Si queremos usar nuestro router para poder acceder de forma remota a dispositivos detrás de él necesitamos algún mecanismo que nos lo permita. Básicamente tenemos dos opciones:
- Disponer a través de nuestro ISP de una IP pública y accesible (y remarco lo de ‘y’ ya que algunos operadores usan direcciones IP públicas que reutilizan ya que hacen CG-NAT y el usuario no se conecta a Internet a través de esta dirección pública sino de otra diferente)
- Utilizar una conexión VPN saliente en el router, es decir, nuestro dispositivo actúa como cliente VPN hacia un servidor VPN con IP pública y accesible. En este caso o bien nos conectamos desde el propio servidor o bien desde otro cliente VPN para tener acceso tanto al router como a los dispositivos detrás de él.
En este artículo vamos a repasar las ventajas y desventajas de cada uno de ambos sistemas.
IP pública y accesible
Ventajas
- Facilidad de configuración. No tendremos que configurar ningún servicio VPN. Podremos acceder al router directamente a través de la IP de la interfaz WAN
- Evita un cierto consumo de datos necesarios para el mantenimiento del túnelo VPN (keepalive en OpenVPN)
Desventajas
- Seguridad. Las direcciones IP públicas de los operadores están expuestas a accesos remotos indebidos como ataques de DDoS o intentos brutos de acceso SSH/Telnet. Aunque los dispositivos Teltonika disponen de mecanismos de seguridad para evitar y minimizar estos ataques, un gran número de accesos indebidos puede ralentizar incluso la comunicación de datos del router. Si nuestro router no dispone de una dirección IP pública y accesible es imposible el acceso al mismo desde exterior por lo que disponemos del nivel máximo de seguridad.
- Es una solución dependiente del ISP. Si cambiamos de operador debemos tener en cuenta que éste nos pueda proporcionar una IP pública ya que no todos ofrecen este servicio
- Precio. Suele ser una opción bastante costosa. Desde los 15 EUR o 19 EUR al mes de algunos operadores hasta unos 5,00 EUR al mes para otros operadores que optan por montar una VPN interna en sus tarjetas SIM abriéndonos únicamente algunos puertos en una IP pública compartida por otros usuarios
- El acceso a los dispositivos detrás del router debe hacerse abriendo los puertos en el router (port forwarding). Esta opción tiene algunas limitaciones con algunas aplicaciones como SFTP (Secure FTP) o con aplicaciones que utilizan varios puertos simultáneamente como TIA Portal para la programación de PLCs de Siemens.
Conexión VPN
Ventajas
- Seguridad. Si nuestro operador no permite las conexiones entrantes estamos a salvo de cualquier intento de ataque que únicamente podrían llegar a través del túnel VPN pero para eso el atacante tendría que tener los certificados y claves que encriptan dicha conexión
- Independencia del operador y tipo de conexión. Lo único que necesitamos es que nuestro router tenga acceso a Internet. Podemos usar cualquier SIM de cualquier operador mientras tenga datos, o usar el Wifi de la instalación o un puerto de un router de fibra. No tenemos que preocuparnos de abrir puertos. Simplemente con que nuestro router salga a Internet ya podrá establecer el túnel VPN.
- Acceso a los dispositivos detrás del router sin necesidad de abrir puertos, a través de su dirección IP. Aunque podemos usar port forwarding sobre la IP del túnel VPN, si propagamos las rutas LAN hacia la VPN podremos acceder a los dispositivos en cualquier puerto TCP/UDP directamente a través de su dirección IP.
Desventajas
- Complejidad de configuración: para establecer una VPN necesitamos disponer de un servidor VPN en una IP pública y accesible. Montar el servidor requiere de ciertos conocimientos técnicos, mantenimiento de certificados, claves y ficheros de configuración, etc. Dicho servidor debería estar en cloud con un alto grado de disponibilidad del hardware y de acceso a Internet ya que si no está operativo ningún dispositivo será accesible
- Consumo extra de datos para el mantenimiento del túnel VPN y una velocidad de datos ligeramente inferior por el ‘overhead’ debido a la encriptación de los paquetes en el túnel.
Conclusiones
En nuestra opinión es mucho mejor usar un servicio VPN que una IP pública y accesible, básicamente por el tema de seguridad y porque nos permite el acceso a los dispositivos detrás del router a través de su IP sin el mapeo de puertos.
El principal inconveniente es la complejidad de configuración y la necesidad de un servidor VPN de alta disponibilidad pero el servicio RMS VPN de Teltonika nos permite obviar ambos inconvenientes con un precio muy atractivo y muchas otras funcionalidades a nivel de gestión y mantenimiento de los routers Teltonika.
Si estás interesado, puedes probarlo gratuitamente.