Con el paso del tiempo, la oficina en Madrid del Grupo ADSLZone ha ido creciendo, tanto en personas con la incorporación de nuevos compañeros, como también en requisitos de nuestra red local. En este artículo os vamos a explicar cómo tenemos configurada nuestra conexión a Internet, y los servicios que tenemos disponibles, tanto para nosotros mismos como para los invitados que llegan a la oficina.
Conexión a Internet: Movistar FTTH con 600 megas
Nuestra conexión a Internet es con Movistar FTTH, concretamente tenemos la velocidad más rápida que ofrece actualmente que son 600 Mbps. Esta conexión a Internet ha ido evolucionando progresivamente desde los 100 Mbps del principio, hasta los 600 Mbps que tenemos hoy en día. Además, no disponemos del router de Movistar HGU con la ONT integrada, sino que tenemos la ONT y el router por separado. De esta forma, podemos cambiar muy fácilmente de router principal adaptándose a nuestras necesidades.
Router principal de la oficina: ASUS BRT-AC828
Para el router principal de la oficina hemos confiado en el fabricante ASUS, por un motivo de peso: el completo firmware de configuración y los múltiples servicios que nos proporciona.
El router elegido es el ASUS BRT-AC828, un equipo de alto rendimiento que está orientado específicamente a pequeñas y medianas empresas, y también a oficinas como la nuestra. Este router inalámbrico profesional, es capaz de proporcionarnos una velocidad de hasta 800Mbps en la banda de 2.4GHz gracias al Wi-Fi 4 (Wi-Fi N), y una velocidad de hasta 1.733Mbps en la banda de 5GHz gracias al Wi-Fi 5 (Wi-Fi AC). Esto significa que no tendremos problemas cuando conectemos dispositivos móviles al equipo, conseguiremos el mejor rendimiento inalámbrico posible, exprimiendo al máximo nuestra conexión de 600Mbps de Movistar.
Además, un aspecto muy destacable de este equipo es que posee dos puertos Gigabit Ethernet para la WAN de Internet, esto nos permitirá en un futuro contratar otra línea de fibra, y aumentar la velocidad de manera global en la oficina, ya que incorpora balanceo de carga entre las WAN con aceleración por hardware. Por tanto, podremos tener una velocidad de Internet de hasta 2Gbps sin ningún problema.
Respecto a la LAN, nos encontramos con un total de 8 puertos Gigabit Ethernet. Estos puertos Gigabit Ethernet para la LAN podemos configurarlos para que formen parte de un Link Aggregation, para que si un equipo final (un NAS, ordenador etc.) tiene dos tarjetas de red, o una tarjeta de red con dos puertos, poder hacer agregación de dos enlaces y tener velocidades de hasta 2Gbps.
Por si todo esto fuera poco, también podemos utilizar los servicios Samba y FTP que incorpora el firmware ASUSWRT, ya que tenemos a nuestra disposición 2 puertos USB 3.0 de alto rendimiento, y un slot para conectar un SSD de tipo M.2 SATA, ideal para tener recursos de la oficina muy accesibles.
Lo que nos ha hecho decantarnos por este router profesional de alto rendimiento, ha sido sin duda por su firmware. Lo primero que nos vamos a encontrar es que soporta VLANs en la WAN de Internet, algo totalmente necesario hoy en día para que un router funcione con el operador de FTTH. En el caso de Movistar, tendremos que configurar la VLAN ID 6. Además, también soporta VLANs de cara a la LAN, ya que vamos a poder crear diferentes VLANs, y configurarlas como tagged y untagged, tanto en los puertos físicos de la LAN, como en los SSID de las redes Wi-Fi. Por supuesto, tenemos a nuestra disposición la posibilidad de crear múltiples subredes, con su correspondiente servidor DHCP, ideal para asociar una VLAN creada a una determinada subred.
Por si todo esto fuera poco, también podemos configurar el servidor RADIUS interno para la autenticación de los clientes inalámbricos con WPA2-Enterprise, crear un portal cautivo para la red Wi-Fi, e incluso un “Free Wi-Fi” para nuestros invitados.
Un aspecto muy importante en cualquier empresa son las VPN, y es que, gracias a este router, vamos a poder acceder a la red de la oficina muy fácilmente, utilizando tanto IPsec como OpenVPN. El firmware ASUSWRT nos va a permitir una gran configurabilidad en ambos protocolos de VPN, e incluso vamos a poder crear arquitecturas de red algo más complejas, como un Site-to-Site para intercomunicar varias sedes sin problemas.
Así hemos configurado el router ASUS BRT-AC828 para la oficina
Hemos configurado dos subredes, la red principal es la 192.168.1.1 con su correspondiente DHCP y la VLAN 1. Esta red es la principal, y donde se conectarán los técnicos para acceder a la configuración del propio equipo.
Posteriormente hemos creado la VLAN 20 y hemos creado una segunda subred con su correspondiente servidor DHCP. Esta VLAN es donde están todos los equipos de la red local cableada, utilizando la subred 192.168.2.1, además, también hemos configurado esta VLAN 20 para que una red Wi-Fi en 2.4GHz y otra en 5GHz la usen, para que todos los del equipo de ADSLZone estén vía cable y Wi-Fi en la misma subred por si tienen que compartir datos.
La configuración de la red Wi-Fi principal ha sido con WPA2-Enterprise, aprovechando que tenemos un servidor RADIUS integrado, hemos creado un usuario por cada persona que se encuentra en la oficina. De esta forma, cada usuario se conectará con sus credenciales (usuario y contraseña).
De cara a los invitados, hemos configurado el “Free Wi-Fi” que incorpora el firmware ASUSWRT, que es básicamente una especie de portal cautivo donde tendremos un mensaje de bienvenida, y un botón para “Continuar”, sin necesidad de introducir credenciales de usuario. Esta red Wi-Fi, aunque está pensada para estar abierta (sin ningún tipo de cifrado), hemos incorporado una clave WPA2-Personal fácil de recordar e introducir, para evitar que vecinos se conecten a la red y consuman ancho de banda.
Otras configuraciones que hemos realizado ha sido el QoS, para dar prioridad siempre a nuestro equipo técnico ya que deben verificar que los cambios realizados en el Test de Velocidad funcionan correctamente, y necesitan siempre disponer del mayor ancho de banda posible.
Respecto a las VPN, hemos configurado OpenVPN ya que es lo que utilizamos habitualmente en ADSLZone. En este servidor OpenVPN hemos creado una PKI nueva, con certificados RSA de 4096 bits y SHA256, además de utilizar tls-auth y AES-256 para el canal de datos. En el manual de OpenVPN de RedesZone tenéis todos los detalles sobre cómo hacerlo. Cada persona de la oficina tiene su propio certificado OpenVPN para la conexión con la oficina, no utilizamos usuario/clave para el acceso, sino certificados digitales. Al no tener más sedes, no hemos necesitado establecer ninguna VPN Site-to-Site.
Otras configuraciones realizadas están relacionadas con la seguridad, hemos activado el firewall y el sistema anti-DoS, también hemos limitado el acceso a la administración del router desde la WAN, permitiendo el acceso solamente desde la LAN, ya sea físicamente o a través del túnel VPN establecido. En cuanto a los puertos USB 3.0 y el M.2 SATA, utilizamos el servicio Samba para facilitar el acceso a los recursos en la red local. Si en algún momento se necesita acceder a estos recursos desde el exterior, la única forma es estableciendo el túnel OpenVPN para que todo el tráfico vaya cifrado y autenticado.
Tal y como habéis visto, este router ASUS BRT-AC828 es ideal para oficinas como la nuestra, y también para pequeñas y medianas empresas, ya que dispone de todo lo necesario para dimensionar y gestionar la red local de manera eficiente. Os recomendamos leer el completo análisis de este router ASUS BRT-AC828 en RedesZone.