Migració de VPNs
El client tenia una serie de sucursals connectades a la central amb VPNs, fins aquell moment tenia instal·lat.
- Un router Cisco i el programa Checkpoint a la central per administrar les VPNs
- I routers Cisco a les sucursals.
Volia canviar de proveïdor perquè pagava molt per les llicència de les VPNs i no volia estar limitat en el número de connexions així que li vam oferir una solució lliure amb OpenVPN.
OpenVPN és una VPN innovadora amb una tecnologia (basada en SSL) molt diferent de la tradicional (basada en IPSec). El sistema que utilitza té molts avantatges i pocs desavantatges, segurament el principal desavantatges que té és que no és compatible amb IPSec que actualment és la més extesa.
La llista d’avantatges és llarga, però les principals per a aquest client eren que era lliure i que era multiplataforma (és a dir, que es podia instal·lar a diversos sistemes operactius com linux, windows, mac, etc). Per una llista més extensa de les característiques i avantatges es pot consultar a la pàgina oficial OpenVPN
Per migrar totes les VPNs que estaven connectades amb la central vam decidir fer-ho sucursal a sucursal. Primer vam instal·lar la OpenVPN a la central en un servidor linux Debian que ja havíem instal·lat previament per altres utilitats i després ens vam disposar a migrar totes les sucursal una a una. Al intentar migrar la primera sucursal es van presentar els problemes.
Per una banda necessitavem obrir un port a la central perquè les connexions entrants de les sucursals poguessin arribar en el servidor. Com que la llicència del programa Checkpoint ja havia finalitzat no podíem fer-ho, vam mirar quins ports ja estaven oberts en el firewall i vam veure que els pocs ports oberts s’estaven utilitzant.
Així que vam decidir canviar el plantejament i fer les connexions al revés: ara les sucursals farien de servidor d’OpenVPN i esperarien la connexió entrant de la central.
Amb aquest plantejament el que hauríem de fer a cada sucursal era:
- Instal·lar la OpenVPN a l’ordinador que ara faria de servidor
- I substituir el router Cisco per un altre genèric de marca blanca que es podria configurar correctament.
Amb aquesta solució l’extrem de la sucursal funcionava correctament, però la connexió no sortia de la central perquè el Checkpoint no deixava sortir cap connexió. El què vam fer per enganyar el programa va ser utilitzar com a port de connexió el 443, així el Checkpoint creia que es tractava de peticions https de navegadors de la intranet enlloc de connexions sortints de la OpenVPN.
Amb aquests passos es van poder migrar totes les sucursals. Al finalitzar vam poder acabar de migrar la central: vam canviar el servidor que tenia el programa Checkpoint pel nostre servidor linux i el router Cisco per un altre genèric.
El sistema es mantenia estable, però amb el temps s’hauria de canviar el sentit de les connexions que ara eren central–>sucursal cap a sucursal–>central, això permetria tenir reconnexions més ràpides quan es reiniciessin els ordinadors de les sucursals i també permetria tenir únicament IP fixa a la central i despreocupar-se del tipus de connexió dels clients.
Software utilitzat:
