REFACCIONARIA JORGE

Implementación de VPN por medio de Firewalls Dlink y Reconfiguración de Cámaras IP

Memoria Técnica.

Elaborado por: José Alberto Campos Gonzalez.

CONTENIDO

Resumen General del Documento ..................................................................................................................... 4

Objetivo General del Documento ................................................................................................................... 4

Implementación de VPN por medio de Firewalls Dlink y Reconfiguración de Cámaras IP................................. 5

Objetivo Principal ........................................................................................................................................... 5

Resumen Ejecutivo ......................................................................................................................................... 5

Configuracion de los equipos firewall dlink.................................................................................................... 6

Configuración de Interface ......................................................................................................................... 6

Configuracion de Objetos. .......................................................................................................................... 7

Configuracion de DNS ................................................................................................................................. 8

Configuracion de DHCP .............................................................................................................................. 9

Configuración de Dlink DDNS ................................................................................................................... 10

Configuración de Servicios. ...................................................................................................................... 11

Configuración de Objetos de Autenticación ............................................................................................. 12

Configuración de IPSec ............................................................................................................................. 12

Configuración de Grupos de Interface ..................................................................................................... 13

Configuración de Reglas ........................................................................................................................... 14

Filtrado de Contenido. .................................................................................................................................. 18

HA para servicio de Internet de matriz......................................................................................................... 21

Configuración de FailOverWan ................................................................................................................. 21

Configuración de Cámaras WEB ................................................................................................................... 22

Configuración de NVR de las sucursales. .................................................................................................. 22

Configuración de Cámaras........................................................................................................................ 23

Configuración de Reglas para las cámaras. .............................................................................................. 24

Diagrama de Interconexión VPN de Refaccionaria Jorge ............................................................................. 25

Apendice A: Carta de ACEPTACION DE DOCUMENTACION .............................................................................. 26

Página | 2
Apendice B: Carta de Liberacion de Proyecto .................................................................................................. 27

Página | 3
RESUMEN GENERAL DEL DOCUMENTO

El presente documento detalla las configuraciones realizadas por Integra en la infraestructura de Firewalls
de Refaccionaria Jorge, así como los procedimientos necesarios para la configuración de cada uno de los
elementos, y los procedimientos a seguir para mantener la calidad de los servicios en optimo estado. Es
importante mencionar que los procedimientos de administración y mantenimiento de las soluciones
implementadas no se encuentran descritos en este documento, ya que se verán puntualmente en la
capacitación/transferencia de conocimiento ya impartida.

OBJETIVO GENERAL DEL DOCUMENTO

El presente documento tiene por objetivo:

Presentar al personal de Refaccionaria Jorge la Memoria Técnica de los trabajos realizados por Integra.

Página | 4
IMPLEMENTACIÓN DE VPN POR MEDIO DE FIREWALLS DLINK Y RECONFIGURACIÓN
DE CÁMARAS IP

OBJETIVO PRINCIPAL

Que el personal de Refaccionaria Jorge conozca el procedimiento para la instalación de los productos
Firewall Dlink que se encuentran instalados en las instalaciones de las Sucursales,, así como las
configuraciones necesarias para dejarlo funcionando a punto.

RESUMEN EJECUTIVO

Actualmente Refaccionaria Jorge está usando un sistema de conexión por medio de antenas llamado
ITESECC. Debido al costo de la solución y de la lentitud del servicio, actualmente se implementó un equipo el
cual permite realizar la conexiones VPN atreves de Internet y que les permite filtrar el contenido de Internet
al que sus empleados pueden consultar.

Página | 5
CONFIGURACION DE LOS EQUIPOS FIREWALL DLINK.

