¿Cómo conecto la nueva VPN Local que contraté con ETECSA para mis instituciones con Mi Red Local? (Parte I)

Saludos nuevamente.

Por estos días me he tropezado con colegas administradores que tienen un problema con el tema de la VPN Local sobre IP/MPLS que pone ETECSA en sus nodos para conectar sus instituciones o empresas mediante enlaces dedicados (ADSL).

El problema radica en que los compañeros de Datos de ETECSA les proponen el direccionamiento IP al administrador y este acepta, pero hay un detalle: si el administrador (que es el cliente que interactúa directamente con ETECSA) no tiene bien claras o bien definidas las subredes locales y sus correspondientes rutas, no podrá conectar directamente sus propias instituciones o empresas que están en esa VPN a su propia Red Local; y corregir este problema a posteriori se vuelve engorroso (autorizaciones, presupuesto, emitir una nueva orden de servicio en ETECSA, cogotazos [cocotazos], y un etcétera muy pesado).

Entonces a los que se le presente esta situación les sugiero que hagan lo siguiente:

  1. No precipitarse en este proceso (tomarse un tiempo para analizar el entorno completo y para eso grafiquen la infraestructura de la red con el mayor nivel de detalle posible para que no se pierdan), si tienen la posibilidad de consultar con alguien que ya pasó por ese proceso, háganlo antes de dar el primer paso.
  2. Trabajar en conjunto con los compañeros de Datos de ETECSA (ellos no son el enemigo, son seres humanos igual que nosotros y con una carga de trabajo mayor, así que muuuucha paciencia en ambos lados), preguntarles todo lo que ustedes necesitan saber sobre esa tecnología de comunicación; si pueden proponer el direccionamiento IP ustedes mismos para sus instituciones, mucho mejor; aparte de eso, darles a ellos las rutas estáticas que se utilizan en la Red Local para que lo incluyan en el equipamiento intermedio de la conectividad que está del lado de ETECSA (así podrán verse los servidores centrales o equipos que proveen los servicios de red, estaciones de trabajo de gestión, etc.).
  3. Probarlo TODO. No se les puede quedar nada sin probar porque si se deja para después… ya saben, más problemas.
  4. Esta es una de las partes más difíciles: una vez terminado el proceso de pruebas de conectividad a nivel de capa 3 y 4 (Capas de Red y Transporte, que son fundamentales), de ser posible, que los compañeros de ETECSA activen el servicio SNMP (con el modo “sólo lectura” basta) en los routers de las instituciones o empresas para que así el administrador del Nodo pueda monitorear el estado de los elementos que conforman su nueva VPN.
  5. Si todo funciona OK, por favor, que los compañeros de ETECSA le configuren el cortafuegos lo más restrictivo posible en el nuevo router que pongan en cada institución para así añadirle una capa más de seguridad al mismo.
  6. Exigir a los compañeros de Datos de ETECSA todos los documentos asociados a las conexiones establecidas (son las copias de los documentos que normalmente nos dan, pero que en ellos hay una serie de informaciones muy útiles acerca de las mismas y que “el nivel central” solicita periódicamente). Ah, y el administrador o informático de la parte cliente debe guardar celosamente dichos documentos.

 

Los pasos antes mencionados se cumplen para cualquier entorno. Los mismos pueden variar según la infra montada que tenga cada cual. En mi caso, esto lo aprendí cuando estaba administrando el Nodo MEDIRED (Infomed – Santiago de Cuba) donde tuve que lidiar con este tema.

Ahora bien, una cosa que debe saber y tener bien clara el administrador: tener nociones de segmentación de redes (subnetting) utilizando máscaras de subred de longitud variable. Para esto las calculadoras IP pueden ser muy útiles y ahorrarnos trabajo, pero siempre es bueno saber calcularlo uno mismo, dado que puede suceder que, en un momento determinado, no tengamos ni un smartphone, ni un PC a mano (no es bueno depender siempre de la tecnología para realizar cosas básicas). Para ello háganse dos preguntas básicas:

  • ¿Cuantos equipos conforman la subred o segmento?
  • ¿A cuanto puede crecer ese número en un plazo de 5 o 10 años?

 

Si tienen respuesta a la segunda pregunta, se escoge ese valor como número máximo de equipos en la subred y con eso ya se sabe de antemano el tamaño de la misma.

Ah, se me olvidaba algo importante. Hay una máxima que debe seguir el Administrador de la Institución u Organización: ¡No firmar NINGÚN documento hasta que TODO ESTÉ FUNCIONANDO 100%!

😀

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en ETECSA, IP-MPLS, VPN. Guarda el enlace permanente.

