BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Móvil 3G/4G

No funciona el acceso por VPN a la DMZ en un Huawei B311-221

Alejandro C

Quiero poder acceder a los equipos que están detrás de un router Huawei B311-221 a través de una VPN, y no consigo que funcione. Tanto las opciones de DMZ como la de port forwarding se cierran en la VPN.

Os cuento. En el cloud de Oracle he instalado un servidor de VPN L2TP. En el "laboratorio" (mi casa) he instalado un PC (A) con Linux que se conecta la servidor VPN y un portátil conectado al router B311-221. El router está conectado por la salida ethernet a la red de casa. Configuro el router con una DMZ dirigida al portátil. Desde otro PC (B) en la red de casa accedo sin problema al equipo en la DMZ. Configuro el router con una VPN (L2TP) contra el servidor del cloud, y el router dialoga perfectamente y establece la conexión.

Intento acceder desde el PC (B) al portátil dentro de la DMZ y no puedo acceder. Esto es normal ya que el router ahora está conectado por VPN. Desde el portátil dentro de la DMZ, intento acceder al equipo conectado a la VPN PC(A) y funcionan perfectamente todas las conexiones salientes, puedo hacer SSH y acceder a servidores web en el PC (A). El problema surge cuando intento llegar desde el PC (A) al equipo que está en la DMZ, en ese caso es imposible. Da la sensación que cuando el router está configurado en modo VPN, la DMZ o el port forwarding fallan.

Mi duda es si alguien ha intentado esta configuración y puede darme luz, o si realmente no funciona, ¿qué otro modelo de router low cost me recomendais que pueda funcionar?

vukits
1

ya que veo que tu intención es aprender, mejor corregirte , que intentar amoldar lo que tú tienes conceptualizado.

un DMZ es esto … una segunda red dentro de tu red local, no una máqina … Los routers domésticos, sin ajustes adicionales, no te van a dar DMZ… la función que llaman 'DMZ' no es una DMZ de verdad

imagen.webp
(fuente)

una vez de acuerdo en lo que significa DMZ. ¿me confirmas que tienes DMZ de verdad, o osas la funcionalidad DMZ del router doméstico?

Así nos vamos a entender mejor

kotBegemot
1

Aparte de entender la aportación de @vukits, que es muy acertada, intentemos aclara cosas.

Tienes unos servicios publicados en internet, no mediante la redirección de puertos (Port Address Translation), Sino simple NAT desde la IP pública a una dirección de la red privada, lo que tú llamas DMZ.

Hasta ahora podías acceder a esos servicios.

Ahora has configurado una nueva VPN para que ese router encamine todo el trafico hacia algo que has configurado en el Cloud de Oracle.

Y algo no te funciona… lo mas normal del mundo.

Tienes un escenario de enrutamiento y NAT que comienza a tener su complejidad y lo estás intentando hacer con un router de chichinabo.

Te recomendaría que dibujases todos los clientes, servidores y routers y en cada uno de ellos escribieras hacia donde se han de poner conectar o desde dónde han de permitir conexiones entrantes. Con esa información diseña las rutas y reglas de NAT que quieres aplicar en cada router (a lo que tienes en Oracle Cloud tb lo considero router). Y luego ya buscarás si con tus cacharros se puede hacer.

Alejandro C

Gracias vukits

En este caso la DMZ que crea el router es una exposición de un equipo de la LAN interna al exterior manteniendo el mismo direccionamiento que el resto de la LAN. Ya que solo necesito exponer un par de puertos un remapeo de puertos también me sirve.

Ambas situaciones funcionan correctamente cuando el router se expone a internet ó intranet directamente. Es decir a través de la interfaz de la interfaz pública puedo acceder a los puertos que están en la interfaz privada.

El problema aparece cuando el router los conecto a una VPN, en ese caso el router elimina tanto el mapeo de puertos como la DMZ y bloquea todas las peticiones entrantes.

Inicialmente pensé que era de como tenia configurado el servidor VPN, pero no es así. En la LAN de la VPN todos los equipos que se conectan pueden hablar entre ellos.

Basandonos en tu esquema en el supuesto que la DMZ solo tuviera un equipo, por ejemplo el 192.168.100.100, puerto 2000. Yo puedo acceder desde el exterior a la IP 65.43.18.1 puerto 2000 y se presenta la interfaz del 192.168.100.100 puerto 2000. Esto funciona correctamente en configuración DMZ o haciendo la redireccion de puertos del 2000 del router al 2000 interno…

Cuando activo al VPN del router contra el servidor de VPN, como es lógico la redirección de puertos del router deja de funcionar, y ya no es posible acceder a la red interna con la IP publica (65.43.18.1).

El ruouter tiene ahora dos IP , la fisica (65.43.18.1) y la de la VPN (192.168.30.100).

Toda la comunicación saliente del equipo 192.168.100.100 se encamina a través de la VPN y sale correctamente por la 192.168.30.100. Ademas puedo acceder por ssh y los puertos que necesite de otros equipos que están en la red 192.168.30.x.

El problema aparece cuando desde los otros equipos de la 192.168.30.x quiero acceder al 192.168.30.100. En ese caso todos los puertos entrantes están cortados y tanto la DMZ como la redirección de puertos no funcionan.

Espero haberme explicado bien

Gracias

🗨️ 2
vukits

El problema aparece cuando desde los otros equipos de la 192.168.30.x quiero acceder al 192.168.30.100. En ese caso todos los puertos entrantes están cortados y tanto la DMZ como la redirección de puertos no funcionan.

esto es acceso por LAN.

