¿ Qué servicio VPN es el más adecuado para mi proyecto ?

Desde DAVANTEL ofrecemos a nuestros clientes 3 servicios de conectividad VPN diferentes (VPN-Dedicado, VPN-Lite y D-NAT). Si quieres más información y precios sobre estos tres servicios puedes visitar nuestra web. En este post intentaremos aclarar las diferencias entre ellos y cuándo te puede interesar más uno que otro.

VPN-Lite

El servicio VPN-Lite permite acceder al router remoto únicamente a través de la IP del túnel y a los equipos detrás de él a través de reglas de port forwarding sobre esta dirección IP del túnel.

El acceso al router es totalmente securizado ya que para conectarnos desde nuestro PC o smartphone usaremos un túnel VPN a nuestro servidor y el router también se conecta a dicho servidor a través de otro túnel. La interconexión entre ambos túneles se realiza a nivel interno en nuestro servidor VPN.

El router cursa todo el tráfico a Internet a través de la propia interfaz WAN del router (móvil o RJ45) y únicamente el tráfico hacia el cliente de acceso es cursado a través de la VPN.

¿ Cuándo no es conveniente el servicio VPN-Lite ?

  • Si queremos que terceras personas puedan acceder a los equipos detrás del router si tener que instalar el software OpenVPN
  • Si tenemos aplicaciones de control o monitorización de los equipos detrás del router que no soportan la traslación de puertos (port forwarding) o que no permiten modificar el puerto TCP/UDP de comunicación (un ejemplo son algunos tipos de transferencia FTP activa)

VPN-Dedicado

A diferencia del servicio VPN-Lite, en el servicio VPN-Dedicado tanto los routers a acceder como el cliente de acceso para PC o smartphone pertenecen a un mismo servidor OpenVPN. Esto permite configurar en el propio servidor la propagación de rutas de forma que en este servicio podemos acceder directamente a los equipos a través de su dirección IP sin traslación de puertos (port forwarding).

El servicio VPN-Dedicado se puede completar con un servicio D-NAT que permite acceder mediante port-forwarding en la dirección IP pública de nuestro servidor a diferentes puertos del router. A su vez, un nuevo port-forwarding en el router permite acceder a los equipos detrás de él.

Este mecanismo de D-NAT está únicamente pensado para aquellas ocasiones en que queramos que terceros accedan a nuestros equipos sin necesidad de instalar un cliente OpenVPN. Hay que remarcar que esto supone un problema potencial de seguridad y que deberemos asegurarnos de proteger nuestras conexiones a otro nivel (SSL, password o similares).

El mecanismo de D-NAT obliga también a que todo el tráfico de salida del router se curse a través del túnel VPN. Esto puede provocar un claro impacto en la velocidad de conexión del router ya que esta conexión de salida de nuestro servidor es compartida por todos los clientes VPN de todos los servicios. En consecuencia, el servicio D-NAT no es aconsejable para la transmisión de grandes caudales de información como streaming o similares y está más enfocado a la monitorización de PLCs y procesos industriales.

D-NAT

Como vimos en el servicio VPN-Dedicado, el D-NAT permite la conexión remota al router mediante port-forwarding directamente sobre la IP pública del servidor VPN.

Este mecanismo D-NAT puede también aplicarse sobre el servicio VPN-Lite en cuyo caso podremos acceder al router sin necesidad de instalar un cliente OpenVPN en nuestro PC o smartphone.

Sin embargo, y como ya dijimos, en este caso todo el tráfico de salida del router se cursará a través del túnel VPN lo que puede impactar en la velocidad.

Por último, cabe recordar que los puertos TCP y UDP son limitados y nunca podrán para más de un router. Por tanto, se asignarán por orden de petición.

¿ Cuándo no es conveniente el servicio D-NAT ?

  • Si queremos que todo el tránsito entre nuestro terminal y los equipos a monitorizar esté encriptado a través de la conexión VPN
  • Si tenemos aplicaciones de control o monitorización de los equipos detrás del router que no soportan la traslación de puertos (port forwarding) o que no permiten modificar el puerto TCP/UDP de comunicación (un ejemplo son algunos tipos de transferencia FTP activa)
[]
×