Hola, gracias por tus comentarios, la verdad muy contentos de haber implementado esta marca en ya varios escenarios. El video de esta semana es el más sencillo de todos para implementaciones VPN. Router a Router Cliente con Omada controller y standalone, con Open VPN es como un Site to Site en un solo sentido. Saludos.

Hola Milton, claro que si. Puedes conectar dimultaneamente no solamente por IP-SEC sino por cliente OpenVPN otros routers de este estilo.

Hola, estas son simplemente metodologias de interconexión de tus redes. No tiene nada que ver el servicio con quien lo tengas contratado y ne te cobrarán por ellos y tampoco TP Link lo hará. La única consideración importante, es que tengas en almenos uno de los dos extremos de la conexión, una IP pública fija, la cual en realidad podría ser reemplazada por un redireccionamiento de Host como el de NoIP.com, pero que facilitaría ubicar tu "red principal" para establecer la comunicación.

Hola Rubén, efectivamente. Simplemente tendrás 3 conexiones concurrentes al mismo "respondedor".

@@momentosdetecnologia Excelente gracias

Si se puede, lo malo es que algunos fabricantes escogen no dar tanta libertad a todos los parámetros como lo hace TP Link lo que puede resultar en negociaciones fallidas. Con Unifi funciona muy bien. Saludos!

@@momentosdetecnologia Muchas gracias.

Un saludo, te refiero a este artículo que no podría explicarlo mejor. www.icm.es/2019/12/05/tunel-ipsec-openvpn/

Me funcionaría si solo tengo que abrir puertos en mi router pero el cliente que no tenga que hacer nada. Es posible?

Hola, efectivamente lo podrás hacer. Puedes inclusive variar ligeramente este procedimiento de este video. El servidor lo creas igual, es decir creas un L2TP server y una política de IPSEC es decir una clave precompartida. Luego, creas un usuario en VPN,-USERS (importante que sea aquí ) De esa manera vas al Router cliente (que no necesariamente deberá tener una IP pública fija), y en vez de ir a tunel IPSEC puedes crear un L2TP client con los datos que creaste en el SERVIDOR, hazlo con tiempo y calma que la mayoría de errores es pasar por alto cual red (segmento de red) es local y remoto y la mas común de todas, cometer errores al digitar claves, y PSKs. No olvides especificar en el usuario creado en el servidor, que es un cliente LAN to LAN, y en el cliente cuando lo estés creando, especificas working mode NAT. Saludos y suerte en tu proyecto.

En el cliente no tienes que redireccionar nada y puede estar inclusive tras otro router, y en tu "servidor" de conexión, el router automaáticamente abre los puertos necesarios.

Muchísimas gracias!!! Lo estoy probando y he conseguido de forma parcial pero creo que voy x el camino. La semana que viene os diré cómo va la cosa. Muchas gracias!!!

@@momentosdetecnologia Por ahora no he podido avanzar mucho de esta forma. He conseguido que los equipos se puedan ver y controlar desde Server a Cliente y de Cliente a Server. Me he dado cuenta que para conectar a más gente tengo que ponerlo en Client to LAN. Ahora me gustaría probar de entre Clientes podamos acceder a los recursos de unos y otros. ¿Con el método del vídeo es posible?

Es algo común y dependiendo de la carga del router en un momento dado puede disminuir bastante. Sinembargo pocas veces lo vemos tan crítico. Es posible que por el tráfico constante (en cualquiera de los dos extremos) sea necesario un router con algo más de capacidad de proceso (por el cifrado de la información)

Para una configuración Site to Site en la cual no quieres incolucrar por ejemplo, Que los equipos tengan que estar conectándose, lo ideal es que le delegues esa función a tus routers y con eso será siempre transparente para ti. Saludos!

Es lo ideal en las conexiones Punto a Punto ya que aunque con las últimas versiones de firmware puedes consigurar nombres de Host, no vas a querer que por alguna razón de actualización del registro DNS no te conecten dos dependencias. Aún así lo podrás hacer con Dyn o con NoIP.com

Hola, nos gusta comparar y sobre todo no dedicarnos a una sola marca. Eso sí he cambiado varios lugares en los que tenía Unifi y nos fuimos por Omada. Excelente experiencia hasta ahora.

