Configuración de DrayTek Vigor IKEv2 con NordVPN

Este tutorial ha sido redactado oficialmente por DrayTek y traducido posteriormente al español. Encuentra el tutorial original aquí.

Actualización importante: Probablemente, este tutorial solo funcionará para los routers DrayTek que tienen las siguientes versiones del firmware:

v2135 - 4.2.1.2 
v2765 - 4.2.1.1 
v2865 - 4.2.2 
v2927 - 4.2.2

Las versiones anteriores pueden fallar en la autenticación.



Este tutorial te explicará cómo crear un túnel VPN IKEv2 EAP desde el router Vigor a un servidor NordVPN.

En primer lugar, necesitaremos obtener el nombre de host (hostname) del servidor al que nos conectaremos.

Para encontrar el servidor más adecuado, sigue los pasos que se indican a continuación:

Realiza los pasos a continuación para encontrar el mejor servidor para tu conexión:

  1. Inicia sesión en tu Nord Account y haz clic en NordVPN.

    Página Servicios > NordVPN de Nord Account con NordVPN seleccionado en la barra lateral izquierda

  2. Desplázate hasta Configuración avanzada (advanced settings) y haz clic en Configurar NordVPN manualmente (set up NordVPN manually).

    Página de NordVPN en Nord Account desplazada hasta Configuración avanzada con el botón 'Set up NordVPN manually' resaltado

  3. Selecciona la pestaña Servidores recomendados (Server recommendation). Se te recomendará el mejor servidor en función de tu ubicación.

    Página de Configuración de Nord Account con la pestaña 'Server recommendation' seleccionada y resaltada

  4. Si pulsas Filtros avanzados (advanced filters) puedes personalizar aún más los servidores recomendados al seleccionar el Tipo de servidor (server type) y el Protocolo de seguridad (security protocol).

    Pestaña Server recommendation de Configuración de Nord Account con el enlace 'Advanced filters' resaltado

    Configuración de servidor de Nord Account con los menús desplegables de filtros 'Server type' y 'Security protocol' expandidos

  5. Bajo la IP del servidor, junto a Protocolos disponibles, selecciona IKEv2/IPSec.
    Configuración de Nord Account mostrando el servidor recomendado de1172.nordvpn.com con el protocolo IKEv2/IPSec en círculo y el botón 'Get setup configuration'

  6. En la ventana emergente, copia el nombre del servidor y úsalo en la configuración de conexión manual de IKEv2.
    Ventana emergente 'Setup configuration' de Nord Account con el protocolo IKEv2/IPSec seleccionado, el nombre de host de1172.nordvpn.com y el botón de copia resaltado

  7. Cuando te conectes a IKEv2 manualmente, vas a tener que usar el Nombre de usuario (Username) y Contraseña (Password) de la pestaña Credenciales del servicio (service credentials).
    Pestaña Service credentials de Configuración de Nord Account resaltada, mostrando el nombre de usuario del servicio y la contraseña enmascarada

 

  1. Ahora, vamos a entrar en la página de gestión del router.

    Abre el navegador que quieras, haz clic en la barra de direcciones, escribe 192.168.1.1 y pulsa Intro (Enter).(Si no se abre la ventana de inicio de sesión, consulta el manual de tu router para saber cuál es la dirección IP correcta).

    Deberías ver un mensaje de inicio de sesión. El Nombre de usuario (username) y la Contraseña (password) por defecto deben ser "admin" o "admin"/en blanco.

    Navegador Firefox mostrando la solicitud de autenticación del router DrayTek en 192.168.1.1 con el nombre de usuario 'admin' introducido

  2. Ahora, ve a Gestión de certificados (certificate management) >> Certificado CA de confianza (trusted CA certificate).Una vez allí, haz clic en IMPORTAR (IMPORT).

    Menú de la barra lateral del router DrayTek con el elemento Certificate Management > Trusted CA Certificate resaltado

  3. Necesitaremos importar el certificado CA raíz de NordVPN, que primero debes descargar haciendo clic este enlace: https://downloads.nordcdn.com/certificates/root.der.

  4. Después, pulsa en Seleccionar archivo (choose file) y selecciona el archivo raíz (root file) que descargaste en el paso anterior. A continuación, haz clic en Importar (import).

    Formulario de importación de certificado de confianza de DrayTek con el botón Choose File resaltado y el selector de archivos de Windows abierto con root.der seleccionado

  5. Espera unos segundos hasta que el router responda Éxito de la importación (import success) y el Estado del certificado (certificate status) muestre OK.

    Tabla de configuración de certificados de confianza X509 de DrayTek mostrando Trusted CA-1 con el certificado NordVPN y estado OK

  6. A continuación, ve a VPN y Acceso remoto (remote access) >> Identidad de pares IPsec (IPsec peer identity).
    Menú de la barra lateral del router DrayTek con una flecha apuntando al elemento 'VPN and Remote Access'

    Aquí,  establece el nombre del perfil como NordVPN.
    • Además, marca Habilitar esta cuenta (enable this account)
    • Ahora selecciona Aceptar cualquier ID de pares (accept Any Peer ID)

      Formulario de identidad de par IPsec de VPN and Remote Access de DrayTek con la casilla 'Enable this account' y la opción 'Accept Any Peer ID' resaltadas

  7. A continuación, ve a VPN y Acceso remoto >> LAN a LAN, haz clic en un número de índice disponible y edita el perfil de la siguiente manera.

