VPN por hardware

Buenas!

Me gustaría saber si existe en el mercado algún tipo de hardware que me permita tener una VPN pero que no sustituya al router de mi conexión a internet. He probado alguna solución integrada en routers ASUS pero me limita si existe algún cambio en la configuración de mi conexión a internet.

Es decir, que tuviera esta estructura:

(VPN-HARDWARE) -> SWTICH -> ROUTER INTERNET -> INTERNET

Gracias de antemano!
 
Cualquier mikrotik, configurado en modo bridge (cliente). Si quieres encriptación por hardware para IPSec o IKEv2, te recomiendo que, como poco, pilles un hex-s. Si vas a montar un ppp básico, con cualquier modelo te vale.

Saludos.
 
Cualquier mikrotik, configurado en modo bridge (cliente). Si quieres encriptación por hardware para IPSec o IKEv2, te recomiendo que, como poco, pilles un hex-s. Si vas a montar un ppp básico, con cualquier modelo te vale.

Saludos.

Mil gracias pokoyo ;-)

Buscaré información acerca de ellos aunque por lo poco que he visto, hay bastante info acerca de estos routers.

Saludos y gracias.
 
Mil gracias pokoyo ;-)

Buscaré información acerca de ellos aunque por lo poco que he visto, hay bastante info acerca de estos routers.

Saludos y gracias.

Si te decides por algún modelo de mikrotik y quieres una mano con la VPN, me dices y te echo un cable.

Saludos.
 
Si te decides por algún modelo de mikrotik y quieres una mano con la VPN, me dices y te echo un cable.

Saludos.

Vaya, muchas gracias :)

Casi seguro que si. Compraré el modelo que me dices:

https://mikrotik.com/product/hex_s

Mi idea como decía, es pincharlo al switch donde también está el router de Movistar. Luego me gustaría poder crear usuarios con sus respectivas contraseñas que pudieran acceder a la VPN desde su casa. Actualmente lo hacen a través de OpenVPN que es la que te ofrece el router de Asus que tengo ahora. Los routers de Mikrotik, ¿utlizan el mismo software para acceder o usan el estándar de Windows 10?

Un saludo y gracias!
 
¿Qué equipos tienes en casa ahora mismo? Es decir, qué router te da conexión, qué router te da wifi, etc? Porque creo que, al menos, me estás hablando de dos: el de movistar y un asus.

Yo en tu caso, si tuviera los tres chismes (el de movistar, el hex-s y el asus) montaría cada uno para una cosa:
  • El de movistar: sólo para hacer un bridge de la conexión a internet, y que se quede con el teléfono (modo monopuesto)
  • El hex-s: a continuación, como router principal, de sólo cable. Switch conectado a este.
  • El asus: en modo AP, sólo para montar la parte inalámbrica
Ese esquema lo tengo yo montado en casa y funciona a las mil maravillas.

Si por el contrario no te quieres complicar la vida, pones el mikrotik en modo cliente y lo conectas como me enseñaste en el primer esquema. Eso sí, es una pena desperdiciar un hex-s sólo para eso.

Avisarte de un par de cosas, antes de que lo compres:
  • Mikrotik es una marca de routers donde, en un router de 50€, encuentras características de un router profesional. Las posibilidades son casi infinitas, más si sabes de redes.
  • Derivado de lo primero, la configuración ni es trivial ni sencilla. Deberás armarte de paciencia y leer mucho. La wiki de mikrotik es tu amiga, y el quick set (configuración base) tu salvavidas preferido.
  • No es un router de siguiente-> siguiente-> siguiente. Si buscas eso, mejor buscar otra marca.

Con respecto a las VPN que maneja, son: PPTP, L2TP/IPSec, SSTP, OpenVPN (esta última aún no me puse con ella). El quick set, con marcar una casilla y meter una contraseña crea ls tres primeras: PPTP, L2TP/IPSec y SSTP. A partir de ahí, las vas tuneando tú. Además, con el router te regalan un dominio de mikrotik, así que puedes acceder desde fuera usando siempre el mismo nombre, infumablemente largo, pero que nunca cambia.

