VPN Split Tunneling con CMAK

25/05/2015 0 Comments

Esta semana me gustaría hablaros sobre cómo crear nuestro cliente vpn para Windows haciendo split tunneling . Pero antes de nada vamos a ver en qué consiste esto del split tunneling.

SPLIT TUNNELING, ¿QUÉ ES?

Cuando establecemos un túnel VPN todo el tráfico es enrutado a través del mismo sin diferenciar el destino. Así por ejemplo, para alcanzar una página web cualquiera ubicada en Internet, esa conexión se enrutaría a la red de la oficina y desde allí iría a Internet. Esto puede ocasionar que el tiempo de latencia sea alto, ya que esa página web o servicio ha tardado más de lo necesario.  Si tratamos con aplicaciones de videoconferencia, que tienen una mayor carga de tráfico la situación se agrava. Aparte del consumo de ancho de banda que supondrá a la red corporativa que se verá sobrecargada a su vez.image

Es por ello, que a veces nos interesa optimizar este resultado. Esto lo podemos lograr por medio del split tunneling. Se trata de una técnica que permite dividir (“split”) el tráfico por medio de unas tablas de enrutamiento que establecemos en el cliente. De esta forma, se discrimina el tráfico, y sólo aquel que va destinado a la red corporativa es dirigido a través del túnel vpn, el resto íría por nuestra conexión normal a Internet.  image

Ventajas

Con este tipo de técnicas conseguimos lo siguiente:

  • Red más eficiente y rápida: sólo redirige el tráfico necesario, reduciendo el número de saltos para alcanzar el destino.
  • Privacidad: debido a que no todo el tráfico es redirigido a nuestra oficina, éste no deja rastro en los dispositivos que pudiera atravesar en la red corporativa.
  • Mayor ancho de banda: la red corporativa no se ve tan sobre cargada debido a que no todas las conexiones no son redirigidas hacia su infraestructura

Inconvenientes

Pero claro, este método puede no sernos útil en todos los casos. Hay ocasiones en las cuales tenemos que seguir empleando nuestra vpn de la forma habitual, ya que tiene sus desventajas:

  • Si la red de origen tiene el mismo direccionamiento no podremos emplearlo, a menos que lo cambiemos, debido a que sería incapaz de enrutarlo correctamente.
  • Aplicaciones vinculadas a ip’s o geolocalizadas: en otras situaciones simplemente es necesario que nuestro tráfico de Internet tenga que salir forzosamente por la red de la oficina.
  • Pérdida de seguridad: debido a que las conexiones que no van por el túnel vpn no está monitorizadas (al no se redirigidas a la propia infraestructura) se pierde control sobre ellas.

INSTALACIÓN DE CMAK Y CREACIÓN DE EJECUTABLE

Connection Manager Administration Kit (CMAK)

Se trata de una herramienta que se emplea para la personalización de conexiones de red remotas, permitiendo crear perfiles personalizados mediante un asistente.

Esta herramienta viene embebida dentro de las características de Windows, pero para poder usarla antes debemos habilitarla. Para ello vamos a “Programas y características”, y seleccionamos el tick de la característica.

Creación de perfiles de conexión

Una vez agregada la característica, podremos empezar a crear perfiles personalizados de conexión.  Ejecutamos la aplicación, que mostrará un asistente que guiará la creación del perfil. Hacemos clic en siguiente, y seleccionamos el sistema operativo en el que se va a instalar.image

Con CMAK también podemos modificar perfiles ya creados con anterioridad, pero para este ejemplo vamos a crear un nuevo, indicando el nombre que queremos que aparezca en las conexiones de red, así como el nombre que tendrá el ejecutable e introducimos el servidor vpn al que nos vamos a conectar.

image

Podemos modificar múltiples parámetros de la conexión como pueden ser los servidores DNS, los sufijos de conexión , así como la estrategia VPN, y la autenticación. image

A continuación y uno de los pasos más importantes (sino el que más) es agregar tablas de enrutamiento, agregándolas mediante un fichero de texto que importamos desde nuestro equipo. Los datos a añadir en nuestro fichero de texto serían los siguientes: primero eliminar la puerta de enlace predeterminada y a continuación añadir cada una de las rutas de nuestra red privada virtual.

REMOVE_GATEWAY
ADD ruta MASK mascara puerta_enlace METRIC default IF default

image

Según sigamos el asistente nos va a permitir realizar gran número de personalizaciones como  agregar la configuración proxy de Internet ,scripts, acciones personalizadas, imágenes, icono de programa, etc.

image

Por último pulsamos finalizar y nos generará un exe con todas las configuraciones que hemos establecido.

image

El ejecutable se encontrará en una subcarpeta con el nombre que le hayamos dado al perfil . Este ejecutable  lo vamos a poder distribuir  masivamente por medio de GPO’s, System Center, etc.

Como comentario final me gustaría indicar que CMAK es una herramienta muy útil para la creación de clientes vpn ya que nos permite crear un ejecutable bastante personalizable y profesional, con la opción, entre otras, de realizar split tunneling.  ¡¡¡Hasta la próxima!!!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *