10/11/2011, 03:59
|
| | Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses Puntos: 81 | |
Respuesta: Duda con multiples vpn No sé como va tu router, pero si tienes 4 tuneles VPN contra un nodo central, si cada tunel conecta con una subred diferente (p.ej. central 192.168.0.0/24, sede1 192.168.1.0/24, sede2 192.168.2.0/24, etc)... Es un tema de rutas y firewalling.
Es decir... Tu servidor o nodo central de VPN CONOCE las rutas a cada subred (o no podría hacer de gateway para que cada maquina de la central pudiese acceder a las máquinas de cada sede... Cosa que sucede, dado que TODAS las sedes se comunican con máquinas de la central).
El hecho de que conozca las rutas, lo HABILITA para ser gateway de cada subred para alcanzar las otras (igual que alcanzan la LAN de la central, podrían alcanzar cada una de las otras LAN usando como gateway la IP del extremo del tunel en el router para cada tunel)...
Lo que necesitas es que se pueda hacer "forwarding" entre interfaces en el router (para permitir rutar tráfico entre "interfaces virtuales" de la VPN) y que ningún firewall esté parando el tráfico entre las mismas.
Con el tipo de VPNs basadas en Opensource que estoy acostumbrado a montar, esto no es ningún problema. Posiblemente tu router permita hacerlo... Pero no puedo indicarte cual es la opción correcta.
Además, deberás tener las tablas de rutado con los gateways bien configurados en cada sede...
Vamos a poner un ejemplo rápido... Supongamos que lanzas un tunel VPN entre sede1 y central.
IPs de las LANs
LAN sede1: 192.168.1.0/24
LAN central: 192.168.0.0/24
IPs de las interfaces virtuales VPN
IP tunel sede1 172.16.0.2
IP tunel central 172.16.0.1
en sede1 tendrias una ruta tal que así:
la red 192.168.0.0 con mascara 255.255.255.0 se alcanza a través del gateway 172.16.0.2
y en central:
en sede1 tendrias una ruta tal que así:
la red 192.168.1.0 con mascara 255.255.255.0 se alcanza a través del gateway 172.16.0.1
Añadimos otra subred sede2:
LAN sede2: 192.168.2.0/24
IP VPN2 sede2 172.16.0.4
si es una VPN punto a punto, tambien tendriamos una IP nueva para central que se conectaria con esa IP punto a punto (esto no es necesario):
IP VPN2 cenrtal 172.168.0.3
Tendrias otra ruta en sede2 y en central:
sede2
la red 192.168.0.0 con mascara 255.255.255.0 se alcanza a través del gateway 172.16.0.4
y en central:
la red 192.168.2.0 con mascara 255.255.255.0 se alcanza a través del gateway 172.16.0.3
Pero sede1 NO SABE como alcanzar la red 192.168.2.0 (no tiene ningun gateway definido para esa red... Cuando el mismo punto (router de central) necesario para alcanzar la subred 192.168.0.0/24, le permitiría alcanzar la subred 192.168.2.0/24
Por lo tanto tanto en sede1 como en sede2, DEBERIAS PONER EL GATEWAY DE LA CENTRAL para alcanzar cada una de las otras subredes (dos entradas en la tabla de rutado en lugar de una)... O MUCHO mas facil, si todas tus subredes van a estar en 192.168.X.X, puedes poner una unica ruta de rango mas amplio en cada una de las sedes: 192.168.0.0/16 (mascara 255.255.0.0)... de forma que cualquier IP que comience por 192.168 irá por la ruta que nos lleva al router de central...
No sé si me he explicado con claridad. No basta con que un nodo central conozca todas las rutas... Cada maquina de cada sede DEBE conocer la ruta a esas otras subredes.
Err... Me parece que me he extendido demasiado. Y es bastante posible que haya cometido algun error en algun numero (y no todas las VPNs funcionan de la misma manera a nivel de IPs en extremos)... Pero el concepto es el mismo para todas. Debe existir un gateway que permita a todas las sedes llegar a las otras... Y ese gateway debe permitir el forwarding y rutar entre interfaces VPN para alcanzar esas subredes.
No se si me he explicado bien... Me temo que no. En fin... si algo no tienes claro pregunta ;) |