Dicho esto, y si te animas a montarlo, te echaré una mano encantado. He configurado ya varios en este foro y todo el mundo se fue contento al final.

Saludos!
 
¿Qué equipos tienes en casa ahora mismo? Es decir, qué router te da conexión, qué router te da wifi, etc? Porque creo que, al menos, me estás hablando de dos: el de movistar y un asus.

Yo en tu caso, si tuviera los tres chismes (el de movistar, el hex-s y el asus) montaría cada uno para una cosa:
  • El de movistar: sólo para hacer un bridge de la conexión a internet, y que se quede con el teléfono (modo monopuesto)
  • El hex-s: a continuación, como router principal, de sólo cable. Switch conectado a este.
  • El asus: en modo AP, sólo para montar la parte inalámbrica
Ese esquema lo tengo yo montado en casa y funciona a las mil maravillas.

Si por el contrario no te quieres complicar la vida, pones el mikrotik en modo cliente y lo conectas como me enseñaste en el primer esquema. Eso sí, es una pena desperdiciar un hex-s sólo para eso.

Avisarte de un par de cosas, antes de que lo compres:
  • Mikrotik es una marca de routers donde, en un router de 50€, encuentras características de un router profesional. Las posibilidades son casi infinitas, más si sabes de redes.
  • Derivado de lo primero, la configuración ni es trivial ni sencilla. Deberás armarte de paciencia y leer mucho. La wiki de mikrotik es tu amiga, y el quick set (configuración base) tu salvavidas preferido.
  • No es un router de siguiente-> siguiente-> siguiente. Si buscas eso, mejor buscar otra marca.

Con respecto a las VPN que maneja, son: PPTP, L2TP/IPSec, SSTP, OpenVPN (esta última aún no me puse con ella). El quick set, con marcar una casilla y meter una contraseña crea ls tres primeras: PPTP, L2TP/IPSec y SSTP. A partir de ahí, las vas tuneando tú. Además, con el router te regalan un dominio de mikrotik, así que puedes acceder desde fuera usando siempre el mismo nombre, infumablemente largo, pero que nunca cambia.

Dicho esto, y si te animas a montarlo, te echaré una mano encantado. He configurado ya varios en este foro y todo el mundo se fue contento al final.

Saludos!

Pues realmente lo quiero instalar en el trabajo. Ahora tengo un Switch donde están conectados todos los ordenadores, incluido el servidor. Ahí mismo está conectado el router de Asus con su VPN integrada (OpenVPN) y configurado para acceder con la conexión de Movistar, todo con IP fijas, incluida la puerta de enlace para internet.

El buscar una VPN independiente viene dado porque mi router Asus no me ofrece la velocidad máxima de mi conexión y no puedo reclamar a Movistar si no estoy usando su router. Además, usando un router independiente para la VPN, no me veo obligado a usar una conexión en concreto (Movistar, Vodafone, etc.).

Me gustaría tenerlo de la manera más sencilla posible y utilizar el Mikrotik tan sólo para dar servicio VPN para ciertos usuarios.

¿Qué me aconsejas teniendo esta situación?

Un saludo y gracias de nuevo.
 
Pues te valen ambas, pero necesito algún dato más para evaluar si te va a dar suficiente "chicha" ese router para hacer de router principal de lo que tienes montado. No obstante, si estás tirando de un router de movistar y va bien, malo será que el hex-s no lo hunda en la miseria, en cuanto a rendimiento se refiere.
Si me dices el número de puestos de trabajo que tienes, qué switch utilizas y para qué se usa ese servidor que tienes montado, te doy una idea de cómo montarlo.

