vpn
confidencial
En esta ocasión se necesita una solución para una conexión a sucursales remotas donde no se cuenta con proveedores MPLS, solo un proveedor de Internet, la complicada localización de las sucursales también arrastra problemas de telefonía, por lo tanto, se decide tomar la telefonía de la sucursal principal lo que genera problemas de Jitter, conexión y time out.
1. El problema
La empresa empieza a desarrollar nuevas sucursales en el país las cuales están ubicadas en lugares remotos sin acceso a proveedores MPLS, solo se puede acceder a un proveedor de Internet local el cual cuenta con una infraestructura mixta de enlaces radiales y de fibra, pero con una base de seguridad que no cumple con los requerimientos de la empresa, por lo tanto, se decidió levantar una VPN S2S con las sucursales remotas con equipos Palo Alto y Mikrotik.
2. Solución
Levantar una VPN S2S no tiene mayores complicaciones más allá de establecer el tipo de conexión y encriptación en las fases de la comunicación, no obstante, los servicios de telefonía eran una combinación entre telefonía antigua por PSTN y VoIP con troncales SIP, la complicación se consiguió en los peer que utiliza los teléfonos para registrarse en la central telefónica y el uso de puertos personalizados establecidos por el fabricante de la central telefónica.
La comunicación se realizó mediante equipos Palo Alto y Mikrotik, luego de una investigación entre la compatibilidad de estos dos equipos pudimos establecer un túnel IPSEC donde se utiliza una combinación de SHA256 con encriptación AES-256.
En primera instancia los teléfonos VOIP no registraban en la central debido a una latencia en la comunicación que incumplía con el time de la central, ajustando los MTU del túnel y la frecuencia de algunos enlaces radiales para utilizar un espectro radiofónico menos contaminado, pudimos reducir la latencia y el Jitter de la comunicación y los teléfonos se pudieron registrar sin problema en la sucursal matriz
La comunicación se realizó mediante equipos Palo Alto y Mikrotik, luego de una investigación entre la compatibilidad de estos dos equipos pudimos establecer un túnel IPSEC donde se utiliza una combinación de SHA256 con encriptación AES-256.
En primera instancia los teléfonos VOIP no registraban en la central debido a una latencia en la comunicación que incumplía con el time de la central, ajustando los MTU del túnel y la frecuencia de algunos enlaces radiales para utilizar un espectro radiofónico menos contaminado, pudimos reducir la latencia y el Jitter de la comunicación y los teléfonos se pudieron registrar sin problema en la sucursal matriz
3. Resultados
Al finalizar este proyecto pudimos contar con una sucursal operativa y lista para producción en una zona remota del país, las soluciones de VPN s2s son cada vez más comunes por su costo de implementación en comparación con los enlaces MPLS, con ajustes de seguridad y de QoS se puede lograr una comunicación segura y estable.
Este proyecto se realizó en un 80% remoto y 20% presencial debido a la instalación de los equipos en sucursal, se recomienda crear manuales de configuración sin ninguna información confidencial.
Este proyecto se realizó en un 80% remoto y 20% presencial debido a la instalación de los equipos en sucursal, se recomienda crear manuales de configuración sin ninguna información confidencial.