    En Ajustes generales:
    • Decide un nombre del perfil (profile name)
    • Marca Habilitar este perfil (enable this profile)
    • Establece Dirección de llamada (call direction) en «Marcación de salida (dial-out)»
    • En A través de la marcación de salida (dial-out through), selecciona la interfaz WAN para la conexión VPN

  8. En los Ajustes de Marcación de salida:

    • Selecciona Túnel IPsec (IPsec Tunnel) y IKEv2
    • Selecciona IPsec EAP para el tipo de servidor VPN
    • Introduce el nombre de host (hostname) del servidor VPN que obtuviste en el paso 1 en Dirección IP del servidor/Nombre de host (server IP address/hostname).
    • Introduce tu nombre de usuario del servicio de NordVPN
    • Introduce tu contraseña del servicio de NordVPN

      Encontrarás tus credenciales del servicio de NordVPN (el nombre de usuario y la contraseña) en el panel de control de Nord Account:

 

Sigue los pasos a continuación para encontrar las credenciales del servicio para la configuración manual de la conexión:

  1. Inicia sesión en tu Nord Account, haz clic en NordVPN, y, en Configuración manual, haz clic en credenciales del servicio (service credentials). Aquí encontrarás el nombre de usuario y contraseña necesarios para conectarte manualmente.

    Pestaña Service credentials de Configuración de Nord Account resaltada, mostrando el nombre de usuario del servicio y la contraseña enmascarada

 

    • Elige Firma digital (digital signature) para Método de autenticación IKE (IKE authentication method)y selecciona el Perfil de identidad de pares IPsec creado en el paso 5 para ID de pares (peer ID)
    • Selecciona AES con autenticación (AES with authentication) para Método de seguridad IPsec (IPsec security method).
    • Haz clic en Avanzado (advanced)

      Configuración Dial-Out de DrayTek con IPsec EAP seleccionado, el servidor de241.nordvpn.com introducido y la autenticación Digital Signature configurada, con indicadores numerados
  1. En la ventana emergente de la configuración avanzada de IKE, configura lo siguiente:

    • Propuesta IKE fase 1 (IKE phase 1 proposal) como AES256_SHA1_G14
    • Propuesta IKE fase 2 (IKE phase 2 proposal) como AES256_SHA1
    • Duración de la clave IKE fase 1 (IKE phase 1 key lifetime) como 28800
    • Duración de la clave IKE fase 2 (IKE phase 2 key lifetime) como 3600

      Configuración avanzada IKE de DrayTek mostrando la propuesta de fase 1 de IKE AES256_SHA1_G14, fase 2 AES256_SHA1 y los tiempos de vida de claves 28800 y 3600 resaltados

  2. Haz clic en Aceptar (OK) para cerrar la ventana. En Ajustes de red TCP/IP (TCP/IP network settings):

    • Introduce IP de red remota (remote network IP) como 0.0.0.0
    • Selecciona Máscara de red remota (remote network mask) como 0.0.0.0/00
    • Cambia el enrutamiento a NAT para esta conexión VPN
    • (opcional) Activa la opción Cambiar la ruta predeterminada a este túnel VPN (change default route to this VPN tunnel option) si quieres enrutar todo el tráfico a través de NordVPN.

      Configuración de red TCP/IP de DrayTek con IP de red remota 0.0.0.0, máscara de red remota 0.0.0.0/00 y enrutamiento NAT seleccionado

  3. Una vez finalizados los ajustes anteriores, puedes comprobar el estado de la VPN en la página VPN y acceso remoto >> Gestión de la conexión (VPN and remote access >> connection management).

    Administración de conexiones VPN and Remote Access de DrayTek mostrando el túnel IKEv2 IPsec toNordVPN conectado con tiempo de actividad



Opcional

Puedes crear una Política de ruta a través de Enrutamiento >> Equilibrio de carga/Política de enrutamiento (routing >> load-balance/route policy) para enviar tráfico específico al túnel NordVPN. Para verificar la política, puedes usar el comando «tracert» si quieres comprobar si el tráfico definido pasa correctamente por el túnel VPN.


Resultado de tracert en símbolo del sistema de Windows mostrando el tráfico enrutado a través de la IP VPN 185.230.127.13, con flechas etiquetando el salto VPN y la IP de Australia

¿Te ha resultado útil este artículo?

¿Sigues teniendo problemas?

  • Chat en tiempo real

  • Formulario de correo electrónico

Al hacer clic en "Chatear con el equipo de asistencia", aceptas nuestros Términos de servicio y reconoces nuestra Política de privacidad. La funcionalidad del chat se basa en las cookies. Al iniciar el chat, aceptas su uso. Más información en nuestra Política de cookies.