Visión general de la VPN del router GWN
Una red privada virtual (VPN) se utiliza para crear una conexión cifrada que permite a los usuarios intercambiar datos a través de redes compartidas o públicas actuando como clientes conectados a una red privada. La ventaja de utilizar una VPN es que garantiza el nivel adecuado de seguridad para los sistemas conectados cuando la infraestructura de red subyacente por sí sola no puede proporcionarlo. Los tipos más comunes de VPN son las VPN de acceso remoto y las VPN de sitio a sitio. Las VPN pueden definirse entre puntos finales específicos, como teléfonos IP y ordenadores, y servidores en centros de datos separados cuando los requisitos de seguridad para sus intercambios superan lo que puede ofrecer la red de la empresa.
Cada vez más, las empresas utilizan VPNs para asegurar el intercambio de datos y voz. Los routers Grandstream GWN7800 admiten varios tipos de VPN, lo que permite a los instaladores crear conexiones cifradas y en túnel a través de redes compartidas o públicas, y permite a los usuarios intercambiar datos de forma segura. Estos tipos de VPN son:
OpenVPN: Cliente/Servidor
IPSec: Cliente/Servidor
L2TP: Cliente
PPTP: Cliente
Configuración de una VPN de sitio a sitio con OpenVPN
OpenVPN® es un sistema VPN que ofrece una Community Edition (CE) de código abierto, y es una de las soluciones VPN más populares. Admite conexiones de sitio a sitio o de punto a punto en configuración enrutada o puenteada y para casos de uso de acceso remoto. La implementación de esta solución puede realizarse tanto en aplicaciones cliente como servidor. En este ejemplo, un cliente tiene varias sucursales conectadas a Internet mediante routers de la serie GWN7000 de Grandstream.
El cliente desea establecer un túnel VPN cifrado entre la oficina principal y otra sucursal para poder acceder de forma segura a los activos del servidor en la red de la oficina principal. La configuración de este túnel permitirá además que las llamadas VoIP pasen a través del túnel VPN para evitar posibles escuchas clandestinas entre los dos sitios. El sitio principal tiene una subred LAN con un rango de: 192.168.80.0/24 (Servidor OpenVPN®).
El Branch Site tiene una subred LAN con un rango de: 192.168.5.0/24 (Cliente OpenVPN®)
El túnel VPN tendrá el siguiente rango de IP: 10.0.10.0/24.... La siguiente figura muestra el diagrama real de la red:
Creación de un Certificado de Autoridad y Certificados Cliente/Servidor
- Antes de configurar el Cliente/Servidor OpenVPN®, se debe generar un Certificado de Autoridad (CA) y un Certificado de Servidor, y añadir usuarios con un Certificado de Cliente.
- Una Autoridad de Certificación (CA) es una entidad de confianza que emite documentos electrónicos que verifican la identidad de una entidad digital en Internet. Los documentos electrónicos (también conocidos como certificados digitales) son una parte esencial de la comunicación segura y desempeñan un papel importante en la infraestructura de clave pública (PKI).
- Los certificados pueden crearse en la interfaz gráfica de usuario del enrutador GWN o a través de GWN.Cloud/Manager, en la pestaña Sistemas > Gestión de certificados > Certificado. La personalización de los certificados puede configurarse completamente en este menú de ajustes.
- Con una autoridad de certificación creada, el siguiente paso es generar los certificados de servidor y cliente, lo que puede hacerse dentro de la GUI del dispositivo enrutador GWN o a través de GWN.Cloud/Manager. Esto se asignará tanto al servidor como al cliente para que pueda verificarse un túnel cifrado entre ambos.
Creación y vinculación de un servidor OpenVPN
Una vez generados correctamente los certificados de Cliente y Servidor, ya están listos para ser asignados y utilizados por el Servidor OpenVPN®. Para crear un servidor VPN, vaya a VPN > Servidor VPN, Servidor OpenVPN®. Los ajustes del servidor, como el tipo, el nombre, el estado, el protocolo, los ajustes TLS, etc., pueden configurarse desde esta opción del menú. Desde este menú también se puede acceder a los Modos de Autenticación del servidor, pudiendo elegir entre:
SSL: Autenticación realizada únicamente mediante certificados, sin necesidad de autenticación de usuario/contraseña. Esto permite que cada usuario tenga una configuración de cliente única que incluye su certificado y clave personal, que se hizo anteriormente. Esto se elige normalmente para proporcionar a los usuarios un acceso VPN sin problemas, sin embargo, puede ser menos seguro, ya que no requiere la capa de seguridad adicional de un nombre de usuario y contraseña.
Autenticación de usuario: Con esta opción, la autenticación se realiza utilizando únicamente la Autoridad de Certificación y el nombre de usuario y contraseña, es decir, sin certificados. Esta configuración es útil cuando crear certificados individuales para cada usuario sería un paso innecesario, y los usuarios pueden compartir una clave TLS y tener sus propios nombres de usuario/contraseñas.
SSL + Autenticación de usuario: Este tipo de autenticación requiere tanto un certificado como un nombre de usuario/contraseña. Cada usuario tiene una configuración de cliente, un nombre de usuario y una contraseña únicos.
PSK: Esta autenticación se utiliza para establecer una configuración OpenVPN® punto a punto. Se creará un túnel VPN con un punto final servidor de una IP especificada y un punto final cliente de una IP especificada. La comunicación cifrada entre el cliente y el servidor se producirá a través del puerto UDP 1194, que es el puerto OpenVPN® predeterminado. Este método es increíblemente seguro, ya que hay múltiples factores de autenticación, Clave TLS, Certificado, y nombre de usuario y contraseña.
El paso final en la creación del servidor es permitirlo en los terrenos de red deseados. Esto se hace editando las VLANs creadas y estableciendo el nuevo servidor como Destino deseado. Con este acabado, el cliente OpenVPN® puede configurarse en el router GWN en cualquier sucursal que necesite conectarse a la central. Esto puede hacerse a través de la GUI del router o a través de GWN.Cloud/Manager mediante la opción de menú VPN > VPN Clients. Al igual que con el servidor OpenVPN®, asegúrese de permitir OpenVPN® Client en los grupos de red deseados
Configuración de una VPN Cliente L2TP
Layer 2 Tunneling Protocol (L2TP) es un protocolo de tunelización utilizado para soportar redes privadas virtuales (VPNs) o como parte de la entrega de servicios por parte de los ISPs. No proporciona cifrado ni confidencialidad por sí mismo. Más bien, se basa en un protocolo de cifrado que pasa dentro del túnel para proporcionar privacidad. Los despliegues de L2TP suelen realizarse junto con otras tecnologías, como IPSec, para proporcionar capacidades de cifrado y autenticación. L2TP se implementa con mayor frecuencia como una VPN de acceso remoto, proporcionando a los usuarios remotos que trabajan desde una oficina en casa o de viaje acceso a una red centralizada. La configuración de L2TP en un router GWN es bastante sencilla, ya que requiere la información del servidor, el nombre de usuario y la contraseña de la configuración del servidor VPN al añadir el cliente VPN.
Configuración de una VPN PPTP
PPTP es un protocolo de capa de enlace de datos para redes de área extensa (WAN) basado en el Protocolo Punto a Punto (PPP) y desarrollado por Microsoft que permite encapsular y enrutar el tráfico de red a través de una red pública no segura como Internet. El Protocolo de Túnel Punto a Punto (PPTP) permite la creación de redes privadas virtuales (VPN), que tunelizan el tráfico TCP/IP a través de Internet. Los routers GWN70xx soportan PPTP Client VPN, la VPN creada puede ser asociada a una VLAN por lo que todos los dispositivos conectados al router utilizarán el túnel VPN.
El primer paso para crear la VPN PPTP es crear y configurar los parámetros del servidor PPTP. Es importante tener en cuenta que la dirección del servidor PPTP tiene que ser la misma que en nuestro cliente PPTP. Otros ajustes como PPE, reenvío entre sitios, políticas de enrutamiento de tráfico y otros parámetros se pueden editar desde la GUI de los routers GWN o desde GWN.Cloud/Manager. Una vez completada la configuración del servidor, se deben crear las credenciales de usuario PPTP para que puedan conectarse al servidor PPTP. La creación de usuarios PPTP es un proceso sencillo, que sólo requiere el nombre completo del usuario, un nombre de usuario relacionado y una contraseña. Estos se utilizarán para configurar el Cliente PPTP en el siguiente paso.
Una vez creados los Usuarios PPTP, el siguiente paso es comenzar a configurar los clientes, lo que puede hacerse en el submenú Clientes VPN del router GWN. Al crear un nuevo cliente VPN, se deben introducir aquí el nombre de usuario y la contraseña que se establecieron previamente en el conjunto de creación de usuarios PPTP. Por último, debe habilitarse la VPN de cliente PPTP en las VLAN deseadas.