¿Qué routers profesionales tienen VPN para conectarnos a la empresa?

¿Qué routers profesionales tienen VPN para conectarnos a la empresa?

Sergio De Luz

Los fabricantes de routers profesionales, suelen incorporar servidores y clientes VPN para establecer conexiones seguras con otras sedes (Site-to-Site VPN) o conexiones de acceso remoto para usuarios (RoadWarrior). En una pequeña y mediana empresa, es fundamental hacer uso de esta tecnología para acceder de manera remota a todos los recursos locales de la empresa, y también para intercomunicar sedes de la misma empresa. Hoy en RedesZone os vamos a recomendar una serie de routers profesionales son VPN que son idóneos para entornos de PyME.

D-Link

El fabricante D-Link lleva años siendo uno de los líderes en el segmento de PyME, no solo a nivel de switching L2 y L3 con sus últimos switches L3 DGS-3630 y los DGS-3130, sino también con routers profesionales con VPN para acceder de manera remota a los recursos locales de la empresa (VPN de acceso remoto) y para interconectar diferentes sedes (VPN Site-to-Site).

Actualmente D-Link tiene dos modelos de routers profesionales con VPN que son ampliamente utilizados por las empresas, y que a lo largo del tiempo se ha ido actualizando tanto a nivel de hardware con nuevos componentes, como también a nivel de firmware para disponer de las últimas tecnologías de la industria.

D-Link DSR-250N

Las principales características a nivel de hardware de este router profesional, es la incorporación de un puerto Gigabit Ethernet para la WAN de Internet, y un total de 8 puertos Gigabit Ethernet para la LAN. También tiene Wi-Fi N300 en la banda de 2.4GHz, para proporcionar conectividad Wi-Fi en caso de que sea necesario. Otras características importantes son la incorporación de un puerto USB 2.0 para extraer registros a un dispositivo de almacenamiento extraíble, realizar actualizaciones de firmware fácilmente, e incluso introducir un dongle USB 3G/4G para tener redundancia en la empresa. Por último, dispone de un puerto de consola RJ-45 para administrar de manera local a través de CLI este router profesional.

Este router no solamente hace las funciones de servidor/cliente VPN, sino que también realiza las funciones de router y de firewall incorporado. Algunas de las principales características de su firmware es que podremos configurar conexiones WAN con IP estática y dinámica (DHCP), establecer sesiones PPPoE/L2TP/PPTP e incluso permite establecer múltiples conexiones PPPoE. También podremos crear varias rutas estáticas, utilizar DNS dinámico, hace las funciones de NAT/PAT, permite realizar filtrado de contenidos con URL estática o con palabras clave. Otras características importantes del firmware es que dispone de un sistema de prevención de intrusiones basado en firmas que están incorporadas en el firmware, y podremos tener diferentes métodos de autenticación (base de datos interna, RADIUS, LDAP, AD, dominio NT etc.)

A nivel de red, este router profesional tiene servidor/cliente DHCP, DHCP Relay, soporta VLANs basado en el estándar 802.1Q, permite configurar routing inter-vlan para que este router sea capaz de interconectar las VLANs que le llegan de un switch gestionable, también soporta VLANs por puerto, es capaz de gestionar tráfico multicast con IGMP Proxy y también IGMP Snooping, tiene soporte completo para redes IPv6 y redundancia a través de un dongle USB 3G/4G.

En cuanto a las VPN, es capaz de establecer un total de 75 túneles VPN, 25 túneles IPsec, 5 túneles SSL VPN, 25 túneles PPTP/L2TP, 10 túneles GRE y 10 túneles OpenVPN. El firmware dispone de soporte para cifrados AES de 128 bits y 256 bits, porque también soporta cifrados que actualmente no se consideran seguros como DES o 3DES. Por supuesto, el firmware dispone de IPsec con NAT transversal, DPD, AH y ESP.

Según D-Link, este router profesional proporciona una velocidad a través del firewall de 750Mbps, si usamos una VPN con cifrado 3DES el rendimiento es de 50Mbps, por lo que, si utilizamos cifrados más robustos como AES, el rendimiento será menor, ya que no tiene aceleración de cifrado por hardware. Vamos a poder realizar un total de 20.000 sesiones concurrentes TCP, con un máximo de 200 sesiones por segundo, y la posibilidad de tener hasta 200 políticas en el firewall.

Os recomendamos visitar la web oficial del D-Link DSR-250N donde encontraréis todos los detalles de este equipo.

D-Link DSR-1000AC

Este router D-Link DSR-1000AC es actualmente el tope de gama del fabricante D-Link. Las principales características a nivel de hardware de este router profesional, es la incorporación de dos puertos Gigabit Ethernet para la WAN de Internet, por tanto, vamos a tener Dual WAN cableada con soporte para operadores de FTTH en España ya que podremos configurar el VLAN ID de cada interfaz de la WAN. Además, este router también dispone de puertos USB 2.0, por lo que podremos hacer uso de un dongle USB 3G/4G para tener una triple WAN y tener la mejor redundancia posible para no quedarnos sin conexión a Internet. Este modelo también dispone de un total de cuatro puertos Gigabit Ethernet para la LAN, y un puerto de consola RJ-45 para administrar de manera local a través de CLI este router profesional.

A nivel inalámbrico, este equipo es doble banda simultánea con Wi-Fi AC1750, podremos conseguir una velocidad de hasta 450Mbps en la banda de 2.4GHz, y una velocidad de hasta 1.300Mbps en la banda de 5GHz gracias al Wi-Fi 5. Esta red inalámbrica del router es de gama media-alta, por lo que podremos conseguir velocidades muy elevadas vía Wi-Fi, y no solo eso, sino que podremos crear diferentes SSID y asignarlos a diferentes VLANs, como si de un AP profesional se tratase.

Este router no solamente hace las funciones de servidor/cliente VPN, sino que también realiza las funciones de router y de firewall incorporado. Concretamente tiene exactamente las mismas opciones que su hermano pequeño el DSR-250N, como poder configurar conexiones WAN con IP estática, dinámica (DHCP), PPPoE/L2TP/PPTP. El firmware nos permitirá crear varias rutas estáticas, pero este modelo también permite hacer uso de protocolos de enrutamiento dinámicos de pasarela interior como RIP y OSPF, algo que el modelo anterior no podía. Otras funcionalidades son la posibilidad de usar DNS dinámico, hace las funciones de NAT/PAT, permite realizar filtrado de contenidos con URL estática o con palabras clave, tiene un IPS basado en firmas que están incorporadas en el firmware, y podremos tener diferentes métodos de autenticación (base de datos interna, RADIUS, LDAP, AD, dominio NT etc.)

A nivel de red, este router profesional tiene servidor/cliente DHCP, DHCP Relay, soporta VLANs basado en el estándar 802.1Q, permite configurar routing inter-vlan para interconectar las VLANs que le llegan de un switch gestionable, soporta VLANs por puerto, es capaz de gestionar tráfico multicast con IGMP Proxy y también IGMP Snooping, tiene soporte completo para redes IPv6 y permite configurar un balanceo de carga entre las dos WAN cableadas, e incluso dispone de «route failover».

En cuanto a las VPN, es capaz de establecer un total de 155 túneles VPN, 70 túneles IPsec, 20 túneles SSL VPN, 25 túneles PPTP/L2TP, 20 túneles GRE y 20 túneles OpenVPN. El firmware dispone de soporte para cifrados AES de 128 bits y 256 bits, porque también soporta cifrados que actualmente no se consideran seguros como DES o 3DES. Por supuesto, el firmware dispone de IPsec con NAT transversal, DPD, AH y ESP.

Según D-Link, este router profesional proporciona una velocidad a través del firewall de 950Mbps, si usamos una VPN con cifrado 3DES el rendimiento es de 250Mbps, por lo que, si utilizamos cifrados más robustos como AES, el rendimiento será menor, ya que no tiene aceleración de cifrado por hardware. Vamos a poder realizar un total de 100.000 sesiones concurrentes TCP, con un máximo de 1000 sesiones por segundo, y la posibilidad de tener hasta 600 políticas en el firewall.

Os recomendamos visitar la web oficial del D-Link DSR-1000AC donde encontraréis todos los detalles de este equipo.

En el siguiente vídeo podéis ver en detalle cómo son estos dos routers profesionales con VPN de D-Link, y también podréis ver su completo firmware de configuración:

ASUS

ASUS es uno de los mejores fabricantes de routers domésticos del mercado, ya que no solamente dispone de routers de gama alta con el último hardware del mercado, sino un firmware realmente completo con cientos de opciones de configuración, idóneo para «power users» que sacan el máximo partido al equipo. El fabricante lanzó hace unos años un router profesional VPN orientado específicamente para entornos de pequeñas y medianas empresas, haciendo uso del mismo firmware Asuswrt pero vitaminado, y es que dispone de aún más funcionalidades incorporadas.

ASUS BRT-AC828 Dual WAN VPN

El router profesional ASUS BRT-AC828 Dual WAN VPN es un equipo de gama alta con un hardware realmente potente, y con un firmware que dispone de todo lo necesario para usarlo en pequeñas y medianas empresas.

Las principales características inalámbricas de este router es que incorpora doble banda simultánea con Wi-Fi AC2600, tiene una banda de 2.4GHz capaz de proporcionar una velocidad de hasta 800Mbps y en la banda de 5GHz podremos conseguir una velocidad de hasta 1.733Mbps. Este router dispone de cuatro antenas externas en configuración MIMO 4T4R en la banda de 2.4GHz, y cuatro antenas externas en configuración MU-MIMO 4T4R en la banda de 5GHz, además, en esta banda de frecuencias podremos tener 160MHz de ancho de canal en configuración 80+80. Por supuesto, también dispone de la tecnología Beamforming para focalizar la señal inalámbrica en los clientes y conseguir la máxima cobertura y velocidad.

Este router profesional ASUS BRT-AC828 dispone de 2 puertos Gigabit Ethernet para la WAN de Internet, esto significa que tendremos una Dual WAN con balanceo de carga y aceleración por hardware, por lo que podremos conseguir una velocidad de hasta 2Gbps de descarga y 2Gbps de subida, sin limitaciones por el software del equipo. Si utilizas operadores de FTTH, el firmware permite configurar VLANs en la WAN de Internet para ser compatible, además, tiene el perfil Triple VLAN de Movistar FTTH ya implementado. También disponemos de 8 puertos Gigabit Ethernet para la LAN, soporta Link Aggregation con el estándar 802.3ad y permite crear enlaces de hasta 2 puertos, por lo que podremos hacer 4 grupos de 2 puertos para obtener hasta 2Gbps Full Dúplex. Por supuesto, tenemos aceleración NAT para conseguir la mejor velocidad de Internet posible.

Este router dispone de dos puertos USB 3.0 de alto rendimiento, y un slot para conectar un SSD de tipo M.2 SATA3, de esta forma, podremos instalar un SSD M.2 SATA3 para utilizarlo como un servidor de archivos. El firmware ASUSWRT tiene un servidor Samba y un servidor FTP muy configurable a nivel de permisos de usuarios. También podemos usar los USB 3.0 con módems 3G y 4G para usarlos como WAN de Internet en caso de fallo de la conexión principal.

El firmware ASUSWRT que tiene el ASUS BRT-AC828 es muy completo, además de tener todas las opciones típicas de los routers de gama alta de ASUS para el mercado doméstico (excepto servidor de medios DLNA y servidor de impresión), han incorporado algunas opciones muy interesantes que os resumimos a continuación:

  • Servidor y cliente IPsec con IKEv1 y IKEv2. Posibilidad de configurarlo en modo Roadwarrior y Site-to-Site. La configurabilidad de IPsec no es muy buena, no tenemos muchas opciones, los anteriores D-Link disponen de muchas más opciones.
  • Servidor OpenVPN muy configurable, igual que el de los routers domésticos, es el mejor en este aspecto.
  • VLAN en la red local, por lo que podremos segmentar fácilmente la red local profesional y utilizar el estándar 802.1Q, además, podremos configurar varios servidores DHCP, uno por cada VLAN creada.
  • Creación de grupos de usuarios con diferentes permisos, posibilidad de crear un portal cautivo en la red Wi-Fi de invitados, Facebook Wi-Fi y Free Wi-Fi.
  • Servidor RADIUS incorporado para la autenticación de clientes Wi-Fi, configuramos como WPA2-Enterprise y seleccionamos el propio router como servidor.

Y todo esto desde la propia interfaz de usuario, sin necesidad de introducir ningún comando.

Os recomendamos visitar nuestro completo análisis del ASUS BRT-828AC Dual WAN VPN donde encontraréis todos los detalles técnicos, el rendimiento real del equipo, y también todas y cada una de las posibilidades de configuración.

NETGEAR

NETGEAR es otro de los fabricantes más destacados en el entorno de pequeñas y medianas empresas, tanto a nivel de switching L2 y L3, como a nivel de Wi-Fi y también de routers profesionales VPN. Recientemente el fabricante NETGEAR ha lanzado su gestión en el Cloud NETGEAR Insight, una plataforma en la nube que permite una administración fácil, rápida y segura de todos los equipos de la red profesional, y todo ello con una interfaz gráfica de usuario realmente amigable.

Actualmente NETGEAR dispone de un router VPN compatible con NETGEAR Insight, el NETGEAR BR500, el cual nos permite levantar VPN de acceso remoto y también VPN site-to-site de una manera realmente fácil y rápida, sin necesidad de saber de IPsec, OpenVPN u otros protocolos de redes VPN.

NETGEAR Insight Instant VPN Router BR500

Este router profesional con servicios VPN está dentro de la familia NETGEAR Insight para su administración desde la nube, aunque también podremos gestionarlo de manera local. Las principales características de este router es que dispone de un puerto Gigabit Ethernet para la WAN de Internet, con soporte para VLANs en la WAN de Internet y ser compatible con operadores de FTTH en España. También dispone de un total de cuatro puertos Gigabit Ethernet para la LAN, con NAT por hardware para obtener un gran rendimiento cableado. La CPU de este equipo es Dual-Core a 1.7GHz para tener un buen rendimiento en tráfico VPN.

Lo más destacable de este router VPN es su firmware, vamos a poder configurar diferentes VLANs en la LAN para segmentar correctamente la red profesional, e incluso podremos conectar un switch en modo trunk para pasarle todas las VLANs. Además, disponemos de la posibilidad de configurar varios servidores DHCP, uno por cada VLAN que nosotros creemos. Este modelo también incorpora un firewall SPI, detección y mitigación de ataques DoS, filtrado de contenido HTTP, posibilidad de usar DNS dinámico, hace las funciones de NAT/PAT por lo que tendremos port-forwaring, port-triggered y también DMZ, además de disponer de DNS proxy, UPnP, QoS L3 y soporte completo para redes IPv6.

En cuanto a las VPN que soporta este router, tenemos OpenVPN disponible con opciones de configuración muy básicas. Lo más destacable es que tenemos la VPN Insight, el punto fuerte de este modelo, y es que sin necesidad de conocimientos de redes privadas virtuales podremos configurar el acceso remoto para PCs y también hacer túneles VPN Site-to-Site fácilmente.

En el caso de las VPN de acceso remoto con VPN Insight, vamos a poder conectar hasta 10 clientes como máximo de manera simultánea. El montaje típico de VPN de acceso remoto sería este:

En el caso de las VPN Site-To-Site con VPN Insight, vamos a poder conectar hasta 3 sedes como máximo de manera simultánea. El montaje típico de VPN Site-To-Site sería este:

Este router profesional NETGEAR Insight Instant VPN Router BR500 se puede administrar vía web en un completo menú de configuración, y también vamos a poder configurar una gran cantidad de parámetros a través de la aplicación NETGEAR Insight. Si utilizamos este router profesional VPN con switches y puntos de acceso Wi-Fi compatibles con NETGEAR Insight, tendremos una gestión centralizada donde podremos montar arquitecturas de red bastante complejas con un sencillo asistente de configuración, ya que podremos configurarlo todo desde la app o la plataforma de Cloud vía web del fabricante.

Os recomendamos visitar nuestro completo análisis del NETGEAR Insight Instant VPN Router BR500 donde encontraréis todos los detalles técnicos, el rendimiento real del equipo, y también todas y cada una de las posibilidades de configuración.

Aunque en este artículo no hemos cubierto todos los fabricantes de routers que existen, sí hemos incorporado los más relevantes en España. Otros fabricantes como Mikrotik, Ubiquiti, TP-Link y otros, incorporan tanto IPsec como OpenVPN para realizar configuraciones de VPN de acceso remoto y también VPN Site-to-Site, pero en RedesZone todavía no hemos tenido la oportunidad de ver en detalle las opciones de configuración y su funcionamiento.