Mi preferencia sería esta:

Router de movistar (modo monopuesto, te pasa la vlan de internet y se queda con el teléfono, configuración soportada por telefónica, no hay que trucar nada) -> hex-s (router principal: servidor de vpn + dhcp + firewall ) -> Switch (puestos de trabajo) + Rotuer Asus (modo AP, para conexión inalámbrica de algún portátil o móvil que no enganche al switch principal)

Esa configuración es muy muy estable. Y, si se te jode algo de la conexión, para llamar a telefónica lo único que tienes que hacer es resetear el router de movistar para que vuelva a funcionar como router y hacer un puente entre una de sus bocas ethernet y el swtich (dejar anulada la pata del hex-s). Así lo he tenido yo funcionando en casa con 10 tomas ethernet y unos 20 equipos conectados... y ni pestañea la CPU del router.

No obstante, si de entrada quieres ir a la solución más simple, configuras el hex-s en modo bridge y configuras la vpn con los usuarios que quieras.

Me ofrezco a echarte una mano con la configuración, en ambos casos.

Saludos.
 
Última edición:
Pues tengo 20 puestos conectados a un switch Ovislink de 1gb. El servidor es un W2016 que trabaja como servidor de ficheros y bases de datos.

El router Asus (configurado con la conexión de Movistar) tiene una IP fija la cuál es puerta de enlace de cada uno de esos 20 puestos para acceder a internet. Para la VPN del Asus, tengo abierto los puertos abiertos requeridos y redireccionados a la IP del servidor. De esta forma las unidades de red de cada cliente VPN tiene la misma validad y pueden trabajar contra el servidor.

Todo funciona bien pero como te decía, el Asus me está dando unas velocidades de conexión muy pobres, y para no depender de configurar bien o mal una conexión en el Asus, prefería prescindir de él y usar el de Movistar con su IP fija (al igual que el Asus) y sólo usar un router como el Mikrotik que me recomiendas para acceder por la VPN.

Con esa info adicional, ¿sigues opinando lo mismo o se te ocurre algo mejor?

Gracias y un saludo!
 
Sí, sigo pensando lo mismo. Vas a notar una burrada de mejoría montando el mikrotik como router principal. Pero es tu curro y/o negocio, tú sabrás mejor que nadie tu necesidad.
Si no te importa bajar al barro y meterte a aprender cómo se configura el mikrotik, ve a por la primera opción. Si no tienes tiempo o no te apetece, ve a por la segunda.

Por ponerte una analogía, para que nos entendamos todos, y salvando el tema económico: la opción dos es como comprarse un ferrari sólo para ir a comprar el pan. ¿Lo puedes usar sólo para eso? Sí, claro, pero igual no es la mejor forma de aprovecharlo.

Saludos!
 
Te entiendo perfectamente. Bueno, lo voy a comprar y veremos si encuentro tiempo para exprimir el Ferrari :D

De todas formas, conoces algún hilo o tuto para la primera opción??

Saludos!
 
Yo mismo te hago de hilo. No te voy a complicar la vida con configuraciones raras, voy a tirar de la herramienta de configuración inicial que traen (quick set) y, a partir de ahí, metemos los distintos usuarios VPN que necesites. La configuración de estos routers se puede complicar lo que quieras, pero también son sencillos de configurar de entrada, si tiras de las herramientas adecuadas, como esto que te digo del quick set.
Así que vamos a lo simple: configuración básica para que navegues y tengas un router que maneje tu red local, levante tu conexión a internet y tenga servidor de vpn. Una vez tengamos eso, backup y te quedas con ese fichero de configuración como oro en paño (si pasa cualquier cosa, con darle un reset y volver a poner el fichero, lo vuelves a tener todo funcionando). A partir de ahí, vamos complicando la configuración lo que quieras o necesites (reserva estática de direcciones en el dhcp, usar un servidor de DNS distinto del de telefónica, abrir puertos, añadir más usuarios a la VPN, etc).

Un par de consejos más, de cara al mikrotik:
  • NO te fies demasiado de los post que va poniendo la gente por ahí como si fueran configuraciones dogmáticas. No existen los dogmas en esta marca: lo que ayer funcionaba, hoy tocan el firmware y ahora funciona de otra manera, y la configuración que copiaste de una web ya no vale. Es un producto bastante "vivo", aunque nadie te obliga a subir de versión. Si tienes algo que funciona y es para trabajo... no lo toques.
  • La configuración de estos chismes asusta, así como su "interfaz" de administración. No son un cisco que tengas que configurar por consola, pero tampoco se parecen en nada a lo bonito de los Asus. No te asustes de entrada cuando abras la IP 192.168.88.1
  • Una vez configurado, el router puede estar así años. No te exagero, en el tiempo que estuve con movistar, tuve que reiniciar más veces el HGU por problemas de fibra que el mikrotik por un problem con mi red local. No obstante, no está demás ir viendo las actualizaciones que van sacando para el RouterOS (el sistema que corren), puesto que alguna de ellas corrige algún tema de seguridad.
  • La wiki es tu amiga: https://wiki.mikrotik.com/wiki/Manual:TOC. Yo te echaré un cable en lo que pueda, pero aun así lee y busca ahí: tienen documentado prácticamente cualquier cosa que se te ocurra hacer.
Y poco más, la verdad. Lo último que me gustaría que me aclararas es el tema de las "IP's estáticas" que me hablas en los posts anteriores. ¿Te refieres a que los equipos de la oficina tienen IP's estáticas en su configuración, tanto para su IP como para su puerta de enlace? ¿O te refieres a que tienes una IP estática pública contratada en movistar? Si es lo primero, te animo a que te deshagas de esa configuración, y dejes que sea el router quien maneje esas direcciones. Los configuras todos por DHCP y luego reservas estáticamente las direcciones que quieras para cada uno de los equipos locales. De esa manera tienes lo bueno de los dos mundos: ip's "estáticas" (sabes a qué IP apuntar para ir a un equipo concreto), pero asignadas dinamicamente por tu servidor DHCP. ASÍ no tienes que andar configurando IP's y puertas de enlace a mano equipo por equipo, ni te quedas sin conexión en los equipos si mañana cambia tu configuración de red en el router principal (ejemplo, cambias de operadora).

Dame un toque cuando lo tengas y nos ponemos con ello. Tengo el mismo modelo en casa, así que raro será que no lo hagamos bien.

Saludos.
 
Yo mismo te hago de hilo. No te voy a complicar la vida con configuraciones raras, voy a tirar de la herramienta de configuración inicial que traen (quick set) y, a partir de ahí, metemos los distintos usuarios VPN que necesites. La configuración de estos routers se puede complicar lo que quieras, pero también son sencillos de configurar de entrada, si tiras de las herramientas adecuadas, como esto que te digo del quick set.
Así que vamos a lo simple: configuración básica para que navegues y tengas un router que maneje tu red local, levante tu conexión a internet y tenga servidor de vpn. Una vez tengamos eso, backup y te quedas con ese fichero de configuración como oro en paño (si pasa cualquier cosa, con darle un reset y volver a poner el fichero, lo vuelves a tener todo funcionando). A partir de ahí, vamos complicando la configuración lo que quieras o necesites (reserva estática de direcciones en el dhcp, usar un servidor de DNS distinto del de telefónica, abrir puertos, añadir más usuarios a la VPN, etc).

Un par de consejos más, de cara al mikrotik:
  • NO te fies demasiado de los post que va poniendo la gente por ahí como si fueran configuraciones dogmáticas. No existen los dogmas en esta marca: lo que ayer funcionaba, hoy tocan el firmware y ahora funciona de otra manera, y la configuración que copiaste de una web ya no vale. Es un producto bastante "vivo", aunque nadie te obliga a subir de versión. Si tienes algo que funciona y es para trabajo... no lo toques.
  • La configuración de estos chismes asusta, así como su "interfaz" de administración. No son un cisco que tengas que configurar por consola, pero tampoco se parecen en nada a lo bonito de los Asus. No te asustes de entrada cuando abras la IP 192.168.88.1
  • Una vez configurado, el router puede estar así años. No te exagero, en el tiempo que estuve con movistar, tuve que reiniciar más veces el HGU por problemas de fibra que el mikrotik por un problem con mi red local. No obstante, no está demás ir viendo las actualizaciones que van sacando para el RouterOS (el sistema que corren), puesto que alguna de ellas corrige algún tema de seguridad.
  • La wiki es tu amiga: https://wiki.mikrotik.com/wiki/Manual:TOC. Yo te echaré un cable en lo que pueda, pero aun así lee y busca ahí: tienen documentado prácticamente cualquier cosa que se te ocurra hacer.
Y poco más, la verdad. Lo último que me gustaría que me aclararas es el tema de las "IP's estáticas" que me hablas en los posts anteriores. ¿Te refieres a que los equipos de la oficina tienen IP's estáticas en su configuración, tanto para su IP como para su puerta de enlace? ¿O te refieres a que tienes una IP estática pública contratada en movistar? Si es lo primero, te animo a que te deshagas de esa configuración, y dejes que sea el router quien maneje esas direcciones. Los configuras todos por DHCP y luego reservas estáticamente las direcciones que quieras para cada uno de los equipos locales. De esa manera tienes lo bueno de los dos mundos: ip's "estáticas" (sabes a qué IP apuntar para ir a un equipo concreto), pero asignadas dinamicamente por tu servidor DHCP. ASÍ no tienes que andar configurando IP's y puertas de enlace a mano equipo por equipo, ni te quedas sin conexión en los equipos si mañana cambia tu configuración de red en el router principal (ejemplo, cambias de operadora).

Dame un toque cuando lo tengas y nos ponemos con ello. Tengo el mismo modelo en casa, así que raro será que no lo hagamos bien.

Saludos.

Joder, un millón de gracias :):)
Me viene de maravilla cada consejo tuyo. Lo mío es más la programación y me gustan las redes pero se nota que no es mi fuerte en cuestión de conocimientos.
Por cierto, tomo nota del último consejo acerca de las IP's estáticas. Efectivamente tengo una IP para cada equipo con la misma puerta de enlace. Hasta que me llegue el router nuevo iré modificando el sistema para usar el servidor DHCP ;)

Gracias de nuevo Pokoyo. No esperaba encontrar tanta ayuda por aquí.
 
Haz una cosa, mientras te llega y no: además de poner los equipos por DHCP, apunta con qué dirección están ahora, y/o elige la que les vas a asignar una vez estén dentro de tu red (puede ser igual que lo tienes, descuida).
Elige también cual va a ser tu segmento de red local. El mikrotik viene por defecto con la 192.168.88.0/24 (que quiere decir: red 192.168.88.0, máscara 255.255.255.0, puerta de enlace 192.168.88.1 y servidor dhcp dentro de ese rango, por ejemplo 192.168.88.100-192.168.88.200), pero le puedes poner la que quieras, incluida la que tienes ahora mismo.
Además, crea un backup de la configuración del router de telefónica y del router asus, por si tuvieras que restaurar el punto actual en algún momento. Cuando te llegue me avisas, y nos ponemos a ello.

Saludos.
 
Haz una cosa, mientras te llega y no: además de poner los equipos por DHCP, apunta con qué dirección están ahora, y/o elige la que les vas a asignar una vez estén dentro de tu red (puede ser igual que lo tienes, descuida).
Elige también cual va a ser tu segmento de red local. El mikrotik viene por defecto con la 192.168.88.0/24 (que quiere decir: red 192.168.88.0, máscara 255.255.255.0, puerta de enlace 192.168.88.1 y servidor dhcp dentro de ese rango, por ejemplo 192.168.88.100-192.168.88.200), pero le puedes poner la que quieras, incluida la que tienes ahora mismo.
Además, crea un backup de la configuración del router de telefónica y del router asus, por si tuvieras que restaurar el punto actual en algún momento. Cuando te llegue me avisas, y nos ponemos a ello.

Saludos.
Muy buenas!

Pues ya lo tengo por aquí. Debo ser torpe de pelotas porque no paso del Quickset :LOL::LOL:

Lo enchufo en local con DHCP, entro en la 192.168.88.1, lo pongo en modo "Bridge", le pongo la password y alguna cosa más, le doy a "Apply Configuration" y pierdo ni flores. Además deja de responder cualquier otro botón de la interface web del Mikrotik. :rolleyes:

He probado a reestablecerlo así:

How to reset configuration

1) unplug the device from power

2) press and hold the button right after applying power

Note: hold the button for 5 seconds (USER LED will start flashing)

3) release the button to clear configuration.


