Movistar Fusión empresa con centralita VOZIP: Túnel IPSEC

Movistar Fusión empresa con centralita VOZIP: Túnel IPSEC

Buenas,

 

Me ha pedido una empresa que tiene dicha conexión que conecte una oficina de fuera de España a su oficina. La oficina externa es la que lo solicita y nos tenemos que adaptar a ellos. Me han pedido que ponga un router CISCO  o cualquiera que sea compatible con IPSEC Site to SITE VPN.

 

Tengo usuario y password del entorno de https://fusionempresas.movistar.es del cliente y ahí entre las escasíiiiisimas opciones que tengo, veo:

Túneles IPSec y GRE

Túnel IPSec:
¿Cómo habría que hacerlo? si pongo un router cisco o un mikrotik (que los conozco más) con una IP fija del rango interno y lo pongo ahí debería funcionar la doble NAT? o eso no está ni probado.
 
¿O hay algún menú más complejo donde poder configurar esos parámetros? Creo que para tratarse de routers empresariales deberiamos poder modificar más parámetros los informáticos de las empresas.
 
Un saludo
Mensaje 1 de 14
3.986 Visitas
13 RESPUESTAS 13

Buenas @RSau

 

No sé que equipo tienes colocado, pero hasta donde sé, Movistar no entrega ningún equipo que permita establecer túneles point-to-point ni servidor VPN. Si es verdad que en las firmwares de estos se han ido viendo de X en X, pero nunca funcionales. Ahora bien, el equipamiento para empresas es ligeramente diferente, y las opciones podrían estar ahí, aunque de ahí a que funcione es otra cuestión totalmente diferente.

 

En cualquier caso si quieres ir sobreseguro, lo que necesitas es precisamente lo que te han dicho, poner un Router o un servidor VPN en la red de la empresa y configurar el tunel. La información que te ofrece el portal, muy posiblemente, se refiere a que el equipo que te dan es compatible con túnerles IPSec y GRE en tanto y cuanto el tráfico puede circular por él, ya que el tráfico VPN generalmente se trata de forma especial (por así decirlo), pero no significa que puedas crear un tunel con sus equipos.

 

Opciones tienes muchas:

 

1. Sustituir el Router actual de Movistar por otro que sí permita establecer directamente un tunel como el que requieras, tienes muchas opciones en el mercado, con una ONT independiente puedes poner lo que quieras detrás, o incluso en caso de tener un HGU instalado también puedes usarlo en medio-bridge (monopuerto) y usar el que quieras detrás, sin doble nat y sin nada, y que ese que se coloque configurarlo como se desee

 

2. Instalar en la propia red directamente un servidor VPN, ya sea en un servidor de la red, en un NAS, en un Router... obviamente estas opciones requerirán de una configuración por lo general algo adicional, pero eso ya depende de cada dispositivo/servidor instalado. Si es un Router, pues obviamente habrá que lidiar con doble NAT si este hace NAT, lo que implica configuración extra, pero nada que no se pueda hacer.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 14
3.960 Visitas
Lo primero darte las gracias.

Sustituirlo no se puede ya que tienen centralita vozip de Movistar, es un router de los grandes que no tienen acceso vía 192.168.1.1. yo personalmente tengo sustituido el de serie por un mikrotik y encantado, pero en esa empresa no se puede cambiar.

He cambiado también en otras fibra ubiquiti y estupendo.

La cosa sería la segunda opción, vía doble Nat, pero tengo entendido que para túneles IPsec tiene que ser el primer router quien lo haga por temas de certificados y tal, pero como existe esa opción de túnel... Lo mismo hay algún tutorial o algo de alguien q lo haya conseguido.

Yo tengo montado en una instalación similar una doble Nat con mikrotik y openvpn y funciona de maravilla, pero IPsec no lo he montado nunca
Mensaje 3 de 14
3.956 Visitas

Buenas @RSau

 

La única diferencia es que OpenVPN es extremadamente configurable por un lado o por otro, mientras que IPSec es mucho más estricto y sí que requiere por lo general passthrough en los Router para que el tráfico circule correctamente. En OpenVPN generalmente usas TCP/UDP, pero IPSec usa ESP por ejemplo, protocolos que requieren un cuidado más especial.

