¿Buscas alguna otra cosa?
Table of Contents
Detalles del escenario
Se necesita implementar una red segura entre 3 PLCs, para que éstos puedan comunicarse entre sí. Para ello se creará un tunnel IPSec, donde un router Titan conectado al PLC3 hará el rol del IPSec Master. Este router Titán contará con una tarjeta SIM con dirección IP fija 88.28.221.24. Los routers Titan conectados al PLC2 y PLC3 jugarán el rol de IPSec Cliente. En el siguiente esquema se expone el diagrama de conexión con el esquema de direcciones IP relevantes de todos los dispositivos.
Descripción del ejemplo
En este ejemplo se utilizará autenticación por clave secreta (PSK).
Configuraciones y requisitos previos
El requisito básico para poder llevar a cabo la aplicación es que la tarjeta SIM introducida en el router Titan que actuará como IPSec Server debe disponer de una dirección IP pública y estática. Ello es necesario para poder acceder remotamente desde los otros router Titan conectados a la Internet pública. Asegúrese también que todos los Titanes están en hora correcta, pues la gestión de generación y validez de los certificados lo necesita.
Configuración IPSEC del router Titan (SERVER)
Debe activarse la casilla “Enabled” que se encuentra en el inicio de esta página de configuración y pulsar el botón “SAVE CONFIG”.
Como siguiente paso, al estar basado el servicio IPSec del router Titan en strongswan, deben configurarse los ficheros “ipsec.conf” e “ipsec.secrets”. Lo más sencillo es acudir a los ejemplos de la parte inferior de la página y obtener el ejemplo más parecido a lo que se pretende configurar. En el caso de esta nota de aplicación se escoge el Ejemplo 5 (ya que estamos configurando el Server), haciendo click (descargando) los ficheros “ipsec.conf” e “ipsec.secrets” correspondientes, los cuales abriremos con un block de notas para obtener su contenido.
Dicho contenido debe adaptarse al escenario e insertarse en la casilla apropiada. Para “ipsec.conf”:
Nótese que se ha modificado el final fichero con respecto al ejemplo 5, añadiendo 2 conexiones para “client1” y “client2” y sus subredes correspondientes. También los parámetros de conexión por defecto con “conn %default”.
Y para “ipsec.secrets” (previamente debe hacerse click en la leyenda “Show/Hide” para mostrar la casilla) se establecerá como password “mypass”.
Y seguidamente se pulsará el botón “SAVE CONFIG”, que grabará el contenido de ambos ficheros en la memoria interna del router Titan. Por último, si al arrancar el router no estaba iniciado el servicio IPSec (es decir, la casilla “Enabled” no estaba activa) debe reiniciarse el router completamente (menu “Other >> Reboot”). Si ya estaba iniciado el servicio IPSec (casilla “Enabled” activa), puede pulsarse únicamente el botón “RESTART IPSEC” para reiniciar el servicio IPSec con la nueva configuración sin necesidad de reiniciar el router completamente, opción mucho más rápida.
Una vez reiniciado el router o pulsado el botón “RESTART IPSEC” (si el servicio ya estaba activo), aparecerá el estado de la conexión IPSEC como se indica a continuación. Si la casilla Status aparece en blanco es que quizás todavía no se ha iniciado el servicio. Espere unos segundos y pulse el botón “REFRESH”.
Configuración IPSEC del router Titan (CLIENT)
En esta sección se configurará el router Titan con el rol de IPSec cliente que está conectado al PLC1. La configuración del segundo Titan que actúa con el mismo rol, conectado al PLC2, es completamente análoga.
En la sección “VPN>IPSec”, debe activarse la casilla “Enabled” que se encuentra en el inicio de esta página de configuración y pulsar el botón “SAVE CONFIG”.
Tras ello, al estar basado el servicio IPSec del router Titan en strongswan, deben configurarse los ficheros “ipsec.conf” e “ipsec.secrets”. Lo más sencillo es acudir a los ejemplos de la parte inferior de la página y obtener el ejemplo más parecido a lo que se pretende configurar. En el caso de esta nota de aplicación se escoge el Ejemplo 7 (ya que estamos configurando el Cliente), haciendo click (descargando) los ficheros “ipsec.conf” e “ipsec.secrets” correspondientes, los cuales abriremos con un block de notas para obtener su contenido.
Dicho contenido debe adaptarse al escenario e insertarse en la casilla apropiada. Para “ipsec.conf”:
Recuerde que en “right” deberá indicar la IP pública del Titan que actúa como IPSec Master que en el caso de este ejemplo es 88.28.54.84. Nótese también que en leftid, el valor debe ser “@client1” ya que así está configurado para el Cliente1 en el fichero “ipsec.conf” del Titan servidor IPSec.
Y para “ipsec.secrets” (previamente debe hacerse click en la leyenda “Show/Hide” para mostrar la casilla) ponemos el password “mypass”.
Y seguidamente se pulsará el botón “SAVE CONFIG”, que grabará el contenido de ambos ficheros en la memoria interna del router Titan. Por último, si al arrancar el router no estaba iniciado el servicio IPSec (es decir, la casilla “Enabled” no estaba activa) debe reiniciarse el router completamente (menu “Other >> Reboot”). Si ya estaba iniciado el servicio IPSec (casilla “Enabled” activa), puede pulsarse únicamente el botón “RESTART IPSEC” para reiniciar el servicio IPSec con la nueva configuración sin necesidad de reiniciar el router completamente, opción mucho más rápida.
Una vez reiniciado el router o pulsado el botón “RESTART IPSEC” (si el servicio ya estaba activo), aparecerá el estado de la conexión IPSEC como se indica a continuación. Si la casilla Status aparece en blanco es que quizás todavía no se ha iniciado el servicio. Espere unos segundos y pulse el botón “REFRESH”. Si todo funciona correctamente, debe ver una pantalla como la siguiente:
En este punto el PLC1 (cliente) y PLC3 (server) ya podrían interactuar entre sí a través de un túnel seguro IPSec. Por ejemplo, desde PLC1 se podría hacer un PING a PLC3 y viceversa. Repita el mismo procedimiento de configuración para el router titan conectado al PLC2.
Ingresar el modo de conexión «ethernet» o «módem»:
En el caso de una configuración por ethernet, tener el cuidado de que los parámetros IP sean compatibles con el acceso al servidor según la configuración de la red local del concentrador. En el caso de una conexión por ethernet, la configuración debe ser compatible con la topología de la red local del concentrador para que pueda acceder a los servidores. Esta configuración se hace a través de la página de configuración «Networks» (ver capítulo 3.2.2.3: «Redes (Networks)«).
En el caso de una conexión por módem, la configuración del módem debe ser correcta antes de poder efectuar una conexión. Esta configuración se hace en la página de configuración «Modem» (ver capítulo 3.2.2.4: «Módem«).
Los parámetros de los servidores a configurar como mínimo son los siguientes:
Por lo tanto, hay que los campos: «Interface», «Type», «Server type», «Address», «Port», «Login» y «Password».
Los otros campos se pueden dejar a los valores por defecto, a condición de que los repertorios hayan sido creados antes correctamente. (Ver capítulo 3.1.2 : «Archivos de configuración« para más detalles.
Esperar. El concentrador arrancará con su configuración de fábrica.
