese ahora en el extremo.

Abra un tunel y coloque el mismo nombre.

Estos son los tres parmetros que no guardan simetra

- Local Secure Grop: 192.168.2.0 (su red).

- Remote Secure Group: 192.168.4.0 (la cabecera).

- Remote Security Gateway: FDQN vpnhead.dynalias.org, o

bien, si la cabecera tiene IP fija, entonces coloque esa IP.

Todo lo demas como en la cabecera, asegurando simetra. No olvide colocar los parametros avanzados y los
finales. Una vez que esto est revisado, haga

ping -a vpnhead.dynalias.org.

Si contesta, entonces en la pgina del tnel, seleccionelo y presione

Connect.

Intente comprobar el tnel haciendo ping a la primer PC remota

que es:

ping 192.168.4.2 ping 192.168.4.100

Luego por Internet Explorer, en

Mis sitios de red
, Redes explore para ver si obtiene los nombres de las PCs
remotas.

En una PC del extremo, asigne una unidad de red G:\\192.168.4.2

en previamente deje el disco C de la
primer PC de la cabecera como compartido.

Situado en la red de cabecera, haga ping 192.168.2.2 ( 100/101) para comprobar que se ve el extremo de la
VPN.

Recuerde que los equipos que desea ver fijos desde el extremo, deben tener IP fija en la cabecera.

Pgina 7
 VPN usando routers Linksys por banda ancha con IP dinmica

Una forma cmoda de ver los servidores desde el extremo es creando accesos directos o unidades de red que
reflejen los discos de la cabecera de la VPN.

Tanto en el extremo como en la cabecera, tenga un batch-file que le faclite diagnosticar el estado de cada uno
de los puntos, a modo de ejemplo este es el status.bat situado en el extremo

@echo off

ifconfig /all # tengo IP ?

pause

ping 192.168.2.1 # contesta el router ?

ping 200.x.x.x # contesta el DNS

ping vpnhead.dynalis.org # contesta la cabecera

ping 192.168.4.1 # contesta el router de la cabecera

ping 192.168.4.2 # contesta el servidor en la cabecera

IV. Consejos finales.

Una vez que su VPN se estabilice, puede deshabilitar ICMP para que no lo pingueen extraos. No olivde de
colocar eun secreto compartido que no sea ingenuo o fcil de advinar. No use por mucho tiempo el DDNS
prestado, haga su cuenta y no divulgue el nombre fuera de las personas que tengan capacidad de
administracin de esta red.

El BEFVP41 responde bien hasta 4 tneles, a pesar que soporta 70. Para ir mas all, consiga un RV082.

Siempre que pueda, suscriba una IP fija al menos para la cabecera. Con esto evita que los theles reconecten
ante el cambio de la IP dinmica en la cabecera.

Notas (para no clavarse):

El WRT54G tiene IPSec passthru, lo que significa que para armar una VPN y establecer una PC
interna como extremo, debe habilitarlo y previamente instalar y configurar in software VPN cliente
genrico em esa PC.

Si usa un cliente VPN Windows 2000 o XP sepa que este no reconoce a su cabecera por FQDN. Si
precisara de un cliente VPN genrico que ande bien con todos los Linksys, la primer eleccin es
SafeNet HA Remote y la segunda SSH Sentinel (no se soporta ms pero aun se consigue).

El WRV54G funciona tanto como extremo y cabecera ya a diferencua de los otros soporta

Pgina 8
 VPN usando routers Linksys por banda ancha con IP dinmica

autenticacun RADIUS.

Si bien es factible usar ADSL en la cabecera de la VPN, es acomsejable tener IP fija o al menos
CableModem.

Los extremos de VPN que entren via ADSL, configureloos con redial period en 180 segundos o ms.

No le pida peras al olmo: BEFVP41 hasta 4 tuneles, en adelante RV082, mas de 16 vaya a un Cisco
PIX 506E un 3000.

Si se puede estirar a un BEFVP41 no compre el BEFSX41.

Si tiene dudas, no dude en consultar, no se atasque en los vericuetos.

El dilema de los modems de siempre: nuestras preferencias son: Cisco 677 (ADSL), Motorola (Cable) y
SciAtl Webstar (Cable).

Si emple una conexin ADSL, calibre el tiempo de rediscado en un intervalo mayor o igual a 30
minutos, sino corre el riesgo que DynDNS.org le corte el servicio por abuso.

Envie sus comentarios a

carlos@wifibb.com.ar

Mucha suerte.

V. Literatura

Building and managing Virtual Private Networks

Dave Kosiur, Wiley, 1998, ISBN 0-471-29526-4

IPsec: The new security standard for the Internet, Intranets, and VPNs.
Naganand Doraswamy, Dan Harkins, Prentice Hall, 1999, ISBN 0-13-001-898-2

VI. Ms Informacin
Todo sobre Wi-Fi, broadband routers y escenarios de LAN-VPNwww.wifibb.com.ar
en

Sinopsis
Pgina 9
 VPN usando routers Linksys por banda ancha con IP dinmica

Cabecera ParmetrosExtremo
Dynamic DNS Desde la red conectada a Internet en el
Cuenta en DynDNS.org, NO-IP.com extremo verificar PING vpnhead.dynalias.net
o equivalente. Verifique que se actualice la Una vez establecido, desde la LAN del
WAN IP en el nombre deseado, ejemplo extremo, hacer PING para conocer si la
vpnhead.dynalias.net cabecera responde.
LAN IP 192.168.4.0 LAN IP192.168.2.0
Netmask 255.255.255.0 Netmask 255.255.255.0
Distintos
Router IP 192.168.4.1 Router IP:192.168.2.1
DHCP: 192.168.4.100/200 DHCP: 192.168.2.100/200
Tunel name: central Tunel name: central
Shared-secret:myvpn12345 Shared-secret:myvpn12345
PFS: enabled Simtricos PFS: enabled
Key mgmt: Auto/IKE Key mgmt: Auto/IKE
Cifrado: 3DES/SHA1 Cifrado: 3DES/SHA1
LSG: Subnet 192.168.4.0/255.255.255.0 LSG: Subnet 192.168.2.0/255.255.255.0
RSG: Subnet192.168.2.0 * Asimtricos RSG: Subnet 192.168.4.0
RGW; Any (este tunel acepta cualquier IP) RGW: FDQN vpnhead.dynalias.net
Proposasls Proposasls
Main mode/3DES/SHA1/1024/14400 Main mode/3DES/SHA1/1024/14400
Simtricos
Netbios broadcast: enabled Netbios broadcast: enabled
Keep-alives: enabled Keep-alives: enabled
PING vpnhead.dynalias.net
PING192.168.2.1 (router del extremo) PING 192.168.4.1 (responde el router por
PING192.168.2.2 (pirmer PC) Testeos mutuos IPSec)
PING192.168.2.100 (primer PC con DHCP) PING 192.168.4.2 (primer PC)
PING 192.168.4.100 (primer PC por DHCP

marcados enbold:varian en cada extremo de tunel y son distintos en cada extremo.

Pgina 10