Blog

Ayuda VPN – Virtualmente conectado a la red

VPN significa red privada virtual y es una forma de establecer una «red privada» segura para una computadora en otra ubicación a través de la Internet pública. Las empresas lo utilizan con frecuencia para permitir que los empleados trabajen a distancia y establezcan una conexión a la red privada de su empresa. Si no necesita esta capacidad, no se preocupe por la falta de capacidad de VPN en el enrutador que va a comprar.

Si necesita esta capacidad, verifique cuidadosamente las especificaciones de su enrutador para asegurarse de que su elección sea compatible con el protocolo que necesita. microsoft PPTP es compatible con frecuencia, algunas unidades lo admiten IPsecy solo algunos apoyos L2TP.

atencion ml-7020588Si usa Internet Connection Sharing (ICS) de Microsoft para compartir su conexión, olvídese de usar VPN basada en IPsec ya que no es compatible.

tipo_hp-1469827 ¿Apurado? Vaya a los consejos para la solución de problemas del cliente VPN.

Puede encontrar ayuda específica de PPTP en esta página.

Si se conecta a un servidor VPN remoto desde una computadora en el lado LAN de su enrutador, necesita la capacidad VPN de «paso a través del cliente». Cuando se ejecuta en modo «pass-thru», generalmente necesita ejecutar algún tipo de software de cliente en su computadora. Veamos los dos protocolos VPN más populares:

  • PPTP (pagmantequilla a pagmanteca Tdesapego pagguirnalda)
    La solución VPN de Microsoft. Ampliamente utilizado (ya que el cliente viene incluido con Win95/98), pero no se considera tan robusto como IPsec.
  • IPsec (IInternet pagguirnalda secofealdad)
    Con el respaldo de Cisco, muchos consideran que IPsec es más seguro que PPTP debido a su mayor nivel de cifrado.

Para usar cualquiera de estos protocolos desde computadoras en su LAN para conectarse a un servidor VPN a través de Internet, su enrutador debe admitir «transferencia de cliente» para el protocolo que necesita. Algunos enrutadores admiten un solo cliente «pass-thru», otros admiten muchos. En cualquier caso, deberá ejecutar algún tipo de software VPN en sus máquinas cliente.

atención_blink-3170156NOTA: Muchos enrutadores económicos tienen una «función» de VPN que permite múltiples sesiones de cliente de transferencia, pero solo una sesión VPN para cada «terminador» de túnel VPN. Esto significa que no puede conectar varios clientes VPN al mismo servidor VPN al mismo tiempo, solo puede conectarse a uno un cliente de servidor VPN.

Si necesita admitir varios clientes VPN en el mismo servidor, asegúrese de que su enrutador admita la capacidad de hacerlo. Debido a la variedad de configuraciones de VPN y la dificultad de obtener la información correcta de muchos proveedores de enrutadores, su apuesta más segura es gastar algo de dinero extra y obtener un enrutador que tenga un punto final de VPN incorporado (consulte a continuación).

Algunos enrutadores vienen con un cliente VPN integrado en el enrutador o están disponibles por $ extra (¡generalmente $$$!). A veces denominada «Punto final de VPN» o «Extremo de VPN», esta capacidad es más común con las VPN IPSec y termina el «túnel» de VPN. en el enrutador. Esto permite que las computadoras en el lado LAN del enrutador no debe ejecutar el software del cliente VPN y hacer que todo el lado LAN del enrutador sea una extensión de la LAN del servidor VPN.

Sin embargo, si va a estar alojamiento una VPN Servidor detrás del enrutador, lo que significa que los usuarios se conectarán a , asegúrese de que su enrutador admita VPN de «paso a través del servidor» en el protocolo que necesita. El «paso a través del servidor» generalmente solo admite un servidor VPN.

A menos que se indique lo contrario, asuma que el enrutador en sí no es un servidor VPN o «punto final».

[Help for setting up a PPTP connection through a router is available here.]

Muchos ISP configuran listas de control de acceso en sus enrutadores para filtrar (es decir, descartar) el tráfico IPSec. Algunos ISP cobran más por los servicios empresariales que por los servicios de consumo (@Home Comcast, por ejemplo) y no quieren que la gente compre servicios de consumo y los utilice para los negocios.

