VPN Split Tunneling con CMAK
Esta semana me gustaría hablaros sobre cómo crear nuestro cliente vpn para Windows haciendo split tunneling . Pero antes de nada vamos a ver en qué consiste esto del split tunneling.
SPLIT TUNNELING, ¿QUÉ ES?
Cuando establecemos un túnel VPN todo el tráfico es enrutado a través del mismo sin diferenciar el destino. Así por ejemplo, para alcanzar una página web cualquiera ubicada en Internet, esa conexión se enrutaría a la red de la oficina y desde allí iría a Internet. Esto puede ocasionar que el tiempo de latencia sea alto, ya que esa página web o servicio ha tardado más de lo necesario. Si tratamos con aplicaciones de videoconferencia, que tienen una mayor carga de tráfico la situación se agrava. Aparte del consumo de ancho de banda que supondrá a la red corporativa que se verá sobrecargada a su vez.
Es por ello, que a veces nos interesa optimizar este resultado. Esto lo podemos lograr por medio del split tunneling. Se trata de una técnica que permite dividir (“split”) el tráfico por medio de unas tablas de enrutamiento que establecemos en el cliente. De esta forma, se discrimina el tráfico, y sólo aquel que va destinado a la red corporativa es dirigido a través del túnel vpn, el resto íría por nuestra conexión normal a Internet.
Ventajas
Con este tipo de técnicas conseguimos lo siguiente:
- Red más eficiente y rápida: sólo redirige el tráfico necesario, reduciendo el número de saltos para alcanzar el destino.
- Privacidad: debido a que no todo el tráfico es redirigido a nuestra oficina, éste no deja rastro en los dispositivos que pudiera atravesar en la red corporativa.
- Mayor ancho de banda: la red corporativa no se ve tan sobre cargada debido a que no todas las conexiones no son redirigidas hacia su infraestructura
Inconvenientes
Pero claro, este método puede no sernos útil en todos los casos. Hay ocasiones en las cuales tenemos que seguir empleando nuestra vpn de la forma habitual, ya que tiene sus desventajas:
- Si la red de origen tiene el mismo direccionamiento no podremos emplearlo, a menos que lo cambiemos, debido a que sería incapaz de enrutarlo correctamente.
- Aplicaciones vinculadas a ip’s o geolocalizadas: en otras situaciones simplemente es necesario que nuestro tráfico de Internet tenga que salir forzosamente por la red de la oficina.
- Pérdida de seguridad: debido a que las conexiones que no van por el túnel vpn no está monitorizadas (al no se redirigidas a la propia infraestructura) se pierde control sobre ellas.
INSTALACIÓN DE CMAK Y CREACIÓN DE EJECUTABLE
Connection Manager Administration Kit (CMAK)
Se trata de una herramienta que se emplea para la personalización de conexiones de red remotas, permitiendo crear perfiles personalizados mediante un asistente.
Esta herramienta viene embebida dentro de las características de Windows, pero para poder usarla antes debemos habilitarla. Para ello vamos a “Programas y características”, y seleccionamos el tick de la característica.
Creación de perfiles de conexión
Una vez agregada la característica, podremos empezar a crear perfiles personalizados de conexión. Ejecutamos la aplicación, que mostrará un asistente que guiará la creación del perfil. Hacemos clic en siguiente, y seleccionamos el sistema operativo en el que se va a instalar.
Con CMAK también podemos modificar perfiles ya creados con anterioridad, pero para este ejemplo vamos a crear un nuevo, indicando el nombre que queremos que aparezca en las conexiones de red, así como el nombre que tendrá el ejecutable e introducimos el servidor vpn al que nos vamos a conectar.
Podemos modificar múltiples parámetros de la conexión como pueden ser los servidores DNS, los sufijos de conexión , así como la estrategia VPN, y la autenticación.
A continuación y uno de los pasos más importantes (sino el que más) es agregar tablas de enrutamiento, agregándolas mediante un fichero de texto que importamos desde nuestro equipo. Los datos a añadir en nuestro fichero de texto serían los siguientes: primero eliminar la puerta de enlace predeterminada y a continuación añadir cada una de las rutas de nuestra red privada virtual.
REMOVE_GATEWAY
ADD ruta MASK mascara puerta_enlace METRIC default IF default
Según sigamos el asistente nos va a permitir realizar gran número de personalizaciones como agregar la configuración proxy de Internet ,scripts, acciones personalizadas, imágenes, icono de programa, etc.
Por último pulsamos finalizar y nos generará un exe con todas las configuraciones que hemos establecido.
El ejecutable se encontrará en una subcarpeta con el nombre que le hayamos dado al perfil . Este ejecutable lo vamos a poder distribuir masivamente por medio de GPO’s, System Center, etc.
Como comentario final me gustaría indicar que CMAK es una herramienta muy útil para la creación de clientes vpn ya que nos permite crear un ejecutable bastante personalizable y profesional, con la opción, entre otras, de realizar split tunneling. ¡¡¡Hasta la próxima!!!