OpenVPN
-
Hola a todos! Es mi primer post en esta comunidad de pfsense. Mi problema/duda es la siguente:
Un cliente nos pidio si podiamos interconectar mas de 20 sucursales mediante VPN. Lo primero que pense fue en openVPN debido a su seguridad, y en pfsense debido a que ya lo tengo hace varios años.
El tema es: Es realmente posible enlazar de esta manera 20 sucursales, teniendo en cuenta que varias de ellas no poseen una buena conexion a internet (ADSL de 1Mb o 2Mb), el tema esta en la perdida de paquetes que tengo con IPsec, y por eso pense en OpenVPN.
Diganme si es viable conectar las sucursales por openVPN, y de ser positivo como se prodria llegar a hacer.
GRACIAS!! ::)
-
¡Hola!
Cualquier VPN va a ralentizar la conexión. Esto se debe a la encriptación. Lo que preguntas es ¿qué es más rápido, IPSEC o OpenVPN? Creo que deben estar por igual…
IPSEC está más extendido pero pfSense no soporta NAT-Traversal con él, http://es.wikipedia.org/wiki/NAT_transversal
Para aumentar la velocidad podrías emplear hardware con criptoaceleradores. En la página 23 del libro de pfSense hay una tabla comparativa basada en un equipo PC Engines ALIX (500 MHz Geode) con y sin un acelerador Soekris vpn1411 Hifn.
Veo que según el protocolo de encriptación escogido se consigue multiplicar la velocidad en la VPN hasta unas 3 veces. O sea que si no tienes caudal tienes que pensar en equipos que lleven criptoaceleradores, ya que la encriptación consume mucho.
Por otra parte, ¿qué quiere decir unir sucursales? ¿Qué tipo de tráfico tiene que pasar por la VPN? Si se trata de RDP (Microsoft), ICA (Citrix) o Terminal (Telnet, SSH) ningún problema, pues consumen poco ancho de banda. Pero si se está pensando en Samba/CIFS (compartición de archivos Microsoft), mal asunto.
Hoy en día se pueden "unir" sucursales de otras maneras. Por ejemplo, con Google Apps se pueden hacer muchas cosas... Con DropBox otras...
23-feb-2013. Pruebas hechas enlazando por IPSEC y OpenVPN (en modo UDP) muestran los mismos resultados de velocidad, sin hardware de encriptación. OpenVPN en modo TCP resulta, evidentemente, más lento. Mejor emplear UDP pues no tiene demasiado sentido exigir TCP al túnel ya que lo que precisa TCP ya va dentro del mismo.
-
Hola! Gracias por tu respuesta!
Sos un guru! GRACIAS!
Es bueno openVPN en cuanto a estabilidad, por ejemplo, si se cae la conexion, openVPN se vuelve a levantar automaticamente, o habria que hacerlo de forma manual?
Es cierto que es mas seguro que IPSEC?
En cunato a establecer una configuracion cliente servidor con IP dinamica. Se rutean bien uno con el otro?, es decir, voy a poder ver bien la red del cliente estando desde el servidor y viceversa?
-
Enlaces sobre VPNs:
http://forum.pfsense.org/index.php/topic,19892.msg103406.html#msg103406
Comparativa IPSEC y OpenVPN:
http://forum.pfsense.org/index.php/topic,20123.msg103407.html#msg103407
-
Hola!
Gracias por la la documentacion. Ahora mi duda fundamental, seré claro:
-Tengo el servidor con IP fija,
-El cliente con IP dinamica (ADSL),Supongamos que el cliente se quiere conectar al servidor, se conecta sin ningun problema, osea del de IP DINAMICA al de IP FIJA.
Si es al revés, el servidor se quiere conectar al cliente que tien IP fija, y este posee cliente posee configurado un dynDNS para poder acceder. Mi duda es…
¿ La conexiòn servidor-cliente, se va a poder llevar a cabo sin problemas, o va a tener alguna que otra dificultad para poder encontrar al cliente, debido a la actualizacion o problemas de dyndns?
Digo esto, ya que teniamos configurado una vpn algo parecida (no openVPN ni pfsense) y pasaba este inconveniente, teniendo el cliente que reiniciar el servidor para quese pueda conectar el server.
Desde ya un GIGANTESCO GRACIAS!!!
-
¡Hola!
Me atrevería a decir:
1. El servidor OpenVPN jamás contactará al cliente road-warrior. La misión del servidor es atender a los clientes que le contactan, no al revés.
2. pfSense también puede configurarse como cliente, si es necesario. Caso de delegaciones que se conectan a un sitio principal.
3. Normalmente no se pueden configurar VPN mediante resolución DNS. Tienen que ser por IP. Es una cuestión de seguridad. Una resolución DNS puede falsearse, una IP pública de destino no.
4. No entiendo la topología de lo que quieres hacer. ¿Por qué un servidor VPN tiene que conectarse a un cliente? Si tienes a OpenVPN como un servicio en el lado cliente, éste se conectará automáticamente co el servidor. O sea que la conexión se hace siempre que el cliente se pone en marcha. Así tengo actualmente los road-warriors…
23-feb-2013. Sobre conectarse a un cliente road warrior desde un equipo en LAN véase
http://forum.pfsense.org/index.php/topic,59116.0.html