Repito el proceso de configuración de antes, incluso probando a ponerle una IP estática, y pasa exactamente lo mismo. No parece hacer nada cuando aplico los cambios pero dejo de poder acceder al router a través de la IP 192.168.88.1.

Alguna idea??

Gracias!
 
Jejeje, no te preocupes, es lo más normal del mundo, la primera vez que le metes mano a un chisme de estos.

Lo primero que vamos a hacer es actualizar el equipo al último firmware. Para ello:
  • Reseteas el router con el proceso que detallas, el "How to reset configuration"
  • Te conectas a la 192.168.88.1 y le cambias la password de acceso al router (importante, antes de conectarlo a internet)
  • Conectas el puerto 1 del router al switch o cualquier router que tenga salida a internet
  • Desde el quick set, le das a "check updates" y actualizas a la última versión que te aparezca (download & install)

Una vez hecho eso, vamos primero a la opción simple: el modo bridge. En ese caso el router actuará como cliente, es decir, como cualquier otro ordenador conectado a la red. Le vamos a activar la VPN para que veas como queda montada. Todo desde el quick set. Sería algo así:
quickset - modo bridge.png


Es fácil que pierdas el acceso al router una vez aplicada la configuración. Es porque el router pasa a ser un cliente, y deja de tener la 192.168.88.1 como dirección por defecto. Como le has dicho que quieres que coja dirección automática por dhcp, tendrás que ir al router donde lo conectaste para ver qué IP ha cogido.
Desde ese momento, tu router está en modo cliente y exponiendo un servicio de vpn. Sería tan sencillo como probarlo. Para ello, te toca abrir puertos para el servicio de VPN que quieras probar. Los tipos de VPN que monta por defecto son:
  • pptp: el más sencillo, aunque menos seguro. Funciona con prácticamente cualquier cosa. Para probarlo, abre el puerto 1723 en el router principal (el de telefónica) y lo mapeas contra la IP que haya cogido el mikrotik
  • L2TP/IPSec: un protocolo seguro y muy rápido en ese modelo de router. Levanta un tunel L2TP con encriptación IPSec. Tanto la contraseña de la VPN como el secreto IPSEC, por defecto, coinciden con lo que metas en el apartado "VPN Password". Para que este te funcione, necesitas abrir el puerto 1701, mismo caso que con el anterior, desde el router de operadora a la IP del mikrotik
  • SSTP: Este protocolo es propietario de microsoft, muy útil si te vas a conectar en remoto con un windows, poque usa un puerto muy común: el 443, com https.
Es fácil que, una vez aplicada la configuración del quick set en modo bridge, te toque apagar y encenter el router (simpelmente desconecta y conecta).

Prueba y me dices, y luego ya nos metemos a montarlo como router, si te parece bien.

Saludos.
 
Última edición:
Hola de nuevo!
Bueno, pues llevo desde esta mañana liado con el pequeño Mikrotik y creo que voy a tirar directamente por la opción de Router prinicpal.

Ya lo tengo actualizado. La idea es configurarlo con una conexión de Movistar aunque es posible que en el futuro la cambia por una de Vodafone. ¿Funcionaría igualmente como router?

Me gustaría tener esta configuración:

* LAN: 192.168.0.0/255.255.255.0
* MIKROTIK: 192.168.0.31

Ahora mismo tengo el puerto ETH1 del Mikrotik iría a la ONT y el ETH2 en el switch.
¿Cuál sería el paso ahora?

Gracias!!
 
Recuérdame qué equipos de operadora tienes, por favor. ¿Tienes router y ONT por separado? ¿O tienes un HGU, todo en uno?

Saludos.
 
Tengo router y ONT por separado. Para más datos, la ONT de Movistar es negra y tiene varios puertos ethernet.

Saludos!
 
Arriba