En esta página recogemos algunas de las preguntas más frecuentes que tienen nuestros clientes sobre el servicio de VPN.
¿Qué diferencias hay entre el servicio VPN de DAVANTEL y la plataforma RMS de Teltonika?
El servicio VPN de DAVANTEL te permite acceder a tu router y además a cualquier dispositivo que esté conectado tras él, no importa qué puerto/protocolo/aplicación (Modbus TCP, web browse, VNC,…). Este acceso se puede realizar de tres formas:
- a través de port forwarding sobre la IP del túnel VPN en el router (servicios VPN-Lite y VPN-Dedicado)
- a través de la IP de los dispositivos detrás del router (servicio VPN-Dedicado)
- a través de la IP púbica del servidor VPN (servicio VPN-Dedicado). Este método no es seguro
El servicio VPN es un puro servicio de conectividad y no ofrece las funcionalidades de RMS tales como almacenamiento de datos históricos, upgrades de FW o de configuración en bloque, alarmas, etc.
Por el contrario el servicio RMS sí ofrece todas estas funcionalidades pero sólo permite el acceso a los dispositivos conectados detrás del router a través de protocolo HTTP/HTTPS. Es decir, no nos permite conectar otras aplicaciones como Modbus TCP, VNC o cualquier otro protocolo.
El servicio VPN y RMS no son incompatibles. RMS se encapsula sobre MQTT con seguridad TSL 1.2 y para proveerlo basta que el router tenga conexión a Internet.
¿Qué diferencias hay entre el servicio VPN-Lite y el servicio VPN-Dedicado?
El servicio VPN-Lite permite únicamente el acceso al router a través de la dirección IP del túnel del cliente VPN. Por tanto, el acceso a los equipos conectados a la LAN del router debe hacerse a través de reglas de port forwarding aplicadas en la interfaz OpenVPN del router. Para cada dispositivo y puerto hay que crear una regla. Algunas aplicaciones como SFTP pueden presentar problemas al ser transportadas sobre DNAT (port forwarding). En estos casos será necesario contratar el servicio VPN-Dedicado.
El servicio VPN-Lite tampoco permite el acceso remoto a los routers sin disponer de un ciente VPN al no disponer el servicio DNAT sobre la IP púbica del servidor VPN.
Por el contrario el servicio VPN-Dedicado es un servicio completo de OpenVPN donde el cliente debe definir la topología de la red para la configuración y propagación de rutas entre los clientes y servidor VPN. En este caso el acceso a todos los dispositivos se realiza de forma directa a través de sus direcciones IP.
¿Puedo usar el mismo direccionamiento LAN en todos mis routers y equipos conectados?
Con el servicio VPN-Lite sí puedes hacerlo y con el servicio VPN-Dedicado puedes solicitarnos la no propagación de rutas. Sin embargo, si quieres tener el mismo direccionamiento en todos tus routers tendrás que acceder a ellos a través de su IP del túnel VPN y a los equipos conectados detrás de ellos a través de reglas de port forwarding que tendrás que crear en el propio router.
¿Es seguro el acceso compartido a través del servicio VPN-Lite?
Sí, en el servicio VPN_Lite usamos dos servidores VPN. Uno permite la conexión de los clientes de acceso a los routers para diferentes usuarios del servicio. El otro permite la conexión de los diferentes routers de diferentes clientes del servicio.
Sin embargo, a través de la configuración del servicio VPN y del firewall del servidor VPN garantizamos el aislamiento total entre unos usuarios y otros.
Además, tanto el acceso del cliente como del sus routers está securizado por el protocolo OpenVPN de igual forma que en el servicio VPN-Dedicado.
¿Es seguro el acceso mediante DNAT sobre la IP pública del servidor VPN?
Como hemos dicho existe la opción de activar el servicio DNAT sobre la IP pública del servidor VPN para aquellos usuarios del servicio VPN-Dedicado. Esta funcionalidad permite que terceros puedan acceder a nuestros routers sin necesidad de tener que instalar el software OpenVPN, únicamente a través de su conexión a Internet. Este método no es seguro y por tanto debemos contar con los mecanismos de seguridad que implementen los dispositivos mapeados. Bajo petición, existe la posibilidad de filtrar estas reglas DNAT para acceptar conexiones sólo desde determinadas IP públicas.
Puedo instalar el cliente de acceso en otro router o dispositivo que soporte VPN
El fichero ovpn que entregamos incluye toda la información necesaria para construir el túnel vpn incluyendo la dirección y puerto del servidor VPN y los certificados y claves.
Debes tener en cuenta que en el servicio VPN-Lite no se propagan las rutas, es decir, que si instalas el cliente en un router o cualquier otro dispositivo hardware es posible que tengas que configurar alguna ruta para de los dispositivos conectados a su LAN se comuniquen a través del túnel VPN hacia los routers remotos a controlar.
¿Puedo conectarme a la VPN desde mi teléfono móvil?
Sí, puedes conectarte a la VPN desde cualquier teléfono Android con la aplicación OpenVPN for Android. Instala la aplicación desde Google Play y luego descarga el fichero ovpn en tu teléfono. Cuando lo abras selecciona la aplicación y podrás crear un perfil de conexión basado en el fichero.
¿Cómo configuro el port forwarding para que aplique en la interfaz VPN en vez de la interfaz WAN en el servicio VPN-Lite?
Te lo explicamos en la página de instalación del servicio. Aunque tengas contratado el servicio VPN-Dedicado siempre puedes crear estas reglas para acceder por NAT a equipos a través de la IP del túnel del router.
¿Cómo puedo saber la IP del túnel de mis router y mi cliente de acceso?
Con la entrega de los ficheros ovpn te notificaremos la dirección IP del túnel de cada cliente. Estas direcciones son fijas y no se asignarán dinámicamente.
¿Puedo ir añadiendo routers a mi servicio?
Sí, tanto en el servicio VPN-Lite como VPN-Dedicado. En el caso del VPN-Lite simplemente debes indicarnos el número de serie y LAN MAC del router a añadir y te podremos enviar el nuevo fichero ovpn.
En el caso del servicio VPN-Dedicado, si se tiene la modalidad de propagación de rutas, necesitamos propagar la ruta LAN de los nuevos routers a través del resto de clientes y verificar que no haya conflicto con otras rutas previas. Este proceso implica la reinicialización del servidor VPN y la pérdida momentánea de las conexiones de todos los clientes. Estas desconexiones de programarán siempre en horario nocturno para afectar mínimamente al servicio.