Si no puede hacer que su conexión VPN funcione, pregunte a su proveedor de servicios si filtran el tráfico IPSec. Si es así, quéjese ante ellos, cambie de ISP si es posible, o presente una queja ante el Fiscal General de su estado o la oficina de Asuntos del Consumidor.

Recientemente escuché de un usuario que tuvo problemas para hacer que su cliente IPsec funcionara con un enrutador que admitía el paso de IPsec. El problema resultó ser que la VPN en cuestión estaba usando Encabezado de autenticación. Dejaré Mike Shields de Netgear explicar:

El problema es la autenticación de encabezado y ningún NAT funcionará con él. Cuando una empresa implementa un sistema VPN con IPSec, puede optar por incluir información del encabezado del paquete en el esquema de autenticación o simplemente hacer que el cuerpo del mensaje contenga la autenticación. Si eligen incluir el encabezado, entonces no se puede cambiar absolutamente nada en el encabezado, o el otro extremo considerará que el paquete está falsificado y lo rechazará.

Cuando un enrutador realiza NAT, reemplaza la dirección de origen en el encabezado del paquete con su propia dirección, por lo que fallaría la autenticación del encabezado. Afortunadamente, la mayoría de las empresas no utilizan la autenticación de encabezado, sino que confían en la autenticación de paquetes. Esto puede dejar paquetes vulnerables al secuestro, pero creo que causa menos problemas en el funcionamiento confiable de la VPN.

Un usuario en esta situación podría usar un enrutador (más $$$) que hace el punto final de IPsec, no solo el paso. En este caso, el enrutador está ejecutando el cliente IPSec, no la PC, por lo que toda la codificación y el cifrado se realizan detrás de la NAT. El problema es que el cliente IPSec del enrutador debe ser compatible con el servidor IPSec al final, y no todas las implementaciones de IPSec son iguales. ¿Quién dijo «Lo bueno de los estándares es que hay tantos para elegir»?

Algunos esquemas de cifrado utilizados por IPsec no son «NATable». Por ejemplo, los enrutadores FMZ y NAT no encapsulados no funcionan bien. Intente usar ISAKMP o encapsulado Cifrado FMZ si su cliente IPsec permite estas opciones. (Para más información al respecto, vaya a esta página.)

Estos son algunos consejos que hemos recogido de los usuarios. Si desea contribuir con información sobre cómo hizo funcionar la configuración de su VPN, enviarlo adentro!

  • Cliente VPN de AT&T
    AT&T Global Networks (anteriormente IBM Global Networks), usaba la autenticación de encabezado IPSec y, por lo tanto, no funcionaba a través de un dispositivo NAT. La nueva versión del software AT&T Client VPN (que llaman «marcador» con Bluemoon Tunneling) ahora es compatible con la autenticación de datos IPSec sin autenticación de encabezado IPSec, y ahora funciona a través de enrutadores.

    Sin embargo, para hacer esto, debe colocar las siguientes dos declaraciones no documentadas en el archivo «custom.ini» que se encuentra en el mismo directorio que el resto del software del cliente VPN (generalmente c:archivos de programaAT&T Global Network) . La versión del software del cliente de AT&T debe ser 4.25.2 o superior (que se lanzó el 6 de septiembre de 2000). Además, asegúrese de que el paso a través de IPSec esté habilitado en el enrutador si es necesario.

    En custom.ini poner:

[BlueMoon]
AllowNatThroughFireWall=Verdadero

(Si no se siente cómodo editando el archivo custom.ini, ATT Global Network Services tiene una herramienta útil que puede descargar y ejecutar que lo hará por usted. Ven aquí y descargar «natswitch.exe» y ejecutarlo.)

  • cisco Altiga
    No se requiere reenvío de puertos en el enrutador. Colocar «permitir el paso de NAT» en el cliente Altiga

  • Sistemas compatibles (ahora parte de Cisco) Cliente VPN IntraPort
    [Thanks to Chad Varner]

    • Colocar «Usar el modo de transparencia NAT”, luego cierre completamente el cliente VPN y reinícielo. No siempre reconoce el cambio de estado en esa casilla de verificación hasta que cierra y reinicia el cliente.

