Configurar Vpn Punto A Punto Cisco
El protocolo de túnel de punto a punto (PPTP, Point-to-Point Tunneling Protocol) es uno de los protocolos de VPN más antiguos. No obstante, se está empezando a usar menos desde que existen protocolos más rápidos y seguros.
Configurar Vpn Punto A Punto Cisco
La idea con GET VPN es crear grupos de dispositivos manteniendo un punto centralizado desde donde regir las politicas y SA (Security Associations), en este esquema se maneja un solo SA para todo el grupo no como se hace en las tradicionales VPN, las cuales son Punto a Punto y se requiere un IPsec SA para cada conexión como podemos observar en nuestra imagen:
KS = Key Server es punto centralizado de GET VPN, este router es el encargado del registro y autenticación de cada GM (Group Member), también es el encargado de crear y distribuir las políticas necesaria a los GMs, esta política incluye el trafico a encriptar y el algoritmo a utilizar.
Si notamos, es basicamente la mismas arquitectura de comandos utlizadas en las VPN punto a punto pero con ciertas variaciones minimas. Una vez hemos completado la configuración entramos ya en materia configurando los grupos utilizando GDOI:
802.11k permite a estos dispositivos identificar rápidamente puntos de acceso cercanos disponibles para hacer el cambio de red. Cuando la potencia de la señal del punto de acceso actual se debilite y tu dispositivo necesite cambiar a un nuevo punto de acceso, el dispositivo sabrá qué punto de acceso ofrece la mejor conexión.
Adaptive 802.11r permite configurar una red sin activar explícitamente FT. Esta configuración sigue garantizando la opción de FT en dispositivos. Esos dispositivos compatibles y los puntos de acceso de Cisco se envían señales entre sí indicándose que la red es compatible con Adaptive 802.11r y que se puede utilizar FT. Los clientes inalámbricos antiguos que no son compatibles con 802.11r pueden acceder a la misma red, pero no se beneficiarán de un cambio de red FT más rápido.
Las organizaciones emplean 802.11u (también conocido como Wi-Fi Certified Passpoint o HotSpot 2.0) para que sus usuarios puedan cambiar automáticamente de una red Wi-Fi a otra; similar al roaming de datos celulares, sin tener que cambiar ningún dato de inicio de sesión. Cuando un dispositivo detecta un punto de acceso 802.11u autorizado, el dispositivo se conecta a esa red automáticamente.
802.11v proporciona información adicional sobre puntos de acceso cercanos que podrían ser candidatos óptimos para la conexión. Cuando un dispositivo considera que tiene que activar el roaming o cambio de redes, los datos de la transición del conjunto básico de servicio (que proporciona la red) ayudan al dispositivo a decidir rápidamente cuáles son los mejores puntos de acceso.
PPTP/MPPE : PPTP fue creado por el foro de PPTP, un consorcio que incluye US Robotics, Microsoft, 3COM, Ascend y ECI Telematics. PPTP admite VPN multiprotocolo, con cifrado de 40 bits y 128 bits mediante un protocolo denominado Cifrado de punto a punto de Microsoft (MPPE). Es importante tener en cuenta que PPTP no proporciona cifrado de datos por su cuenta.
L2TP/IPsec : comúnmente denominado L2TP a través de IPsec, proporciona la seguridad del protocolo de IPsec a través de los túneles de Protocolo de túneles de capa 2 (L2TP). L2TP es producto de una asociación entre los miembros del foro de PPTP, Cisco y el Grupo de tareas de ingeniería de Internet (IETF). Se usa principalmente para VPN de acceso remoto con sistemas operativos Windows 2000, ya que Windows 2000 proporciona una IPsec nativa y un cliente L2TP. Los proveedores de servicios de Internet también pueden brindar conexiones L2TP para usuarios de acceso telefónico y, luego, cifrar el tráfico con IPsec entre su punto de acceso y el servidor de red de la oficina remota.
Para VPN de acceso remoto, el tunelado generalmente se realiza mediante el Protocolo punto a punto (PPP). Como parte de la pila TCP/IP, PPP es la portadora de otros protocolos IP cuando se comunican a través de la red entre la computadora host y un sistema remoto. El tunelado PPP utilizará uno de los Reenvíos de capa 2 (L2F) de PPTP, L2TP o Cisco.
Crea un túnel y encapsula el paquete de datos. Utiliza un protocolo punto a punto (PPP) para cifrar los datos entre la conexión. PPTP es uno de los protocolos VPN más utilizados y ha estado en uso desde la época de Windows 95. Además de Windows, también es compatible con Mac y Linux. Este protocolo está en desuso.
El protocolo de intercambio de claves de Internet versión 2 (IKEv2) establece y mantiene dinámicamente un estado compartido entre los puntos finales de un datagrama IP. IKEv2 realiza la autenticación mutua entre dos partes y establece la Asociación de Seguridad IKEv2 (SA). Es muy común encontrar implementaciones de Windows Server IKEv2
La encapsulación de routing genérico (GRE) es un ejemplo de un protocolo de tunneling de VPN de sitio a sitio básico y no seguro. GRE es un protocolo de tunneling desarrollado por Cisco que puede encapsular una amplia variedad de tipos de paquete de protocolo dentro de túneles IP, lo que crea un enlace punto a punto virtual a los routers Cisco en puntos remotos a través de una internetwork IP.
