VPN sitio a sitio usando routers Linksys por

banda ancha con IP dinmica.

Gua paso a paso.

ATENCION: vea el sitio especializado

http://www.wifibb.com.ar/
Este documento ha sido escrito con el objetivo de brindar un camino firme a la puesta en
marcha de una VPN y est orientado a nuestros clientes que nos compran sus equipos y
encuentran imcompleto o no claro el manual de los mismos, o bien, quieren saber antes de
comprar si se an a poder arreglar con el manual del producto o si pueden llegar a fracasar.

Atencin: si usted es una persona experimentada y ya tiene los dos ruteadores bien
conectados a Internet saltee toda esta explicacin y vaya directo a la sinopsis.

Queremos en cierta medida lograr que superen ese miedo y estimular las ventas. El interesado
debe poseer conocimientos de redes e Internet y tener bien claras las prestaciones, ventajas y
desventajas de poseer y llevar adelante un proyecto de VPN y el impacto en las aplicaciones.

Con todos los elementos en orden, el procedimiento llevar entre 45 y 90 minutos. Nuestro
personal tcnico brinda coaching previo y soporte a las instalaciones usando este documento
como base y el manual del BEFVP41. Es imprescindible contar con los manuales de los
modems respectivos. Asimismo, se asume que en los sitios a unir con VPN hay conexiones de
banda ancha operativas y no hay obstculos como firewalls o polticas de seguridad que
impidan trfico ICMP, UDP/500, TCP y HTTP.

Damos a conocer que si Usted es capaz de poner ambos (o ms) extremos operativos (esto es
una LAN conectada a Internet con un router Linksys, si Usted libera el puerto 8080 de
administracin remota y nos suministra las respectivas WAN IPs, luego nosotros podemos
configurar la VPN remotamente para Usted, de modo que tenga el primer feeling positivo.

Elementos
LAN en cabecera con banda ancha y rotuer Linksys BEFVP41.

Al menos una PC en la LAN de cabecera.

En el sitio remoto, banda ancha y router Linksys BEFSX41 o superior.

Al menos una PC en la LAN del sitio remoto.

Cuenta gratuita (o paga) en DynDNS.org o NO-IP.com.

I. Establecimiento de la cabecera de la VPN.

Segundamente se explica como establecer una VPN entre dos sitios (site-to-site VPN) usando
routers Linksys por banda ancha con IP dinmica. En el nodo central, cabecera, debe existir
una LAN y una conexin a Internet por banda ancha.

Esta LAN est definida por un router Linksys BEFVP41, que incluye un switch de 4 puertos.
Con un cable UTP-5 plano se conecta el router al modem ADSL o cable modem. Si va a
extender esta LAN agregando un switch, observe que sea de 100mbps y si tiene puerto uplink,
conectelo a este puerto.

Siga las insrucciones de cableado del manual de Linksys.

Asegure primero que tiene buena conectividad con Internet.

Obtenga de su ISP las direccioens de los servidores DNS.

Son en general dos del tipo 200.xxx.xxx.xxx.

En caso de poseer cable-modem de Fiberfel o Telecentro, el router deber configurarse para

tomar la IP dinmica via DHCP. En caso de poseer ADSL de alguna telefnica (Arnet o
Speedy) o alguno de sus dealers (Ciudad, Datamarkets, Netizen), establecer la conexin
PPPoE como antes estaba estipulada para la PC. Puede suceder que el modem ADSL tenga
funcin de router y no admita PPPoE, en este caso configure el modem para que le otorgue
una IP fija y luego establezca en el router esa IP como direccin WAN.

Si dispone de IP fija, mejor entonces, coloque la IP fija que ya le dio el ISP y compruebe que
funcione.

Conecte al menos una PC en este router (en algunos de los puertos del switch). Es
indispensable saber de antemano que PCs van a ser accedidas desde el extremo de la VPN.
Puede conectar el switch de su LAN. Al menos tenga una PC con IP fija (dentro de la subred
192.168.x.x) para poder hacer pruebas de conectividad desde el extremo. Si va a usar NO-
IP.com, en esta PC instale y configure el programa IP updater.

El router esta configurado de fbrica en 192.168.1.1 y entrega DHCP.

Una vez encendido, su PC se conecta con el TCP/IP configurado para obtener IP dinamica y al
resetear o encender la PC, va a obtener la IP 192.168.1.100.