13 respuestas a ¿Cómo conecto la nueva VPN Local que contraté con ETECSA para mis instituciones con Mi Red Local? (Parte I)

  1. leov dijo:

    Interesante este articulo, sobre todo partiendo de una experiencia vivida en admin de redes, recomendare a algunos amigos este sitio… saludos

  2. Hector Suarez Planas dijo:

    Saludos a todos.

    Ayer un amigo mío (colega administrador) me informó que resolvió exitosamente el problema de la VPN de ETECSA. En fin, era la ruta de su rango de IP lo que faltaba en el equipamiento intermedio de ETECSA. 🙂

  3. Fredy dijo:

    hola hermano soy el admin del gobierno prov. de stgo de cuba, muy bueno ese articulo, esos pasos son muy imprtantes, ya pase por esas trabas, pero hay una que etecsa debe solucionar y es el problema de capacitar bien a sus comerciales, ya que estos son los que interactuan con el cliente y deben conocer tambien de redes.

    • Hector Suarez Planas dijo:

      Saludos, Fredy.

      Primeramente, gracias por tu comentario, me alegra mucho que te haya sido de utilidad. En cuanto a la segunda parte, es como dices, ya eso es trabajo de ETECSA, pero también hay que tener en cuenta que son personas como tú o como yo.

      Una buena parte de los que hoy están en ese puesto, fueron con los que yo lidié cuando era el administrador de MEDIRED (una gran escuela para mi). Pasé trabajo al principio, pero con el tiempo me acostumbré y, una vez que estudié más sobre redes (que realmente nunca se deja de estudiar), entonces debatía con ellos y siempre llegaba a un entendimiento. Mi objetivo fue compartir lo que aprendía dia a día con ellos, y gracias a eso logré desarrollar fuertes relaciones de amistad.

      Ellos son buenos, pero si la política que se sigue es de confrontación, se alarga más el proceso. Es por ello que decidí publicar esos posts aquí en el blog, los cuales han dado ya sus frutos. Como ejemplo te puedo poner a los colegas de Aguas Santiago, que tenían un problemas de conectividad y pudieron resolverlo.

      🙂

  4. Rodnier dijo:

    Buenas,
    muy interesante tus artículos, es bueno contar con este tipo de blog con temas tan acertados con los cuales los admines chocan al día a día, me ha abierto un poco la visión sobre este tema que tengo que enfrentar próximamente, quisiera que me escribieras al correo para realizarte unas dudas que tengo.

    Saludos
    Rodnier

  5. Rodrigo Rojo dijo:

    Me parece muy bueno tu artículo.
    Yo soy un administrador y estoy en el proceso de hacer una VPN con Etecsa.
    Después del largo proceso de autorizos, firmas y cuños logramos las aprobación de la solicitud.
    Luego, ellos nos dieron las características que debía tener el paquete IP (LAN Y WAN) para ambos extremos. Yo se los envío y después de un tiempo me dicen hay cambiarlas porque se nos olvidó decirle que el último octeto tiene que ser divisible por 4 y cosas de esas. Mándale el nuevo paquete corregido y al tiempo otra cosa nueva. Así estamos desde hace 1 mes.
    Si Ud. tiene las características que deben cumplir las direcciones IP para hacer la VPN con Etecsa, por favor, nos las dice.
    Saludos cordiales.
    Rodrigo

  6. Karas dijo:

    Yo sabía que si no cojías mi ejemplo jajaj no estabas bien. @Rodrigo , te comento que leeas bien lo que el colega hector te pone en los ejemplos ya que es de mucha utilidad y es algo con lo que el tuvo que pasar jjaja cuando era admin de infomed santiago , Saludos Reptil jajajaj estoy de vacaciones asi que ya sabes jejejej

  7. ArmandoF dijo:

    no es un comentario SPAM ni nada por el estilo borrarlo cuando puedas te dejo esto para que te unas a el grupo que hemos creado en telegram sobre soporte de todos, tanto promxo, como esxi, windows, linux de todos tambien infraestructura el link es https://telegram.me/sysadmincuba saludos armando mi correo es sysadmin2@frcuba.cu

  8. Tin dijo:

    Hno, “El camino recorrido es mucho”, estoy muy atras pero trato de desplazarme poco a poco. Estoy usando PVE 5.1 en dos nodos y considero que aún no se nada, pero ahi voy. Ya tengo tu link así que espero estar en contatco por esta vía.
    Ya no te veo ni pasar por el barrio, espero que este bien de tu salud, cuidate (quedamos pocos)
    Te saludo calurosamente socio.
    Pequeño, anteriormente de la UCM.

    • Hector Suarez Planas dijo:

      Saludos, Chamaco.

      Gracias por el comentario. Sí, sí, paso, lo que de noche siempre, más cuando se acerca el Aniversario 65 del Moncada. 😀

      😀

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *