Nota de aplicación Creando VPNs IPsec con un MRD-310 30 de marzo de 2010 Antonio Cambronero Berlanga Product Engineer Automation Systems v 1.0
Introducción. Acceso remoto a redes, a través de la creación de una VPN (Virtual Private Network) con el protocolo IPsec. Permite acceder a todos los dispositivos de la red, sin configuración de tablas NAT. Añadir o quitar equipos sin tener que reconfigurar nada en los routers. Todos los equipos de la red tienen direcciones conocidas. Independencia de las direcciones asignadas por los ISP.
Introducción. En los dispositivos remotos, sólo hay que configurar la puerta de enlace predeterminada del router. Añade seguridad a las comunicaciones. Autentificación. Encriptación de todas transmisiones.
Descripción aplicación. Requerimientos de la instalación. Dirección IP del router remoto. IP pública fija: No hay que realizar ningún proceso para averiguar la dirección IP de la estación remota. IP pública dinámica: Para poder conectarse remotamente a la instalación, primero hay que averiguar la dirección IP que el ISP le a asignado a la estación remota. Para poder saber la dirección IP remotamente para esta instalación es necesario utilizar DNS dinámicos. Dirección IP del router origen. IP pública dinámica (no es necesario tener una IP pública fija).
Descripción aplicación. Requerimientos de la instalación. Software para la creación de VPNs en el PC. TheGreenBow IPSec VPN Client Software propietario para la creación de conexiones VPN cliente. http://www.thegreenbow.com/ Versiones Windows soportadas: Windows 2000 (Workstation), WinXP 32-bit (incl.sp2), Windows Server 2003 32-bit, Windows Server 2008 32- bit, Windows Server 2008 64-bit, Windows Vista 32/64-bit, Windows 7 32-bit, Windows 7 64-bit. Shrew Soft VPN Client Shrew Soft VPN Client para Windows es un servicio gratuito de acceso remoto IPSec VPN Cliente para Windows. Versiones de Windows soportadas: Windows 2000, XP y Vista (versiones x86 y AMD64). http://www.shrew.net/
Esquema de la instalación.
Paso 1 CONFIGURACIÓN DEL MRD-310
Configuración del MRD-310. Se entiende que el MRD-310 tiene correctamente configurado su conexión al ISP y se puede acceder a Internet. La red remota, es decir, la red local del MRD-310 es: Dirección de red: 192.168.0.0 / 255.255.255.0 La dirección local del MRD-310 es: 192.168.0.200 Esta dirección será el gateway por defecto de los equipos conectados en esta red local. La dirección del PLC es: 192.168.0.3 Seguir la configuración de las siguientes pantallas.
Configuración del MRD-310. Comprobar que el Default gateway es: WLS (Wireless) Pulsar Update para actualizar los cambios.
Configuración del MRD-310. Para las pruebas iniciales permitir todo el trafico WLS Default policy en WLS a Allow Pulsar Update para actualizar los cambios.
Configuración del MRD-310. Habilitar las VPN IPsec. Activar el check Enable. Pulsar Update para actualizar los cambios. Pulsar Add new tunnel.
Configuración del MRD-310. Poner la siguiente configuración general. Pulsar Next.
Configuración del MRD-310. Poner la siguiente configuración física. Pulsar Next.
Configuración del MRD-310. Poner la siguiente configuración de autentificación y detección de punto muerto y pulsar Next. 54321
Configuración del MRD-310. Poner la siguiente configuración para las fases 1 y 2 de la encriptación y pulsar Next.
Configuración del MRD-310. Configurar las direcciones del túnel y pulsar Update.
Configuración del MRD-310. Con esta configuración el MRD-310 quedará configurado como respondedor (server), esperando a que un cliente de VPN IPsec se conecte.
Paso 2 CONFIGURACIÓN DEL ORDENADOR
Configuración del ordenador. El ordenador deberá tener una conexión a Internet a través de un router. Sin el router tiene activado un firewall, los siguientes puertos deberán de estar habilitados: UDP 4500 (NAT-T) UDP 500 (IKE) La direcciones de la red local del ordenador són: Dirección de red: 192.168.253.0 / 255.255.255.0 La dirección local del ordenador es: 192.168.253.19 Sobre este interface será sobre el que se monte la VPN. Al realizase la VPN se creará otra red: Red VPN: 192.168.254.0/255.255.255.0 A continuación se verá la configuración de dos software de creación de VPNs.
Configuración de TheGreenbow. En los siguientes pasó, se verá la configuración del software cliente VPN IPsec TheGreenbow. Es necesario descargar el software de su pagina Web: http://www.thegreenbow.com/ e instalarlo en el ordenado. El software tiene un periodo de evaluación de 30 días.
Configuración de TheGreenbow. Crear una nueva conexión: Menu: Configuración de VPN -> Nueva Fase 1. Configurar los siguientes parámetros. Interface: la dirección de la tarjeta de red del ordenador por donde se realizará la VPN. Gateway remoto: dirección IP fija o DNS del MRD-310. 54321 54321 Pulsar F1 Avanzado
Configuración de TheGreenbow. Configurar F1 Avanzado Activar Modo agresivo y NAT- T Automático. Configurar los ID locales y remotos. Pulsar OK
Configuración de TheGreenbow. Crear una nueva Fase 2: Posicionarse sobre las Fase 1 creada. Menu: Configuración de VPN -> Nueva Fase 2. Configurar los siguientes parámetros. Pulsar F2 Avanzado
Configuración de TheGreenbow. Configurar Fase 2 Avanzado Dejar todo desactivado. Pulsar OK
Configuración de TheGreenbow. Configuración Fase 2: Pulsar Guardar & Aplicar, para salvar la configuración.
Configuración de TheGreenbow. Configuración de parámetros: Pulsar en Parámetros. Configurar los campos como aparecen en la imagen. Pulsar Guardar & Aplicar, para salvar la configuración.
Configuración de TheGreenbow. Realizar conexión: Ir con el ratón a la bandeja de iconos, y hacer click con el botón derecho del ratón para sacar el menú. Seleccionar la opción Panel de conexiones. Saldrá la ventana de conexiones. Pulsar en Abrir de la conexión creada.
Configuración de Shrew Soft VPN Client. En los siguientes pasó, se verá la configuración del software cliente VPN IPsec Shrew Soft. Es necesario descargar el software de su pagina Web: http://www.shrew.net/ e instalarlo en el ordenado. Este software es gratuito.
Configuración de Shrew Soft VPN Client. Arrancar la aplicación: Crear una nueva conexión, pulsar Add.
Configuración de Shrew Soft VPN Client. Configuración General. En Host Name o IP Address se deberá de introducir el DNS o IP fija del MRD-310. Activar el uso del adaptador virtual. Configurar la dirección local de la VPN. 192.168.254.19/255.255.255.0
Configuración de Shrew Soft VPN Client. Configuración Cliente. Configuración de la NAT-T y la fragmentación de las claves IKE. Configurar como en la imágen.
Configuración de Shrew Soft VPN Client. Configuración de la resolución de nombres. Dejar todo deshabilitado.
Configuración de Shrew Soft VPN Client. Configuración de la autentificación. Configurar la identidad local. Tipo de identificación: FQDN. Identificador local: greenbow Configurar como en la imágen.
Configuración de Shrew Soft VPN Client. Configuración de la autentificación. Configurar la identidad remota. Tipo de identificación: FQDN. Identificador remoto: mrd310 Configurar como en la imágen.
Configuración de Shrew Soft VPN Client. Configuración de la autentificación. Configurar las credenciales. Poner en Pre Shared Key el valor 54321 54321
Configuración de Shrew Soft VPN Client. Configuración de la Fase 1. Configurar los parámetros de encriptación como se muestra en la imágen.
Configuración de Shrew Soft VPN Client. Configuración de la Fase 2. Configurar los parámetros de encriptación como se muestra en la imágen.
Configuración de Shrew Soft VPN Client. Configuración de la topología. Pulsar Add, para añadir la red remota. 192.168.0.0/255.255.255.0 Activar el check Maintain Persistent Security Associations. Pulsar Save para terminar y salvar la configuración.
Configuración de Shrew Soft VPN Client. Realizar la conexión con el MRD-310. Seleccionar la conexión creada, de la lista de conexiones. Se activara la opción Connect. Pulsar sobre Connect para realizar la conexión.
Configuración de Shrew Soft VPN Client. Realizar la conexión con el MRD-310. Se mostrará la ventana de conexión. Pulsar el botón Connect. Se realizará la conexión. Cuando la conexión se ha realizado se mostrará el mensaje: tunnel enable.
Configuración de Shrew Soft VPN Client. Realizar la conexión con el MRD-310. Para cortar la conexión, pulsar Disconnect.
Paso 3 COMUNICACIONES
Pruebas de comunicaciones. Una vez se haya establecido la VPN, los dispositivos de la red remota estarán accesibles desde el ordenador. Para probar esto, se puede realizar un ping a la dirección local del MRD-310 y al PLC.
Conexión con CX-Server. Para conectarnos al PLC, la configuración en el CX-Server sería la siguiente: Es necesario forzar la longitud de las tramas a 1024. Y aumentar el tiempo de timeout, ya que las primeras transmisiones tienen unos tiempos de respuesta más lentos.