    • Si su ISP usa «WCCP” (Protocolo de control de caché web… una característica de algunos enrutadores Cisco), El modo de transparencia NAT no funcionará. Cuando el modo de transparencia NAT está habilitado, el cliente VPN se comunica con el servidor a través de los puertos TCP «http» (80) y 500. «WCCP» realiza el almacenamiento en caché en el puerto 80 para acelerar el acceso web. Este caché en el puerto 80 le impide establecer el túnel VPN autenticado entre su cliente y el servidor VPN en el otro extremo.

    • En una nota relacionada, algunos ISP usan «flujo de caché” servidores: Este es WCCP con otro nombre y causa exactamente el mismo problema. El soporte técnico de Compatibil dice si su ISP lo hace cualquier cosa almacenamiento en caché en el puerto 80, ya sea WCCP, CacheFlow o de otro modo, el modo de transparencia NAT no funcionará, punto, fin, fin de la historia. Hasta ahora, la única forma de evitar WCCP es obtener una dirección IP estática y hacer que su ISP enrute su dirección alrededor del servidor WCCP. O cambie los ISP a uno que no use WCCP.

  • Página de preguntas frecuentes de Checkpoint Firewall-1

  • Punto de control VPN-1 SecuRemote 4.1
    Es posible que deba configurar el cliente para usar el modo de encapsulación UDP:

    ====Léame de SecureRemote 4.1 SP2======

    El modo de encapsulación UDP permite a los usuarios de IKE/IPSec SecuRemote atravesar dispositivos de traducción de direcciones de red, firewalls y otros dispositivos que no pueden manejar paquetes IPSec. También permite que varios usuarios de SecuRemote trabajen con IPSec detrás de un dispositivo NAT de mapeo de puertos, también conocido como NAT dinámico (por ejemplo, modo FireWall-1 Hide NAT) con la misma puerta de enlace VPN-1/SecuRemote/SecureClient. Esto se hace encapsulando paquetes IPSec en datagramas UDP. Esta opción se negocia en IKE. VPN-1/SecuRemote/SecureClient admite esta función solo en el modo IPSec ESP (no se admite AH).

    Hay dos modos de encapsulación UDP disponibles:
    – Modo automático donde la encapsulación UDP se realiza solo cuando el cliente SecuRemote está detrás de un dispositivo de traducción de direcciones de red dinámicas configurado para el modo Oculto. En otros casos, los paquetes IPSec se transmiten de forma estándar. El servidor determina cómo reenviar paquetes IPSec según el valor del puerto de origen en los paquetes IKE.
    – Forzar al cliente a trabajar solo en modo de encapsulación UDP. La comunicación está habilitada solo si la puerta de enlace admite la encapsulación UDP y siempre usa el modo de encapsulación UDP. El modo forzado debe usarse si el cliente está detrás de dispositivos que descartan o dañan paquetes IPSec pero no modifican paquetes IKE.

  • Cliente Extranet de Nortel:
    Prueba el reenvío de puertos 500 y 1723 al cliente LAN IPsec

    Ver también este ejemplo de una extranet de Nortel y un teléfono IP con un enrutador SMC Barricade.

  • USANDO Tarjetas con símbolo SecureID para la autenticación?
    intente reenviar el puerto TCP/UDP 500 a su cliente LAN

  • Shiva LanroverVPN: Reenvíe el puerto 2233 al cliente LAN VPN.

  • Cliente VPN de usuario móvil de Watchguard 2.0:
    Configurar un servicio AnyVPN
    De: ipsecusers Para: De confianza
    Salida de: De confianza para: ipsecusers

Esta página para el libro de Dave Kosiur «Creación y gestión de redes privadas virtuales», tiene muchos enlaces. encontré su tabla de funciones de productos VPN particularmente interesante


Si está interesado en aprender más sobre PPTPecha un vistazo a estos artículos:


Si está interesado en aprender más sobre IPSececha un vistazo a estos artículos:

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar