Hoy me he enfrentado a la aventura de configurar una VPN privada para una empresa. También podría servir para un domicilio particular sin suda alguna. Contamos con un firewall de la marca TP-LINK un equipo que nos permite balancear un trafico entre varias redes WAN.
La estructura de red que queremos hacer es la siguiente, que nos permitirá conectar ordenador y móviles desde fuera como si estuviesen en la misma red:
Si delante del firewall de tp-link tenemos un router u otro elemento de red debemos abrir los puertos UDP 500, UDP 1701 y UDP 4500
Primero tendremos que configurar el rango de ips dinámicas que daremos a los clientes que se conecten vía VPN. En los primeros modelos de TP-LINK ese rango debería ser diferente al de la LAN interna pero desde los modelos 2022 en adelante te deja poner un rango de la LAN sin problema alguno (que debéis aseguraros este libre de equipos).
Preferencias –> Grupo de IP de VPN , haga clic en Agregar .
En la página emergente, aquí nombramos el Nombre del grupo IP como L2TP, configuramos la Dirección IP inicial como 192.168.10.10, la Dirección IP final como 192.168.10.20, luego hacemos clic en Aceptar para guardar la configuración . Puede establecer los valores de acuerdo con su red.
A continuación crearemos el servidor L2TP, Vaya a VPN –> L2TP –> Servidor L2TP , haga clic en Agregar . En la página emergente, elija el puerto WAN por el que recibiremos el trafico VPN de entrada, especifique el cifrado IPsec como cifrado (recomendado por seguridad), configure la clave precompartida como tplink (la que usted desee por ejemplo 2043754 ) para el cifrado IPsec, luego haga clic en Aceptar para guardar el ajustes.
Y por último crearemos los usuarios. Vaya a VPN —> Usuarios , haga clic en Agregar . Aquí especificamos el nombre de la cuenta como tplink (o el que se desee joseantonio), la contraseña como tplink (o la que se desee como SDTdsfty435), seleccionamos el protocolo como L2TP, configuramos la dirección IP local como 192.168.0.210 (la dirección IP local es la dirección IP del adaptador VPN virtual. Debe ser siempre de la misma subred con la LAN IP). En las siguientes opciones, especificamos Grupo de direcciones IP como L2TP que creamos anteriormente para asignar ips a los clientes, Dirección DNS las que queramos como por ejemplo 8.8.8.8 y 9.9.9.9, Modo de red como Cliente a LAN, Conexiones máximas como 10, luego haga clic en Aceptar .
Un vez configurado todo reiniciamos y ya tendremos configurada la VPN
Saludos
Hola Javier, estoy intentando implementar un servidor vpn con un tplink er605. pero no consigo que funcione. No tengo claro como debe de quedar la conexion fisica entre el router de telefonica y el er605. En un principio he activado el puerto wan del er605 y le he puesto una ip de mi red land, despues he definido el pull dhcp para la vpn, siguiente definir el dervidor vpn y los usuarios en esto he seguio tu articulo. he abierto los puertos 500,1701 y 4550 del router de telefonica a la ip de la wan del er605 pero esto no funciona.
te agradeceria mucho si me puedes hechar una mano.
Te comento, tienes que poner el router de telefonica y de una salida LAN a la WAN del ER605 y tu red interna colgando de la LAN del ER605. Es decir tu red interna ya no colgará de la LAN del router de telefonica sino de la LAN del ER605, asi el que se conecte a la VPN verá tu red interna. Me explico?
Hola Javier, agradezco tu publicación la cual es muy interesante y practica, solo tengo una inquietud.
Mencionas que si hay un router u otro dispositivo de red delante del tp-link se deben aperturar los puertos 500,1701 y 4500 (UDP).
Estos puertos se deben abrir en el router o GPON previo al ER7206 y dirigirlos a la ip asignada al ER7206? o bastará con asignar DMZ y direccionar a la ip asignada al ER7206?
Si hay un router previo de la compañía se deben abrir, correcto. Te comento en detalle, la compañia de internet puede ponerte un router (con GPON integrado) en ese caso en el router se deben abrir esos puertos. En el otro caso puede que la compañia te de un GPON por un lado y un router conectado a el. En este caso en el GPON no hay que hacer nada y la apertura de puertos se requiere en el router tambien. Si no quieres abrir esos puertos uno a uno y quieres hacer una DMZ tambien te sirve, pero DMZ abre todos los puertos, eso es demasiado peligroso, es mejor abrir solo los necesarios a mano y asi el resto están cerrados y protegidos. Con la DMZ el router de la compañia pasa el trafico al tp-link y este tiene que ir descartando paquetes con la sobrecarga que eso le genera, asi que lo dicho mejor a mano que una DMZ.