 

Dicho esto, casi con toda seguridad el equipo que tengan instalado permite passthrough para IPSec, y en caso de estar deshabilitado te lo podrán habilitar... supongo. Si es así, el resto es configurar el que esté detrás. Precisamente por esta y muchas otras razones L2TP/IPSec nunca ha ganado muchos adeptos y es una pesadilla, complejo de configurar bien, muy rígido, propenso a problemas... sobre todo comparado a OpenVPN



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 14
3.951 Visitas

He estado buscando info y parece que con Mikrotik se debería poder, aqui alguien dice como hacerlo e incluso con IP dinámica que en principio ese no es el caso (hasta donde se yo, movistar fusion empresas con centralita IP lleva IP fija):

 

https://blog.pessoft.com/2016/05/29/mikrotik-ipsec-tunnel-with-ddns-and-nat/

 

Pero... usa dos mikrotik, en el otro lado hay un Cisco pero se supone que IPSEC es un estándar...

Mensaje 5 de 14
3.934 Visitas

Buenas @RSau

 

Sí sí, si ya te digo que al 100% se puede configurar una VPN sin problema dentro de la propia LAN, lo único que el principal debe de permitir los protocolos necesarios, nada más. Otra cosa son las configuraciones necesarias a cada lado. Sí es verdad que L2TP/IPSec son muy muy quisquillosos, y aunque no deja de ser un estándar, se implementan de miles de formas diferentes.

 

En cualquier caso no veo mayores para no poder hacerlo, un poco de paciencia y listo



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 14
3.914 Visitas
Pues si alguien oficial de Movistar me dice si hay posibilidad... Me vendría de miedo para no perder el tiempo en caso de que el router lo imposibilite por a saber qué.

Muchas gracias
Mensaje 7 de 14
3.905 Visitas

Hola @RSau,

 

Necesito que me mandes por mensaje privado  algunos datos de la empresa que necesita esta funcionalidad: CIF, y nombre y número de contacto de la persona con la que contactaría nuestro técnico.

 

Gracias y saludos,



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Mensaje 8 de 14
3.823 Visitas

Ya os he enviado los datos.

Un saludo

Mensaje 9 de 14
3.733 Visitas

Buenos días @RSau,

 

Hemos pasado nota a nuestro técnico para que se ponga en contacto contigo.

Te va a llamar al número que nos has facilitado por privado.

 

Saludos.



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Mensaje 10 de 14
3.726 Visitas

Te paso mis datos que habéis llamado a la ofi y alllí no estoy yo.

 

Un saludo

Mensaje 11 de 14
3.714 Visitas

Buenos días,

 

Tomamos nota del teléfono de contacto que facilitas y pasamos nota a nuestro técnico.

 

Saludos,



Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales

Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.

Mensaje 12 de 14
3.693 Visitas

Ya me llamó alguien y me comentó que no se puede hacer con los routers de vozip+centralita.

 

Que existe un caso pero para ello se necesario que ambas oficinas tengan movistar y se haría la VPN, pero como no es el caso xq la otra está en el extranjero no podemos.

 

Así que tenemos que comprar una línea nueva... vaya gracia.

Mensaje 13 de 14
3.680 Visitas

Aunque sea tarde puede servir a otros. Se puede montar un Mikrotik como terminador de túneles L2TP IpSec detrás de un router de Movistar Fusión Empresas. Para ello debes solicitar la apertura de los puertos 500 y 4500 en UDP y con eso es suficiente. No hace falta solicitar la apertura del protocolo 50 (ESP) puesto que todo el tráfico irá encapsulado en paquetes UDP. En los routers Mikrotik debes activar el NAT Traversal puesto que en el escenario global tendrás doble NAT.

Mensaje 14 de 14
870 Visitas