Buenas,
Me ha pedido una empresa que tiene dicha conexión que conecte una oficina de fuera de España a su oficina. La oficina externa es la que lo solicita y nos tenemos que adaptar a ellos. Me han pedido que ponga un router CISCO o cualquiera que sea compatible con IPSEC Site to SITE VPN.
Tengo usuario y password del entorno de https://fusionempresas.movistar.es del cliente y ahí entre las escasíiiiisimas opciones que tengo, veo:
Túneles IPSec y GRE
Buenas @RSau
No sé que equipo tienes colocado, pero hasta donde sé, Movistar no entrega ningún equipo que permita establecer túneles point-to-point ni servidor VPN. Si es verdad que en las firmwares de estos se han ido viendo de X en X, pero nunca funcionales. Ahora bien, el equipamiento para empresas es ligeramente diferente, y las opciones podrían estar ahí, aunque de ahí a que funcione es otra cuestión totalmente diferente.
En cualquier caso si quieres ir sobreseguro, lo que necesitas es precisamente lo que te han dicho, poner un Router o un servidor VPN en la red de la empresa y configurar el tunel. La información que te ofrece el portal, muy posiblemente, se refiere a que el equipo que te dan es compatible con túnerles IPSec y GRE en tanto y cuanto el tráfico puede circular por él, ya que el tráfico VPN generalmente se trata de forma especial (por así decirlo), pero no significa que puedas crear un tunel con sus equipos.
Opciones tienes muchas:
1. Sustituir el Router actual de Movistar por otro que sí permita establecer directamente un tunel como el que requieras, tienes muchas opciones en el mercado, con una ONT independiente puedes poner lo que quieras detrás, o incluso en caso de tener un HGU instalado también puedes usarlo en medio-bridge (monopuerto) y usar el que quieras detrás, sin doble nat y sin nada, y que ese que se coloque configurarlo como se desee
2. Instalar en la propia red directamente un servidor VPN, ya sea en un servidor de la red, en un NAS, en un Router... obviamente estas opciones requerirán de una configuración por lo general algo adicional, pero eso ya depende de cada dispositivo/servidor instalado. Si es un Router, pues obviamente habrá que lidiar con doble NAT si este hace NAT, lo que implica configuración extra, pero nada que no se pueda hacer.
Buenas @RSau
La única diferencia es que OpenVPN es extremadamente configurable por un lado o por otro, mientras que IPSec es mucho más estricto y sí que requiere por lo general passthrough en los Router para que el tráfico circule correctamente. En OpenVPN generalmente usas TCP/UDP, pero IPSec usa ESP por ejemplo, protocolos que requieren un cuidado más especial.
Dicho esto, casi con toda seguridad el equipo que tengan instalado permite passthrough para IPSec, y en caso de estar deshabilitado te lo podrán habilitar... supongo. Si es así, el resto es configurar el que esté detrás. Precisamente por esta y muchas otras razones L2TP/IPSec nunca ha ganado muchos adeptos y es una pesadilla, complejo de configurar bien, muy rígido, propenso a problemas... sobre todo comparado a OpenVPN
He estado buscando info y parece que con Mikrotik se debería poder, aqui alguien dice como hacerlo e incluso con IP dinámica que en principio ese no es el caso (hasta donde se yo, movistar fusion empresas con centralita IP lleva IP fija):
https://blog.pessoft.com/2016/05/29/mikrotik-ipsec-tunnel-with-ddns-and-nat/
Pero... usa dos mikrotik, en el otro lado hay un Cisco pero se supone que IPSEC es un estándar...
Buenas @RSau
Sí sí, si ya te digo que al 100% se puede configurar una VPN sin problema dentro de la propia LAN, lo único que el principal debe de permitir los protocolos necesarios, nada más. Otra cosa son las configuraciones necesarias a cada lado. Sí es verdad que L2TP/IPSec son muy muy quisquillosos, y aunque no deja de ser un estándar, se implementan de miles de formas diferentes.
En cualquier caso no veo mayores para no poder hacerlo, un poco de paciencia y listo
Hola @RSau,
Necesito que me mandes por mensaje privado algunos datos de la empresa que necesita esta funcionalidad: CIF, y nombre y número de contacto de la persona con la que contactaría nuestro técnico.
Gracias y saludos,
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.
Buenos días @RSau,
Hemos pasado nota a nuestro técnico para que se ponga en contacto contigo.
Te va a llamar al número que nos has facilitado por privado.
Saludos.
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.
Te paso mis datos que habéis llamado a la ofi y alllí no estoy yo.
Un saludo
Buenos días,
Tomamos nota del teléfono de contacto que facilitas y pasamos nota a nuestro técnico.
Saludos,
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.
Ya me llamó alguien y me comentó que no se puede hacer con los routers de vozip+centralita.
Que existe un caso pero para ello se necesario que ambas oficinas tengan movistar y se haría la VPN, pero como no es el caso xq la otra está en el extranjero no podemos.
Así que tenemos que comprar una línea nueva... vaya gracia.
Aunque sea tarde puede servir a otros. Se puede montar un Mikrotik como terminador de túneles L2TP IpSec detrás de un router de Movistar Fusión Empresas. Para ello debes solicitar la apertura de los puertos 500 y 4500 en UDP y con eso es suficiente. No hace falta solicitar la apertura del protocolo 50 (ESP) puesto que todo el tráfico irá encapsulado en paquetes UDP. En los routers Mikrotik debes activar el NAT Traversal puesto que en el escenario global tendrás doble NAT.