Hola, gracias por tu retroalimentación, claro que se puede, de hecho dependerá de qué tanta libertad en los parámetros puedes tener en cada extremo del túnel. Por ejemplo establecer el túnel con gateways de Unifi es bastante complejo pero no imposible, debido a que para la fase 2 unifi no permite al menos desde la interfaz gráfica una configuración detallada.

Cada router te dará una capacidad teorica de más de 1000 clientes (www.tp-link.com/us/business-networking/omada-sdn-router/er605/#specifications) nuestra recomendación para ese es de unos 400 a 500 clientes, y recuerda que en acceso a VPN mires muy bien el throughput al tener encriptación activa ya que es muy inferior al ancho de banda total. Saludos!

Hola, haría exactamente lo mismo de restablecer todo (el l2tp/IPsec). Fase 1 es justamente esa negociación inicial con la PSK. Es muy probable que si ese fue el único cambio que has hecho, el problema se deba a un "bug". No nos ha pasado al cambiar solo el PSK pero no sería nuevo una experiencia como estas. Suerte y nos dejas saber como solucionas. Saludos!

Hola, hemos tenido unos inconvenientes similares usando nombres FQDN, por nuestra parte aún no podemos ayudarte, si tenemos alguna información adicional te contactaremos.

Una vez se establece el túnel IP SEC, es como si todos estuvieran en el mismo lugar así que podrás hacerlo. Por otro lado siempre puedes recurrir a administrar en la nube.

@@momentosdetecnologia muchas gracias. Saludos!!!!

Hola, primero que todo sumar como tal la velocidad de las conexiones no te será posible ya que si bien hace un balanceo de carga, este será dividiendo clientes entre ambas conexiones. Eso mismo hará que identificar con una IP una conexión que sale con otro no sea posible y de hecho sería identificado como una vulnerabilidad en la conexión por lo que tendrías problemas al acceder a ciertos servicios online (correos, y páginas que requieran autenticación)

Tal cual lo describes es lo que puedes hacer con tus dependencias remotas y acceder recursos de uno en el otro. Dependiendo del número de clientes puedes optar por el er605 (amzn.to/4brdEDY ) o en caso de requerir mas capacidad en general te puedes ir por el 7206 ( amzn.to/3VIfGK7 ) Con el ER605 tendrás acceso para unos 200 clientes sin problemas, pero al añadir túneles y encriptación de datos cargarás su CPU. Saludos!

Puedes hacer cualquiera de las dos opciones, en esta página(serverfault.com/questions/451381/which-ports-for-ipsec-lt2p) si quieres por puertos, y DMZ si quieres controlar ya todo en tu TP Link, La otra opción es que solicites directamente al proveedor tu IP pública o el modo bridge para que manejes tus conexiones de manera más directa.

@@momentosdetecnologia GRacias por Responder !!!! Excelente Trabajo el que realizas !!!

Hola, se configura exactamente como oeste er605, solo que tendrás mas potencia en cuanto a número de usuarios y el puerto SFP. Saludos!

@@momentosdetecnologia oye en el minuto 2:19 dices de la ip del equipo remoto pero ese no lo tengo a la mano.. lo nesecito a fuerza tener juntos??

Hola Jesus si es posible haciendo bien sea la configuración de las puertas de enlace desde las opciones del DHCP o manuales desde tus adaptadores. Es mejor usarlas con las opciones del DHCP y la configuración de la métrica (menor la métrica, mayor la importancia que le da a esa puerta de enlace)

Hola, gracias por tus preguntas, efectivamente es una limitante que está presente en todos los routers y estos no son la excepción. Una VPN siempre va a requerir de capacidad de proceso y eso cuesta en términos de velocidad y throughput de tu equipo. No te puedo dar datos exactos de como lo experimentarías en tu equipo ya que depende de qué tipo de VPN implementas el nivel de encriptación que le des. Por ejemplo una red OpenVPN es muy segura pero cuesta mucho en término de velocidad. Creo que abordaremos eso en un futuro video.

@@momentosdetecnologia Entiendo, dime , tu realizas ese tipo de trabajos? En caso de que sí , puedes dejarme una forma de contacto. Porfavor.

Siempre nos pedirá IP, al menos en estos modos de site to site y con el actual firmware.

Efectivamente puedes hacerlo y de hecho la ventaja del TP Link es que también tiene muchas opciones personalizables, así sea solo desde la interfaz gráfica. La ventaja de tu edgerouter es que con la interfaz de comandos se tienen un nivel de personalización bien profundo. Obviamente haría las pruebas respectivas previamente. Ojalá nos compartas como te va. Saludos!

Correremos la voz

Verifica disponibilidad de IPs públicas en cada extremo (configuradas directamente en tus routers) ty luego verificar doble la PSK o clave precompartida. Son los errores mas comunes. Saludos

Es una buena idea, mas no tenemos forma de apoyarte a ese respecto. Estos no pertenecen a Unifi pero su administración es sospechosamente similar aún siendo de empresas tan distintas.

Claro que púedes hacer varias VPN y la limitante será el router que adquieras. El er7206 ( amzn.to/3XwUVSs ) por ejemplo te dejará tener hasta 100 túneles IP Sec, teniendo en cuenta la carga que cada túnel tiene sobre el sistema del router. Puedes ver sus especificaciones aqu: www.tp-link.com/es/business-networking/omada-sdn-router/tl-er7206/#specifications La recomendación si tu necesitas comunicación en ambos sentidos, será túneles IPSec y en laso que sea solamente que tus clientes accedana a recursos en tu oficina principal Open VPN será la opción a seguir. En el caso de tu Archer AX300 no se pero creo que solo es probable como servidor. Saludos!

@@momentosdetecnologia Entonces crees que el ER706W (AX300) no es bueno para site to site?. De igual manera estoy intentando hacer la conexión con 2 modelos ER605 pero no se ven. Se queda aquí: WAN: IKE negotiation began in initiator mode. (Mode=Main Mode, Peers=192.168.100.15187.138.149.XXX). Tengo que abrir puertos adicionales en los modems del ISP???, en un lado tengo un Huawei Totalplay y del otro un ATW technology de infinitum. O a los modems/routers no hay que moverles a nada. Te agradezco mucho la contestación, estoy atorado...

Le abri la DMZ en el modem ATW de telmex a la IP que recibe el tplink (interface WAN) y con eso me levantó el túnel vpn, puedo ver ambos routers TP link pero no alcanzo más allá.. ¿Sabes que pueda ser?

Si correcto y funciona bastante bien. Tenemos dos conectividades funcionando de ese manera hace poco mas de un año sin problemas con la primera versión del ER605. La segunda versión (amzn.to/3WOw4uT ) simplemente involucra conectividad por USB WAN para redes móviles. Saludos!

Hola José efectivamente, es bastante personalizable donde quieres "escuchar" una conexión o por donde salir hacia un servidor VPN y tener de todas maneras balanceo de carga activo. Dale una mirada hoy al video que publicaremos al respecto.

@@momentosdetecnologia Buen Dia, me puedes indicar la liga de ese video, por que no lo identifico o al menos aun no lo veo publicado

Debes verificar tener IP pública. AL seguir los pasos de este video en la configuración más sencilla ya te debe funcionar. Si tienes dudas en cuanto a tu IP, puedes ver: www.avg.com/es/signal/public-vs-private-ip-address

Hola, claro que si, el video que buscas es probablemente este que hicimos un tiempo antes: kzbin.info/www/bejne/ZqK0qpp7nZyioMU

Hasta el momento no es posible. Finalmente la escencia de estas VPNs site to site es el hecho de no solo restringir quien recibe sino quien inicia la conexión. Efectivamente contar con un FQDN en cada extremo sería muy útil.

Lo ideal es que tengan segmentos IP distintos para que tu router haga lo suyo.

Hola, "Phase 1 of IKE negotiation failed..." refiere a la parte más primaria de la conexión o su negociación inicial. Cambia los parámetros, clave compartida, y hasta el nombre de usuario hazlo simple. Es increible la cantidad de veces que estos pequeños errores generan ese problema.

Hola, no tenemos video pero verás que es muy sencillo. Vas a Servicios, luego Dynamic DNS y la cuarta pestaña es la de NoIP. Puedes también ver un ejemplo de como está configurado en el emulador de TP-Link emulator.tp-link.com/er7206_un_1.0/index.html

No, de hecho todos los ER de Omada los puedes configurar en modo "Stand alone" o independientes y los configuras desde su interfaz gráfica.

Soporta hasta 20 túneles IPSec (teoría) así que no pienso que puedas tener problemas pero validaría con alguien que lo haya hecho. El nivel de personalización sobre todo en modo "standalone" es lo suficientemente alto. Me iría por el ER7206 ( amzn.to/3Xt7wpr ) Saludos!

Si necesitas comunicación con las dependencias, esta es la mejor alternativa montando un er605 en cada ubicación remota, pero lo ideal es que la concurrencia en la oficina central sea mínimo en un er7206. Por otro lado dual wan en las dependencias es una muy buena idea si el presupuesto lo permite debido a que podrás tener no solo una buena redundancia de acceso, sino que te funciona mejor el acceso local en cada dependencia a Internet por distinto gateway "local".

Buenas tardes realice los pasos como dices en el vídeo pero puedo solo ver los ruters no puedo ver ni hacer ping a los equipos tanto de un lado cómo del otro me.podriq colaborar tengo un ER7200 y un ER 605

bro me pasa lo mismo pudiste encontrar solucion alguna ? @@rafaelandrestorresc9287

Hola Erick te podremos guiar mas no hacemos contratos directos de servicios. Un saludo!

En mi opinión es mucho mejor de hecho hacerlo de esa manera, ya que garantizas compatibilidad de configuraciones y protocolos de punto a punto.

Hola, nos puedes contactar siempre a través de nuestra página web www.momentosdetecnologia.com

Hola te recomiendo darle una mirada a este blog: serverfault.com/questions/451381/which-ports-for-ipsec-lt2p

Hola Manuel, gracias por tu apoyo, efectivamente es uno de las dificultades con las app pero eventualmente acceden a un sitio web. Crea un entorno pequeño de prueba en el que puedas controlar quien accede a través de un router, activas un DPI y abres la app que quieres bloquear y la usas por un buen rato. Luego analizas el tráfico para ver si hay alguna coincidencia con algún servidor en particular que puedas bloquear.

La mejor manera de solucionar este tipo de problemas es que revises el "log" en System Tools, luego System Log, verificas qué mensajes de error o de éxito te está dando.

No te podría recomendar ya que la configuración y estabilidad no nos ha sido sencillo a un UDM y a un UDM PRO, y aunque debe funcionar, una cosa es la teoría.

Es que creo hay una versión V2 por eso mi pregunta si funciona también con la V1.60

Claro que sí la única diferencia es que l v2 cuenta con puerto USB para conexiones 4G o 5G, de resto es exactamente la misma funcionalidad y capacidad.

Hola, basicamente repetirás el procedimiento de este caso, pero crearás dos túneles remotos. Tu router principal debe ser el más capaz (algo así como el ER7206 amzn.to/3XwUVSs ) El enrutamiento lo hará tu router principal interconectando los tres. Saludos!

Básicamente la gran mayoría hoy día de TP Link tienen esta funcionalidad que se configuran desde su propia interfaz de red salvo que soporte conectarse al controlador de red como estos dos que mencionamos en este video.

Estás utliizando dos equipos idénticos a lado y lado? Nos ha sucedido mucho con equipos Unifi hacia TP-Link

Bro me gustaria recibir algun tipo de ayuda... tengo en mi oficina principal un ER7206 Con ip publica en el puerto WAN2 en el otro punto tengo un ER6000 VPN con un servicio dedicado ip fija a la WAN1 al momento de seguir los pasos de tu video veo en los logs el siguiente error WAN/LAN2: Phase 1 of IKE negotiation failed. (peers=IP PUBLICA DE MI RESPONDEDOR IP PUBLICA DE MI INICIADOR, Error=14 no logro establecer conexion tienes alguna idea de que pueda estar ocurriendo? :( los dos son TPLINK@@momentosdetecnologia

Si, justamente esa es una de las grandes ventajas de estos, es poderlos configurar en modo "indpendiente" o standalone. Lo cual de hecho te permite una mayor confiabilidad. En cuanto a puertos el los abrirá automáticamente.