CONFIGURACIÓN DE INTERFACE

La interface por la cual los equipos de Firewall van estar escuchando tráfico es la wan1.
En la siguiente pantalla se agregaran los siguientes valores:

Matriz:

Interface Dirección IP Mascara de Gateway DNS Server

Subred
WAN1 192.168.0.0 255.255.255.0 192.168.0.1 8.8.8.8
WAN2 192.168.40.0 255.255.255.0 192.168.0.1 8.8.8.8
LanIP 192.168.30.250 255.255.255.0 192.168.0.1 8.8.8.8

Ejido:

Interface Dirección IP Mascara de Gateway DNS Server

Subred
WAN1 192.168.1.10 255.255.255.0 192.168.1.254 8.8.8.8
LanIP 192.168.34.250 255.255.255.0 192.168.1.254 8.8.8.8

Diesel:

Interface Dirección IP Mascara de Gateway DNS Server

Subred
WAN1 192.168.1.10 255.255.255.0 192.168.1.254 8.8.8.8
LanIP 192.168.36.250 255.255.255.0 192.168.1.254 8.8.8.8

A continuación se definen el usuario de administración:

Sucursal Dirección
User admin
Password Integra2013

Para el acceso al equipo, tenemos que conectarnos vía WEB, abriendo un navegador se teclea la siguiente
dirección dependiendo del equipo al cual se quiera acceder:

Sucursal Dirección
Matriz https://192.168.30.250
Ejido https://192.168.34.250
Diesel https://192.168.36.250

Página | 6
CONFIGURACION DE OBJETOS.

Los equipos Dlink requieren que se configuren Objetos con las direcciones IP o grupos de direccione
Ethernet, necesarios para completar las configuraciones de las distintas funciones de los equipos, asi como
IPSec, configuraciones Lan, DHCP entre otras. Se anexan imágenes de la lista de objetos configurados por
sucursal:

Ruta: Menu -> Objects -> Address Book-> InterfaceAddresses

Matriz:

Ejido:

Página | 7
Diesel:

CONFIGURACION DE DNS

Las configuraciones de DNS se deberán realizar una vez que ya se tenga definidos los objetos de cada uno de
los equipos, para realizar las configuraciones de DNS se deberá dirigir a la siguiente ruta:

Ruta: Menu -> System -> DNS

La configuración deberá definir los campos de DNS Primario y DNS Secundario así como observamos en la
imagen:

Página | 8
CONFIGURACION DE DHCP

Las configuraciones de DHCP se deberán realizar una vez que ya se tenga definidos los objetos de cada uno
de los equipos, para realizar las configuraciones de DHCP se deberá definir el nombre del Server y se
deberán agregar los objetos previamente creados para la función de DCHP:

Ruta: Menu -> System -> DHCP -> DHCP Servers

Página | 9
CONFIGURACIÓN DE DLINK DDNS

Para generar una cuenta de DLink DDNS se deberá acceder al siguiente portal: www.dlinkddns.com y llenar
el formulario para crear una cuenta. Estas cuentas solo son plenamente funcionales en equipos DLink.

Las configuraciones en los equipos Dlink se realizaran en la siguiente ruta:

Menu -> System -> Misc. Client.

Los cambios de IP en dlinkddns se deberán hacer desde el portal del servicio usando la siguiente
información:

Dirección web: www.dlinkddns.com

Sucursal. Usuario Password

Matriz refacjorge Integra2013
Ejido rjejido Integra2013
Diesel rjdiesel Integra2013

Página | 10
CONFIGURACIÓN DE SERVICIOS.

Para generar los servicios, se requiere que previamente se haya realizado la creación de objetos, ya que en
los servicios se utilizan los objetos para que la regla se aplique a los tipos de topologías y puertos.

Los Servicios que se utilizaron para las sucursales son Ser-Http-Salida y BO_Mobile.

Ruta: Menu -> Objects -> Services

Servicio Ser-Http-Salida:

Servicio BO_Mobile (Solo aplica para Matriz):

Página | 11
CONFIGURACIÓN DE OBJETOS DE AUTENTICACIÓN

En los objetos de autenticación se definen las llaves que se asignaran a los tuneles de VPN.

