Ir al contenido principal

IPsec VPN Endian 2.4.1

Conexión VPN IPsec entre dos enlaces Infinitum (ADSL) con IP dinámica.
(Red a Red)


Ambos enlaces al no contar con ip fija necesitan una configuración de DynDNS y para que funcione el DynDNS necesitamos mapear la ip publica al Endian Firewall.

Los modems que ofrece Telmex constantemente están cambiando de marca por lo que no hay una garantía de que cualquier módem pueda funcionar para este mapeo de ip.

Los módem 2Wire son los que hasta el momento han funcionado bastante bien en los enlaces vpn, pero Telmex ya no los proporciona. De igual manera en caso de que no contemos con un módem adecuado para esta configuración lo podemos conseguir en mercado libre, el 2wire recomendado es el modelo 2701.



Configuración Modo DMZ Plus para 2wire 2701

  • Configurar la Interfase Wan(Roja) del Endian Firewall en modo DHCP.
  • Configurar el módem 2wire.
Contraseña por default: Clave WEPKEY, esta se encuentra a un costado del módem es una serie de 10 dígitos entre corchetes.

Ir a Bloqueo de Intrusos ==> Configuración del Bloque de Intrusos.

1.- Seleccionar nuestro Firewall Endian, en caso de que no lo muestre tal vez es necesario reiniciar el Firewall Endian, en algunas ocasiones solo muestra la leyenda unknown seguido por la MacAddress igualmente la podemos seleccionar si coincide con nuestro firewall.

2.- Seleccionamos la ultima opción. Permitir todas las aplicaciones (modo DMZplus).

Le damos aceptar, al finalizar mostrara un resumen.

Ejemplo.




Configuración Modo Puente para módem Thomson TG585V7 y EchoLife HG520c
  • Configurar la Interfase Wan(Roja) del Endian Firewall en modo PPPoE, se necesita ingresar el usuario y contraseña de Infinitum.
Módem Thomson TG585V7(Versión 7)


Usuario: TELMEX
Password: (WEPKEY)
Módem ==> Configurar en modo Puente
VPI/VCI  = 8.81
Servidor DHCP = Habilitado
Control de acceso = Lo dejamos igual



Módem EchoLife HG520c


Usuario: TELMEX
Password: (WEPKEY)
Básico ==> Configuración Wan ==> Modo Puente
VPI/VCI  = 8.81
Encapsulamiento = RFC2684
Múltiplex = LLC
Servidor DHCP = Habilitado
Control de acceso = Lo dejamos igual



Configuración DynDNS Firewall Endian 2.4.1



Con la configuración anterior ya tendremos la ip publica asignada en nuestra interfase Wan(Roja).
Ejemplo. En el resumen de la pagina principal de Endian nos muestra la ip publica.



Antes de configurar  el servicio de DynDNS, en esta versión de Endian 2.4.1 se necesita arreglar un pequeño bug al actualizarse la ip en dyndns.org

Editar el archivo /usr/local/bin/setddns.pl
Linea 386

Cambiar este código.
if ($settings{'SERVICE'} = 'zoneedit') {$serverdir = '-s'; $serveradd = 'dynamic.zoneedit.com';}

Por este otro.
if ($settings{'SERVICE'} eq 'zoneedit') {$serverdir = '-s'; $serveradd = 'dynamic.zoneedit.com';}



Configurar DynDNS

  • Obtener los nombres de dominio  en  http://dyn.com/dns/dyndns-free/
  • En la pagina del firewall Endian Ir a Servicios ==> DNS Dinámico ==> Agregar un Anfitrión




Configuración del Túnel IPsec



Habilitar IPsec.

Ir a VPN ==> IPsec ==> Configuraciones Generales ==> Activado ==> Guardar



Añadir túnel VPN



Ir a VPN ==> IPsec ==> Configuraciones Generales ==> Añadir ==> Seleccionar Red a Red Privada Virtual.



 Servidor 1 de Endian Firewall. (LOCAL)


Agregamos un nombre descriptivo a nuestra conexión. Y agregamos los datos requeridos tanto para el Endian Local como el Endian remoto.

Local
Subred Local: Dirección de red con mascara de red en notación CIDR.
ID local: Cualquier nombre descriptivo pero este ID sera usado para validar la conexión.

Remoto
Dirección IP o host remoto: Nombre de dominio obtenido en dyndns.org
Subred remota: Dirección de Red con Mascara de red en notación CIDR
ID remoto: Cualquier nombre descriptivo pero este ID sera usado para validar la conexión.

Autenticación
Use una llave compartida previamente: contraseña para iniciar la conexión.




Servidor 2 de Endian Firewall. (REMOTO)

Para la configuración del Endian remoto se hace exactamente lo mismo, realmente se invierten algunos valores.





Ejemplo.




Le damos guardar y la conexión vpn se iniciara al conectarse mostrara un botón verde con la leyenda "ABIERTA" eso significa que ya estamos conectados a la red remota.





NOTAS:

Si queremos cambiar algún parámetro solo editamos la conexión en el icono del lápiz. También podemos forzar la reconexion en las flechitas encontradas o deshabilitar la conexión desmarcando el cuadro.

Al editar la conexión hay un botón al final de la pagina con la leyenda de avanzado. En ella podemos afinar mas nuestra conexión VPN, sobre todo cuando queremos enlazar nuestro Firewall Endian con algún otro router firewall basado en el estándar de IPSec.






















Comentarios

Publicar un comentario

Entradas populares de este blog

 Extensiones Remotas Issabel PBX

Extensiones Remotas Issabel/Elastix Usar extensiones Remotas En Issabel PBX no es complicado, pero si debemos de considerar varios puntos, para tener extensiones remotas con una buena calidad de voz y sin olvidarse de la seguridad. La configuración es aplicable para instalaciones en servidores Elastix, solo que la configuración de Fail2Ban se debe de hacer manualmente desde la consola de Linux. Internet  No importa si es una extensión o varias a configurar siempre hay que tener en cuenta que si usamos el mismo enlace para navegar, los canales de voz perderán ante los protocolos de navegación como http, ftp etc. Por lo que tendremos una mala calidad en nuestras llamadas, por ejemplo voz entrecortada. Nota: Algunos clientes en la PC hacen descargas de archivos tomando todo el ancho de banda disponible, afectando la calidad de voz. Seguridad Ante las experiencias que se vivieron con Elastix y VtigerCRM, muchos ya no intentaron publicar su PBX en Internet, el hackeo a sus PBX solo toma...
Publicar un comentario
Leer más

Let’s Encrypt certificados Gratis en Linux - SSL/TLS con certbot para APACHE, POSTFIX y DOVECOT.

Certificado SSL/TLS con Certbot APACHE, POSTFIX, y DOVECOT Let’s Encrypt nos permite obtener Certificados gratis con una duración aproximadamente de 3 meses, pero es muy fácil renovar, y si no hay cambios de dominios en nuestros servidores se puede automatizar con un simple cron. En esta ocasión se usara la herramienta certbot es un cliente ACME, el cual permite controlar y verificar los nombres de dominio, hay varios clientes ACME se pueden revisar en la pagina de  Let’s Encrypt   El cliente de certbot puede estar ya incluido en la distribucion Linux. Por ejemplo para instalarlo en OpenSuse Leap 15.1 # zypper install python3-certbot Si tienes problemas para instalar en tu distribución linux, puedes hacerlo vía snap, en la pagina de  certbot  hay varios tips de como instarlo y usarlo. APACHE (HTTPS 443) Generalmente ya se cuenta con servidor configurado con https apuntando con uno o mas dominios al servidor. Por lo que solo hay que correr certbot y el...
Publicar un comentario
Leer más

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti Firmware 1.6 Configurar DynDNS no es nada complicado desde la interfaz Web del Router Ubiquiti. Ir a  Services ==> DNS ==>  Dynamic DNS ==>  Add New Seleccionar nuestra interface conectada a Internet, el servicio que usaremos(dyndns), hostname, usuario y contraseña. Sin embargo en versiones 1.6  EdgeOS firmware, había bugs que hacia que no funcionara correctamente la actualización de la IP publica en DynDNS, por lo que  es bueno saber como configurar DynDNS vía consola. Corregir Bug. Nos conectamos a la consola del Router Ubiquiti ssh ubnt@192.168.45.254 Editamos el script, para corregir  el problema de que no actualiza la ip IP publica en Dyndns. $ sudo -u root vi /opt/vyatta/sbin/vyatta-dynamic-dns.pl Comentar la siguiente linea, aproximadamente en la linea 107. # $output .= "use=if, if=$interface\n\n\n"; Y agregar la siguiente linea. $output .= "use=web, web=checkip.dynd...
Publicar un comentario
Leer más