Draytek Vigor 2710Vn - VPN over IPSec

Como una niña con un juguete nuevo e inevitable impulso ya estoy haciendo las primeras configuraciones y una de las primeras ha sido la de la VPN.

Los dos protagonistas son un router draytek vigor 2800 y el 2710Vn.

Por un lado al 2800 con la siguiente configuración:


y por el otro el 2710Vn con la siguiente configuración:


Voy a explicar un poco las secciones de ambos.

En la primera sección, common settings, vamos a definir el nombre del perfil que encontramos dentro de VPN and Remote Access > LAN to LAN de ambos routers, Enable this profile, el call direction a both para permitir conexiones de la VPN en ambos lados con el dial que mostraré después de la configuración, si queriésemos que la conexión siempre estuviese establecida deberíamos pulsar el always on que lo unico que hace es mantener un ping entre ambos routers o ips de la red interna.

En la segunda sección, Dial-out settings, definiremos la configuración de llamada.
En ella configuraremos el tipo de conexión que nos encontraremos al otro lado, vamos a usar la misma configuración en ambos.
En este caso estamos creando una VPN sobre IPSec (si usásemos otro tipo de conexión como PPTP, podríamos definir el nombre de usuario y contraseña) usando una pre-shared key (que la definimos en un pop-up), el uso de una signatura digital, además de la seguridad del túnnel IPSec.

En la tercera sección, Dial-in settings, tendremos que configurar esta sección con la configuración que esperamos de las llamadas VPN. Si no definimos ninguna ip, permitiremos que cualquier que sepa nuestra configuración de la VPN pueda conectarse a nosotros.
Si vamos siguiendo los cuadros, podremos definir también un nombre de usuario y contraseña para las VPN sobre PPTP, por ejemplo).
Podremos definir también la Pre-Shared key, la signatura digital y los métodos de seguridad de IPSec para encriptar un poquito el asuntillo.

Finalmente en la cuarta sección, TCP/IP Network Settings, definimos la configuración ip que esperamos de la red que se nos conectará a nosotros.
En las imágenes estamos usando las redes privadas 192.168.1.0/24 y 192.168.2.0/24, con la mascara de subred 255.255.255.0, pero podríamos abrir el abanico de subredes permitidas poniendo como redes privadas 192.168.0.0/32 usando como mascara de subred 255.255.0.0 y así succesivamente.
En RIP direction definimos que sea de ambos lados, además si queremos que todo el tráfico de la red saliente pase por el tunnel VPN creado, idóneo para centrar toda la información de las redes a una misma ubicación, altamente no recomendable a menos que tengas un buen tubo de salida a internet.

Una vez configurados ambos routers deberemos crear el túnnel VPN entre ambos routers, simplemente bastará en ir a VPN and Remote Access>Connection Management, en dial-out tool vamos a seleccionar la VPN que queremos conectar y pulsaremos al botón dial.

En unos segundos en la sección de abajo, VPN connection status, podremos ver como se conecta la VPN.

Si nos fijamos en el color de la conexión podremos ver si esta está cifrada o no, en la imagen ahora mismo la conexión no está cifrada, porque he definido una seguridad de IPSec media, si definiésemos una High (ESP) la conexión saldría de color verde, también implicaría que la conexión sería mas lenta, por ahí está servido el dilema ¿mas seguridad o mas velocidad?

Ahora para poder interactuar entre los distintos ordenadores de la red, será preciso crear las rutas pertinentes en los servidores y estaciones de trabajo con las que tenemos que interactuar.

Para los equipos de la red 192.168.2.0/24 tenemos que definir esto:

# route add -net 192.168.1.0 netmask 255.255.255.0 gateway 192.168.2.1

y para los equipos que tenemos en la red 192.168.1.0/24 esto:

# route add -net 192.168.2.0 netmask 255.255.255.0 gateway 192.168.1.1

siendo el gateway el router que tiene la VPN creada.

Luego un ping entre equipos de una red y otra (con las rutas configuradas) podrán transmitirse los paquetes, o incluso conectarte por vnc o ssh a alguno de los servidores.