Bueno continuamos el tema de VPN's y hoy quise hacer una practica muy similar a la anterior de Untangle (INSTALANDO UN SERVIDOR OPENVPN EN UNTANGLE) la finalidad sera la misma, brindar acceso a un cliente externo a los recursos de la LAN. Utilizaremos la misma topología que la utilizada en el link anterior, también tendremos adicionalmente una red DMZ pero no la utilizaremos.
En este caso el servidor VPN sera ISA Server, además para poder realizar esta practica también les recomiendo tener conocimientos previos sobre reglas de NAT y Firewall, además el manejo básico de ISA Server 2006, para ello recomiendo visitar los siguientes enlaces.
CONFIGURANDO FIREWALL Y NAT EN ISA SERVER 2006
Esto lo digo ya que para poder comprender como se comunicara la red VPN con las redes LAN y DMZ o con las redes que tuviesen.
Comenzaremos creando un usuario y un grupo, los usuarios serán quienes se autentiquen con el servidor VPN.
Definimos el nombre de usuario y la contraseña con la que nos autenticaremos con el servidor VPN.
Ahora agregamos el usuario que acabamos de crear a un grupo nuevo.
El grupo se llama ClientesVPN.
A manera de prueba este sera mi único usuario del grupo, si ustedes lo desean agregan mas según sus requerimientos.
Ahora configuraremos directamente las opciones de la VPN, ISA Server recomienda seguir 5 pasos básicos los cuales están mostrados en la siguiente imagen, comenzamos editando el método de asignación de direcciones.
En este caso vamos a utilizar autenticación mediante clave precompartida por medio del protocolo L2TP o Protocolo de túnel de capa 2.
Ahora elegimos el pool de direcciones que se le asignara a los clientes VPN, cabe resaltar que aunque los clientes VPN quedaran dentro de nuestra red interna el pool de direcciones debe ser una red diferente.
Ahora continuamos con el siguiente link.
Alli agregamos el grupo de usuarios creado anteriormente ya que estos son los que se pueden autenticar en la VPN.
Ahora definimos la cantidad máxima de clientes VPN permitidos, teniendo en cuenta que no puede ser mayor a el numero de direcciones IP a asignar en el pool que creamos.
Elegimos el protocolo.
Ahora creamos una regla de Firewall que permita el acceso de los clientes VPN a la LAN (y a la DMZ si así lo deseáramos).
Elegimos todo el trafico saliente.
Ahora debemos crear una regla que traduzca las direcciones publicas de la VPN a una dirección interna ya asignada, en este caso la 172.10.1.0
Bueno les explicare un poco lo hecho anteriormente.
Para que los clientes de la VPN puedan tener direcciones internas y comunicarse entre las diferentes redes deben existir reglas de enmascaramiento o traducción de direcciones (NAT), para esto creamos la regla anterior.
Sin embargo tan solo con esta regla el podrá reconocer su gateway dentro de la red interna mas no podra comunicarse con otras subredes, para lograr esto deben existir reglas de nateo desde el cliente VPN hasta las subredes con las que se vaya a comunicar; es decir; que si quisiera dar un ping a la LAN deberá tener creada dicha regla para que el paquete ICMP se enmascare con una IP dentro de la LAN y el ping sea exitoso. El siguiente es un ejemplo de regla de NAT para que los clientes VPN se comuniquen con la LAN y la DMZ.
También debemos tener en cuenta que el Firewall debe permitir reglas entre los clientes VPN y las redes deseadas, es decir que dicho ping enviado desde el cliente VPN hasta la LAN también deberá estar permitido en las reglas de Firewall.
Teniendo esto claro podremos continuar, y en la siguiente imagen les muestro las tarjetas de red del ISA Server, observamos la IP de la LAN y la de la WAN, a esta IP (192.168.0.14) sera que los clientes VPN deberán conectarse.
En la siguiente imagen observamos 2 equipos, uno es el cliente VPN (el de la izquierda) y el de la derecha es un usuario de la LAN.
Ahora configuraremos el cliente VPN, primero vamos a crear la conexión nueva.
Elegimos conectarnos a la red de trabajo.
Ahora elegimos conexión a red privada virtual.
Le pondremos un nombre a la conexión.
Y luego nos pedirá la IP a la que queremos conectarnos, es decir, la IP publica de la red.
Ahora vamos a las propiedades de la conexión.
Y configuraremos las opciones de IPSec.
En este campo definimos la clave precompartida igual que en el servidor.
Finalmente nos autenticamos con el usuario que creamos y su contraseña.
Así nos aparecerá si la conexión fuese exitosa.
Y nos asignara una nueva tarjeta de red con dirección IP dentro del pool que determinamos.
Ahora estamos en la red =)
Puntos a tener en cuenta para que la comunicación entre Host sea exitosa.
1)Reglas de Proxy.
2)Reglas de Firewall.
3)Reglas de NAT.
4)Reglas de route.
5)Para comunicaciones DNS, configuración en la tarjeta de red del cliente.
6)Firewall de host.
7)Configuración de proxy en el navegador.
No hay comentarios:
Publicar un comentario