Para comprobar que el router contesta, haga "ping 192.168.1.1"

Luego se conecta al puerto de administracin via el Internet Explorer en http://192.168.1.1

usuario admin password admin. En algunos routers, segn el firmware, el username va
vaco.

Si lleg hasta aqu, felicitaciones, su router est funcionando.

Establezca su red de cabecera con LAN IP 192.168.4.0 / netmask 255.255.255.0.

Establezca la direccin del router como 192.168.4.1. Asigne mas tarde las IP internas de sus
servidores en el rango 2/99.

Al cambiar esta direccin, el router se resetea y empieza a funcionar en esta subred. Si su PC

es Windows 98, reseteela para que tome una IP nueva del router. En W2000 o XP, puede
reconfigurarla deshabilitando y habilitando la interfase, si duda, reseteela.
Va a ser infinitamente ms cmodo en adelante que a la PC de administracin le coloque una
IP fija, por ejemplo la 192.168.4.2/255.255.255.0, el default gateway en 192.168.4.1 y coloque
sin falta los DNS.

Comparta al disco de esta PC para mas tarde probar su acceso desde el tnel.

IMPORTANTE: esta LAN IP es la que ver su extremo, de modo que cuando se situe en el
extremo para hacer pruebas, recuerde que esta LAN es virtual y visible cuando el tunel est
funcionando.

Habilite DHCP interno desde 192.168.4.100 en adelante.

Habilite el puerto de administracin remota 8080 y coloque un password que no sea admin al
usuario de administracin.

Habilite ICMP con Block WAN Request en DISABLE, de modo que esto no impida hacerle
PING desde afuera al router.

Resetee fsicamente el modem, luego el router y asegrese que todo funciona correctamente.

Abra una cuenta DDNS en www.dyndns.org, elija un nombre para su cabecera, por ejemplo
vpnhead.dynalias.org, y configure luego el router, en la pgina de administracin de DDNS,con
este nombre.

Asegure que al presionar DDNS>>Update, la direccin se haya actualizado.

Obtenga de la pgina de administracin Status, la WAN IP que tiene en ese momento el

router.

Verifique desde una PC conectada al router y luego repita lo mismo desde una PC en otra red
(por ejemplo desde un cyber) lo siguiente:

ping a vpnhead.dynalias.org

El resultado debe contener la direccin IP actual del router y un reporte positivo y sus
respectivos tiempos de respuesta. Llamese contento si logra un promedio de 30msec en ADSL
de las telefnicas.

Verifique que desde una PC conectada a esta red pueda navegar en Internet. Con esto
comprueba que el DHCP esta entregando DNS correctamente a los clientes de la red interna.

Verifique que consigue pingear a los servidores DNS:

ping a 200.x.x.x

Verifique ping a a distintos lugares en Internet:

ping www.sun.com

Ping www.yahoo.es

Verifique que puede navegar desde la PC conectada.

Hasta aqu aseguramos que el router es accesible desde afuera.

La WAN IP podra variar. El router se ocupa de actualizarla cada vez que expira la direccin y
toma una nueva. Puede existir un de la de 5 a 10 minutos entre que el DDNS actualiz su
entrada en DNS hasta que se propag el cambio en el DNS local.

Si puede irse a otro lugar o pedir ayuda, verifique

ping a vpnhead.dynalias.org

II. Establecimiento del extremo.

Sitese en el sitio remoto que llamaremos tanto remoto como extremo. Para cada extremo de
la VPN designe una subred, en el espacio 192.168.x.x, distinta de 1.x, 255.x y 4.x (la subred 4
es en este caso la cabecera).

Vamos a usar como ejemplo la 192.168.2.0/.255.255.255.0 (la subred dos).El prefijo 192.168.x
no esta librado al azar.

En este punto tiene que entenderse claramente que, situado en el extremo, la red VPN le va a
dar acceso virtual a la subred en la cabecera como 192.168.4.x y desde la cabecera los
extremos van a ser 192.168.x.x, en este caso 192.168.2.x

Conecte el router y asegure que obtenga buena conectividad con Internet.

Haga lo mismo que en la cabecera con respecto a ICMP y al puerto de administracin.

Establezca LAN IP 192.168.2.0./255.255.255.0.

El rotuer con su IP 192.168.2.1. DHCP activo desde 192.168.2.100.

Resetee el router y su PC y verifique que todo es funcionando.

Haga contacto con la cabecera con:

ping a vpnhead.dynalias.org

Es probable que la direccion IP de la cabecera haya variado, tngalo

en cuenta.

Intente administrar remotamente el router de la cabecera.

http://vpnhead.dynalias.org:8080

Si pudo hacerlo sin problemas, entonces est todo listo para establecer el tnel.

III. Estableciendo el tnel.

La configuracin se puede hacer local como remota. En este caso vamos a describirla
situandose primero en la cabecera y luego en el extremo.

Situado entonces en la cabecera, ingrese a la pgina de administracin del router.

En VPN, abra un nuevo tnel y coloquele un nombre cualquiera, por ejemplo extremo-uno.

Los parmetros a definir deben ser simtricos entre cabecera y extremo salvo por las
direcciones que van invertidas.
Local Secure Group: es el rango de direcciones locales que van a ser visibles en forma segura
desde el extremo, coloque Subnet 192.168.4.0/255.255.255.0.

Remote Secure Group: es el rango de direcciones de la red del extremo, coloque Subnet
192.168.2.0/255.255.255.0.

Remote Ssecurity Gateway: en la cabecera significa que este tnel acepta conexiones desde
cuaqluier extremo, coloque Any.

Establezca key management en "Auto/IKE".

Establezca el secreto de seguridad compartido, por ejemplo mivpn1234 o algo menos

ingenuo en Pre-shared secret (recuerdelo porque va en el extremo).

Active PFS (perfect forward secrecy).

Key lifietime: 3600.

Encripcin y huella: 3DES/SHA1.

Guarde los cambios con Apply.

Verifique seleccionando el tnel que todo qued bien almancenado.

Ya fue creado el tnel, ahora seleccionelo y configure luego en Advanced los parmetros de
autentificacin. Guarde simetra con el extremo. Son: Main Mode/3DES/SHA1/1024/14440 en
ambas propuestas.

Otros parametros finales van en ENABLE: Netbios broadcast y keep alives.

Guarde los cambios con Apply.

Verifique que los cambios hayan sido introducidos.

Sitese ahora en el extremo.

Abra un tunel y coloque el mismo nombre.

Estos son los tres parmetros que no guardan simetra

- Local Secure Grop: 192.168.2.0 (su red).

- Remote Secure Group: 192.168.4.0 (la cabecera).

- Remote Security Gateway: FDQN vpnhead.dynalias.org, o

bien, si la cabecera tiene IP fija, entonces coloque esa IP.

Todo lo demas como en la cabecera, asegurando simetra. No olvide colocar los parametros
avanzados y los finales. Una vez que esto est revisado, haga

ping -a vpnhead.dynalias.org.

Si contesta, entonces en la pgina del tnel, seleccionelo y presione Connect.

Intente comprobar el tnel haciendo ping a la primer PC remota

que es:
ping 192.168.4.2 ping 192.168.4.100

Luego por Internet Explorer, en Mis sitios de red, Redes explore para ver si obtiene los
nombres de las PCs remotas.

En una PC del extremo, asigne una unidad de red G: en \\192.168.4.2 previamente deje el
disco C de la primer PC de la cabecera como compartido.

Situado en la red de cabecera, haga ping 192.168.2.2 ( 100/101) para comprobar que se ve el
extremo de la VPN.

Recuerde que los equipos que desea ver fijos desde el extremo, deben tener IP fija en la
cabecera.

Una forma cmoda de ver los servidores desde el extremo es creando accesos directos o
unidades de red que reflejen los discos de la cabecera de la VPN.

Tanto en el extremo como en la cabecera, tenga un batch-file que le faclite diagnosticar el

estado de cada uno de los puntos, a modo de ejemplo este es el status.bat situado en el
extremo

@echo off

ifconfig /all # tengo IP ?

pause

ping 192.168.2.1 # contesta el router ?

ping 200.x.x.x # contesta el DNS

ping vpnhead.dynalis.org # contesta la cabecera

ping 192.168.4.1 # contesta el router de la cabecera

ping 192.168.4.2 # contesta el servidor en la cabecera

IV. Consejos finales.

Una vez que su VPN se estabilice, puede deshabilitar ICMP para que no lo pingueen extraos.
No olivde de colocar eun secreto compartido que no sea ingenuo o fcil de advinar. No use por
mucho tiempo el DDNS prestado, haga su cuenta y no divulgue el nombre fuera de las
personas que tengan capacidad de administracin de esta red.

El BEFVP41 responde bien hasta 4 tneles, a pesar que soporta 70. Para ir mas all, consiga
un RV082.

Siempre que pueda, suscriba una IP fija al menos para la cabecera. Con esto evita que los
theles reconecten ante el cambio de la IP dinmica en la cabecera.

Notas (para no clavarse):

El WRT54G tiene IPSec passthru, lo que significa que para armar una VPN y
establecer una PC interna como extremo, debe habilitarlo y previamente instalar y
configurar in software VPN cliente genrico em esa PC.
 Si usa un cliente VPN Windows 2000 o XP sepa que este no reconoce a su cabecera
por FQDN. Si precisara de un cliente VPN genrico que ande bien con todos los
Linksys, la primer eleccin es SafeNet HA Remote y la segunda SSH Sentinel (no se
soporta ms pero aun se consigue).
El WRV54G funciona tanto como extremo y cabecera ya a diferencua de los otros
soporta autenticacun RADIUS.
Si bien es factible usar ADSL en la cabecera de la VPN, es acomsejable tener IP fija o
al menos CableModem.
Los extremos de VPN que entren via ADSL, configureloos con redial period en 180
segundos o ms.
No le pida peras al olmo: BEFVP41 hasta 4 tuneles, en adelante RV082, mas de 16
vaya a un Cisco PIX 506E un 3000.
Si tiene dudas, no dude en consultar, no se atasque en los vericuetos.
El dilema de los modems de siempre: nuestras preferencias son: Cisco 677 (ADSL),
Motorola (Cable) y SciAtl Webstar (Cable).

Envie sus comentarios a carlos@wifibb.com.ar

Mucha suerte.

V. Literatura

Building and managing Virtual Private Networks

Dave Kosiur, Wiley, 1998, ISBN 0-471-29526-4

IPsec: The new security standard for the Internet, Intranets, and VPNs.
Naganand Doraswamy, Dan Harkins, Prentice Hall, 1999, ISBN 0-13-001-898-2

VI. Ms Informacin

Todo sobre Wi-Fi, broadband routers y escenarios de LAN-VPN en

www.wifibb.com.ar

Sinopsis
Cabecera
Dynamic DNS
Cuenta en DynDNS.org, NO-IP.com
o equivalente. Verifique que se actualice
la WAN IP en el nombre deseado,
ejemplo vpnhead.dynalias.net
Parmetros Extremo
Desde la red conectada a Internet en el
extremo verificar PING
vpnhead.dynalias.net
Una vez establecido, desde la LAN del
extremo, hacer PING para conocer si la
 cabecera responde.

LAN IP 192.168.4.0 LAN IP 192.168.2.0

Netmask 255.255.255.0 Netmask 255.255.255.0
Distintos
Router IP 192.168.4.1 Router IP: 192.168.2.1
DHCP: 192.168.4.100/200 DHCP: 192.168.2.100/200

Tunel name: central Tunel name: central

Shared-secret: myvpn12345 Shared-secret: myvpn12345
PFS: enabled Simtricos PFS: enabled
Key mgmt: Auto/IKE Key mgmt: Auto/IKE
Cifrado: 3DES/SHA1 Cifrado: 3DES/SHA1

LSG: Subnet 192.168.4.0/255.255.255.0

LSG: Subnet 192.168.2.0/255.255.255.0
RSG: Subnet 192.168.2.0 *
Asimtricos RSG: Subnet 192.168.4.0
RGW; Any (este tunel acepta cualquier
RGW: FDQN vpnhead.dynalias.net
IP)

Proposasls Proposasls
Main mode/3DES/SHA1/1024/14400 Main mode/3DES/SHA1/1024/14400
Simtricos
Netbios broadcast: enabled Netbios broadcast: enabled
Keep-alives: enabled Keep-alives: enabled

PING vpnhead.dynalias.net
PING 192.168.2.1 (router del extremo) PING 192.168.4.1 (responde el router
PING 192.168.2.2 (pirmer PC) por IPSec)
Testeos mutuos
PING 192.168.2.100 (primer PC con PING 192.168.4.2 (primer PC)
DHCP) PING 192.168.4.100 (primer PC por
DHCP

marcados en bold: varian en cada extremo de tunel y son distintos en cada extremo.