Ruta: Menu -> Objects -> Authentication Objects

CONFIGURACIÓN DE IPSEC

En configuraciones de IPSec se configuran las conexiones con los DDNS los cuales realizaran la VPN entre las
sucursales. En este punto se le define al túnel que objeto de autenticación utilizara.

Ruta: Menu -> Interfaces -> IPSec

Página | 12
CONFIGURACIÓN DE GRUPOS DE INTERFACE

La configuración de grupos de interface, nos ayuda a agrupar distintos objetos o interfaces de red, IpSec u
otros grupos de interface.

Los grupos de interface creados son los siguientes

Grupos Descripción
GP-Ma-Ej-IpSec-Lan Tunel a Ejido
GP-Ma-DI-IpSec-Lan Tunel a Diesel
Wan1_Wan2 Grupo HA de Internet

Página | 13
CONFIGURACIÓN DE REGLAS

Las reglas de IP son utilizadas para filtrar el trafico sobre la red.

Las reglas configuradas se realizaron para propósitos como BloqueoWeb, Tuneles de VPN, FailoverWan,
entre otras.

Ruta: Menu -> Rules -> IP Rules

Directorio Raiz de Reglas

Regla de Tunel Ejido-Matriz:

Página | 14
Regla de Tunel Diesel-Matriz:

Nateo de Wan1 a Wan2:

Página | 15
Reglas de Wan a Lan:

Regla SAT para SAP BO Mobile:

Regla de permiso para BO_Mobile:

Página | 16
Reglas de Lan a Wan:

Regla de bloqueo de sitios:

Página | 17
FILTRADO DE CONTENIDO.

El filtrado de contenido, es una herramienta que se utiliza para filtrar el contenido que trafica por la red
interna como red externa, entre sus funciones se puede bloquear tanto como páginas web o descargas de
distintos tipos de extensiones de archivos.

La función creada para esto se llama FiltroBloqueo

Ruta: Menu -> Objects -> ALG with AV/WCF

Página | 18
Las configuraciones realizadas en el Filtro de Bloqueo se dividen en extensión de archivo y direcciones web
(las web se pueden tanto bloquear como permitir), se presentan imágenes de las configuraciones actuales
para tomar de base, la activación de la regla de bloqueo se presentara posteriormente:

Extensiones:

URL Web:

Página | 19
La configuración deberá ser cargada en un servicio el cual realizara la tarea de salida por el Gateway, el
servicio deberá hacer referencia a la configuración de ALG.

Para finalizar se deberá crear una Regla, la cual regulara que las consultas realizadas desde los host sea
permitida o denegada:

Página | 20
HA PARA SERVICIO DE INTERNET DE MATRIZ.

CONFIGURACIÓN DE FAILOVERWAN

El servicio de FailOverWan es un servicio que se activó en la sucursal matriz de Refaccionaria Jorge, este
servicio brinda HA (High Availability) o redundancia a su servicio de internet, el cual hace un switcheo de
servicios en caso de contingencia.

Se deberá dirigir a la ruta

Menu -> Interfaces -> Routing Tables -> main

Página | 21
CONFIGURACIÓN DE CÁMARAS WEB

CONFIGURACIÓN DE NVR DE LAS SUCURSALES.

La configuración de los NVR de las sucursales quedo de forma generalizada para poder proporcionar un
mejor manejo, rápido acceso y detección de equipos quedando de la siguiente forma:

NVR Dirección IP Mascara de Gateway DNS Server

Subred
Matriz 192.168.30.90 255.255.255.0 192.168.30.253 8.8.8.8
Ejido 192.168.34.90 255.255.255.0 192.168.34.253 8.8.8.8
Diesel N/A N/A N/A N/A

Nota: Diésel no tiene asignado un NVR para sus cámaras ya que las cámaras de Diesel son gestionadas por el
NVR de Matriz.

Las contraseñas para ambos NVR es la siguiente:

NVR Dirección
User admin
Password 50p0r73

NVR Matriz y Cámaras de Diesel:

Página | 22
NVR Ejido:

CONFIGURACIÓN DE CÁMARAS.

La configuración de las cámaras de las sucursales quedo de forma generalizada para poder proporcionar un
mejor manejo, rápido acceso y detección de equipos quedando de la siguiente forma:

Matriz:

No. de cámara Dirección IP Mascara de Gateway DNS Server

Subred
1 192.168.30.10 255.255.255.0 192.168.30.253 8.8.8.8
2 192.168.30.20 255.255.255.0 192.168.30.253 8.8.8.8
3 192.168.30.30 255.255.255.0 192.168.30.253 8.8.8.8
4 192.168.30.40 255.255.255.0 192.168.30.253 8.8.8.8

Ejido:

No. de cámara Dirección IP Mascara de Gateway DNS Server

Subred
1 192.168.34.10 255.255.255.0 192.168.34.253 8.8.8.8
2 192.168.34.20 255.255.255.0 192.168.34.253 8.8.8.8
3 192.168.34.30 255.255.255.0 192.168.34.253 8.8.8.8
4 192.168.34.40 255.255.255.0 192.168.34.253 8.8.8.8

Diesel

No. de cámara Dirección IP Mascara de Gateway DNS Server

Subred
1 192.168.36.10 255.255.255.0 192.168.36.253 8.8.8.8
2 192.168.36.20 255.255.255.0 192.168.36.253 8.8.8.8

Página | 23
CONFIGURACIÓN DE REGLAS PARA LAS CÁMARAS.

Se configuro en las cámaras, las reglas para que estas puedan ser visualizadas desde el exterior de la
compañía. Se agregaron reglas que permiten la conexión externa.

Se realizaron las configuraciones de las reglas SAT la cual direcciona la entrada hacia el NVR de Matriz,
también se agregó una regla que permite la entrada desde el exterior por el puerto 80, se pueden observar
las reglas en el siguiente:

Las conexiones remotas se pueden realizar a través de la liga externa: rjmatriz.dlinkddns.com:80

Página | 24
DIAGRAMA DE INTERCONEXIÓN VPN DE REFACCIONARIA JORGE

A continuación se presenta un diagrama de interconexión entre las distintas localidades de Refaccionaria

Jorge utilizando los dispositivos Firewall Dlink instalados.

Página | 25
APENDICE A: CARTA DE ACEPTACION DE DOCUMENTACION

Tipo de Servicio Implementación – Implementación de VPN por medio de

Firewalls Dlink y Reconfiguración de Cámaras IP
Proveedor Integra Soluciones informáticas S.A de C.V
Cliente Refaccionaria Jorge
Nombre/Desc. Proyecto
Memoria Técnica.
Duración del proyecto 6 días

Por medio de la presente CARTA DE ACEPTACION DE DOCUMENTACION, yo, Beatriz Ramirez

Rodríguez, Directora General y Líder principal del proyecto mencionado en documentación anexa,
hago constar que INTEGRA SOLUCIONES INFORMATICAS S.A DE C.V ha entregado a entera
satisfacción del Departamento de TI de Refaccionaria Jorge la documentación generada del
proyecto de Memoria Técnica.

Nombre Completo Beatriz Ramirez Rodríguez

Puesto Directora General
Firma

Página | 26
APENDICE B: CARTA DE LIBERACION DE PROYECTO

Tipo de Servicio Implementación – Implementación de VPN por medio de

Firewalls Dlink y Reconfiguración de Cámaras IP
Proveedor Integra Soluciones Informaticas S.A de C.V
Cliente Refaccionaria Jorge
Nombre/Desc. Proyecto Memoria Técnica.
Duración del proyecto 6 días

Por medio de la presente CARTA DE LIBERACION DE PROYECTO, yo, Beatriz Ramirez Rodríguez,
Directora General, hago constar que INTEGRA SOLUCIONES INFORMATICAS S.A DE C.V ha
completado de manera SATISFACTORIA los trabajos de Memoria Técnica.

Nombre Completo Beatriz Ramirez Rodriguez

Puesto Directora General
Firma

Página | 27