Configuración de DrayTek Vigor IKEv2 con NordVPN

Este tutorial ha sido redactado oficialmente por DrayTek y traducido posteriormente al español. Encuentra el tutorial original aquí.

Actualización importante: Probablemente, este tutorial solo funcionará para los routers DrayTek que tienen las siguientes versiones del firmware:

v2135 - 4.2.1.2 
v2765 - 4.2.1.1 
v2865 - 4.2.2 
v2927 - 4.2.2

Las versiones anteriores pueden fallar en la autenticación.

Este tutorial te explicará cómo crear un túnel VPN IKEv2 EAP desde el router Vigor a un servidor NordVPN.

En primer lugar, necesitaremos obtener el nombre de host (hostname) del servidor al que nos conectaremos.

Para encontrar el servidor más adecuado, sigue los pasos que se indican a continuación:

Realiza los pasos a continuación para encontrar el mejor servidor para tu conexión:

1. Inicia sesión en tu Nord Account y haz clic en NordVPN.
   
   
   
   
2. Desplázate hasta Configuración avanzada (advanced settings) y haz clic en Configurar NordVPN manualmente (set up NordVPN manually).
   
   
   
   
3. Selecciona la pestaña Servidores recomendados (Server recommendation). Se te recomendará el mejor servidor en función de tu ubicación.
   
   
   
   
4. Si pulsas Filtros avanzados (advanced filters) puedes personalizar aún más los servidores recomendados al seleccionar el Tipo de servidor (server type) y el Protocolo de seguridad (security protocol).
   
   
   
   
   
   
5. Bajo la IP del servidor, junto a Protocolos disponibles, selecciona IKEv2/IPSec.
   
   
   
6. En la ventana emergente, copia el nombre del servidor y úsalo en la configuración de conexión manual de IKEv2.
   
   
   
7. Cuando te conectes a IKEv2 manualmente, vas a tener que usar el Nombre de usuario (Username) y Contraseña (Password) de la pestaña Credenciales del servicio (service credentials).
   
   
   

1. Ahora, vamos a entrar en la página de gestión del router.
   
   Abre el navegador que quieras, haz clic en la barra de direcciones, escribe 192.168.1.1 y pulsa Intro (Enter).(Si no se abre la ventana de inicio de sesión, consulta el manual de tu router para saber cuál es la dirección IP correcta).
   
   Deberías ver un mensaje de inicio de sesión. El Nombre de usuario (username) y la Contraseña (password) por defecto deben ser "admin" o "admin"/en blanco.
   
   
   
   
2. Ahora, ve a Gestión de certificados (certificate management) >> Certificado CA de confianza (trusted CA certificate).Una vez allí, haz clic en IMPORTAR (IMPORT).
   
   
   
   
3. Necesitaremos importar el certificado CA raíz de NordVPN, que primero debes descargar haciendo clic este enlace: https://downloads.nordcdn.com/certificates/root.der.
   
   
4. Después, pulsa en Seleccionar archivo (choose file) y selecciona el archivo raíz (root file) que descargaste en el paso anterior. A continuación, haz clic en Importar (import).
   
   
   
   
5. Espera unos segundos hasta que el router responda Éxito de la importación (import success) y el Estado del certificado (certificate status) muestre OK.
   
   
   
   
6. A continuación, ve a VPN y Acceso remoto (remote access) >> Identidad de pares IPsec (IPsec peer identity).
   
   
   Aquí,  establece el nombre del perfil como NordVPN.
   • Además, marca Habilitar esta cuenta (enable this account)
   • Ahora selecciona Aceptar cualquier ID de pares (accept Any Peer ID)
     
     
     
     
7. A continuación, ve a VPN y Acceso remoto >> LAN a LAN, haz clic en un número de índice disponible y edita el perfil de la siguiente manera.
   
   En Ajustes generales:
   • Decide un nombre del perfil (profile name)
   • Marca Habilitar este perfil (enable this profile)
   • Establece Dirección de llamada (call direction) en «Marcación de salida (dial-out)»
   • En A través de la marcación de salida (dial-out through), selecciona la interfaz WAN para la conexión VPN
     
     
8. En los Ajustes de Marcación de salida:
   
   
   • Selecciona Túnel IPsec (IPsec Tunnel) y IKEv2
   • Selecciona IPsec EAP para el tipo de servidor VPN
   • Introduce el nombre de host (hostname) del servidor VPN que obtuviste en el paso 1 en Dirección IP del servidor/Nombre de host (server IP address/hostname).
   • Introduce tu nombre de usuario del servicio de NordVPN
   • Introduce tu contraseña del servicio de NordVPN
     
     Encontrarás tus credenciales del servicio de NordVPN (el nombre de usuario y la contraseña) en el panel de control de Nord Account:

Sigue los pasos a continuación para encontrar las credenciales del servicio para la configuración manual de la conexión:

1. Inicia sesión en tu Nord Account, haz clic en NordVPN, y, en Configuración manual, haz clic en credenciales del servicio (service credentials). Aquí encontrarás el nombre de usuario y contraseña necesarios para conectarte manualmente.
   
   
   
   

1. • Elige Firma digital (digital signature) para Método de autenticación IKE (IKE authentication method)y selecciona el Perfil de identidad de pares IPsec creado en el paso 5 para ID de pares (peer ID)
   • Selecciona AES con autenticación (AES with authentication) para Método de seguridad IPsec (IPsec security method).
   • Haz clic en Avanzado (advanced)
     
     
2. En la ventana emergente de la configuración avanzada de IKE, configura lo siguiente:
   
   
   • Propuesta IKE fase 1 (IKE phase 1 proposal) como AES256_SHA1_G14
   • Propuesta IKE fase 2 (IKE phase 2 proposal) como AES256_SHA1
   • Duración de la clave IKE fase 1 (IKE phase 1 key lifetime) como 28800
   • Duración de la clave IKE fase 2 (IKE phase 2 key lifetime) como 3600
     
     
     
     
3. Haz clic en Aceptar (OK) para cerrar la ventana. En Ajustes de red TCP/IP (TCP/IP network settings):
   
   
   • Introduce IP de red remota (remote network IP) como 0.0.0.0
   • Selecciona Máscara de red remota (remote network mask) como 0.0.0.0/00
   • Cambia el enrutamiento a NAT para esta conexión VPN
   • (opcional) Activa la opción Cambiar la ruta predeterminada a este túnel VPN (change default route to this VPN tunnel option) si quieres enrutar todo el tráfico a través de NordVPN.
     
     
     
     
4. Una vez finalizados los ajustes anteriores, puedes comprobar el estado de la VPN en la página VPN y acceso remoto >> Gestión de la conexión (VPN and remote access >> connection management).
   
   

Opcional

Puedes crear una Política de ruta a través de Enrutamiento >> Equilibrio de carga/Política de enrutamiento (routing >> load-balance/route policy) para enviar tráfico específico al túnel NordVPN. Para verificar la política, puedes usar el comando «tracert» si quieres comprobar si el tráfico definido pasa correctamente por el túnel VPN.