GRE se considera una VPN porque es una red privada que se crea con tunneling a través de una red pública. Mediante la encapsulación, un túnel GRE crea un enlace virtual punto a punto a los routers Cisco en puntos remotos a través de una internetwork IP.
Software: Lo que pasa es que si la direccion de destino es "Dinamica" no puedes pegar al punto destino, debido que la dirección IP el proveedor de servicio de internet la estará cambiando cada cierto tiempo, la unica aplicacion que yo conozco que te puede resolver de momento en esa condicion es "Logmein Hamachi", no es la mas formal, dicen que no es la mas segura, pero para ese entorno, es de momento lo que te puede ayudar.
Hardware: Si puedes colocar Direcciones IP Estaticas o fijas en los puntos, puedes instalar los router con DD-WRT (Recomendado WRT54G2 CISCO) y tiene una opcion de acceso VPN muy completo, como si todo fuera una sola red:
OpenVPN es un protocolo de la capa de transporte que nos permite proteger las comunicaciones creando un túnel seguro. Incorpora una criptografía robusta, proporcionando cifrado de datos punto a punto, autenticación de todos y cada uno de los paquetes, permite revisar la integridad desde el origen hasta el destino de los paquetes etc. OpenVPN tiene dos canales a la hora de establecer un túnel VPN, el canal de control hace uso de la seguridad de TLS, generalmente TLS 1.2 o el nuevo TLS 1.3, el canal de datos hace uso de algoritmos de cifrado simétricos robustos como AES-256-GCM o ChaCha20 en sus últimas versiones.
Permite que los puntos finales como Cisco Jabber y teléfonos CISCO, tengan sus servicios de registro, control de llamadas, aprovisionamiento, mensajería y presencia proporcionados por Cisco Unified Communications Manager (Unified CM) cuando el punto final está fuera de la red empresarial SIN LA NECESIDAD DE UNA VPN.
Nuestro punto de acceso tiene dos interfaces físicas de radio (inalámbricas): Dot11Radio0 (2.4 GHz) y Dot11Radio1 (5 GHz). Como queremos habilitar ambos SSID en ambos radios, las interfaces se configuran de manera idéntica.
Esta configuración mantiene el tráfico inalámbrico que pertenece a un SSID aislado del tráfico que pertenece al otro mientras transita el punto de acceso desde la interfaz alámbrica a la interfaz inalámbrica y viceversa. Tenga en cuenta que debido a que no hay una interfaz BVI2, el punto de acceso no tiene una dirección IP accesible directamente desde el SSID del invitado.
Estos son comandos predeterminados que modifican el comportamiento de los grupos de puentes en el punto de acceso, principalmente al deshabilitar el spanning-tree y compensar su ausencia. A menos que tenga una razón específica para modificarlos, simplemente deje que estos comandos sean.
Con los puntos de acceso a redes Wi-Fi públicas, es más sencillo conectarse a Internet desde prácticamente cualquier sitio. Sin embargo, por desgracia, esa insegura red Wi-Fi de Starbucks a la que se conecta desde su teléfono iPhone o Android también facilita a los hackers el acceso a su dispositivo conectado y la interceptación de cualquier información confidencial que comparta en línea (como contraseñas o datos de la tarjeta de crédito). Una VPN le ayuda a evitar los peligros de las redes Wi-Fi públicas porque cifra su conexión y evita que terceros puedan ver lo que hace en la red. Tenga cuidado de no confundir una VPN con un servidor proxy porque, aunque ambos ocultan su dirección IP, un servidor proxy no usa ningún cifrado, por lo que su información de Internet no estaría protegida. Los servidores proxy también se usan en las propias aplicaciones, a diferencia de una VPN, que se aplica a todo el tráfico que tiene en Internet.
El protocolo que usa un proveedor de VPN determinará la fiabilidad, velocidad y seguridad de su conexión cuando use la VPN. Actualmente, existen varios tipos de protocolos diferentes que usan las VPN para móviles, desde OpenVPN, que ofrece el mayor nivel de seguridad y rendimiento, hasta el protocolo de túnel punto a punto (PPTP, por sus siglas en inglés), un antiguo protocolo famoso por su gran velocidad, pero, también, por ser uno de los menos seguros.
El acrónimo de este protocolo VPN varía (L2TP, L2TP sobre IPSec o L2TP/IPSec, entre otros), pero la mayoría de los proveedores de VPN actuales admiten L2TP con cifrado IPSec. También cabe destacar que IPSec se puede usar solo a través de uno de sus varios modos disponibles (la última versión es IKEv2). Aunque los protocolos IPSEc y L2TP/IPSec son similares desde el punto de vista del cifrado, los proveedores de VPN suelen publicar sus claves previamente compartidas (es necesario autenticar los dos lados de una conexión VPN) en sus sitios web. Por lo tanto, a pesar de que el protocolo IPSec es seguro, a menudo su implementación no lo es.