¿Aún accediendo por IP privada no puedes?

SI quieres acceder siempre con nombre de dominio público, necesitas un servicio DNS en tu red local, me temo.

Porque sospecho el NAT Loopback de tu router (si es que tiene) se hace un lío (y con razón)

🗨️ 1
Alejandro C

Gracias de nuevo

Perdona, creo que sigo sin explicarme.

La IP 192.168.30.100 es la IP que tiene el router en la conexion VPN, es decir la IP VPN-WAN.

La IP 65.43.18.1 es la IP de router de la interfaz WAN. En ese caso tampoco, con la VPN levantada no puedo acceder a los equipos de la red interna. Si paro la VPN, entonce vuelven a estar activos.

Este comportamiento es el esperado y me parece correcto.

No me hace falta un servicio de DDNS ya que conozco la IP.

He realizado un escaneo de puertos con el nmap a traves de la VPN, y la respuesta que obtengo es compatible con que el NAT de entrada no funciona.

He realizado tambien un escaneo de puertos con el nmap a la IP WAN (con la VPN activa) y es compatible con que el NAT de entrada no funciona, lo que me parece correcto.

Si hago el escaneo de puertos con el npar a la IP WAN con la VPN desactivada, el funcionamiento es el correcto.

Gracias de nuevo.

Alejandro C

Gracias KotBegemot

Espero que la respuesta a vukits haya aclarado mas la idea de lo que quiero. De todas formas me apunto el pintarlo para poder explicar mejor la idea,

Completamente de acuerdo que es un router lowcost y que logicamente no puede hacer de todo. De ahi mi duda, si ese router no lo puede hacer o no, o si existe otro router low cost que pueda cubrir esa necesidad.

Si no lo hay, siempre puedo dejar el router como esta y poner dentrás una raspberry que levante la conexión VPN y con ella acceder a la red interna.

un saludo y gracias

🗨️ 1
vukits
2

pintalo en draw.io, que es gratis, y muy bueno.

MasterL

Has revisado los permisos de acceso a los servicios?

A veces tienes permitido acceso al servicio en WAN y en LAN pero no en el rango de ips de la red VPN. He perdido algo de pelo con eso algunas veces, jajajjajaj

Tienen acceso permitido a los servicios los equipos de la red VPN?

Si llegan los paquetes ya es cosa del firewall primero y del daemon segundo dar acceso al syn y establecer comunicacion

Asumo q el servidor VPN permite el trafico entre sus clientes

Con tcpdump en servidor y cliente puedes ver si los paquetes te estan llegando al servidor y al cliente

Si no llegan al servidor o al cliente tienes un problema de enrutaniento

El equipo de la VPN q quiere acceder al servidor te da timeout o conexion denegada? Es otra forma de verlo

🗨️ 1
Alejandro C

Gracias MasterL

Si esta todo revisado. Siguiendo el consejo de vukits he realizado un equema. En cuanto lo termine lo subo y a ver si asi me logro explicar mejor.

Las VPN se establecen y están operativas. Con las VPN levantadas existe comunicacion. Ambos equipos salen a internet por la VPN. Los túneles L2TP están activos. También puedo hacer una conexión (ssh) entre el equipo que esta detrás de router Huawei y el equipo externo, pero no puedo hacer la conexión en el otro sentido.

Subo en 10 minutos el grafico y me intento explicar mejor.

un saludo y gracias

Alejandro C

Hola de nuevo

No es que sea un gran dibujante, pero espero que con este dibujo puede explicarme mejor. Gracias vukits por la web

Escenario 1 , VPN desactivado

Desde el equipo A llego a internet

Desde el equipo B llego a internet

Desde el equipo A abro una conexion ssh con el equipo B a traves de R1 y S1 y funciona correctamente

Desde el equipo B abro una conexion ssh con el equipo A a traves de S1 y R1 y funciona perfectamente.

R1 tiene configurado el NAT para que los paquetes que se presentan en el segmento exterior en el puerto 22 se entreguen a equipo A (Nota: configurado en modo DMZ tambien funciona)

Esta configuración funciona a las mil maravillas.

Escenario 2 VPN activada en A y B

El R1 no tiene activada la VPN

A se conecta con B y B se conecta A a través de C. Todo va perfecto.

Escenario 3 VPN activada en R1

El router R1 abre una conexion L2tp contra el servidor de VPN C

El equipo B abre una conexion L2tp contra el servidor de VPN C

En el servidor C se registran correctamente las dos sesiones

El equipo B sale a internet a través del servidor C

El equipo A sale a internet a través del servidor C

El equipo A puede hacer un ssh al equipo B a través de la VPN

El equipo C puede hacer un ssh al equipo B a través de la VPN

El equipo B no puede hacer un ssh al equipo A a través de la VPN ←Este es el problema

El equipo C no puede hacer un ssh al equipo A a través de la VPN ←Este es el problema

Desconecto B de la VPN e intento hacer un ssh al equipo A y no funciona (logico el elemento R1 solo escucha la conexión VPN)

De todas estas pruebas la conclusión que saco es que es R1 no usa la tablas NAT cuando tiene la VPN activa, o que estoy haciendo algo mal.

En el supuesto que haya hecho todo bien, mi gran duda es si existe algún otro router de bajo costo que pueda usar si éste no vale.

La configuración real seria eliminar la conexion R1-S1 y que el acceso a internet se hiciera via red 3G/4G . El equipo A se sustituye por un sensor IOT que no tiene capacidad de abrir una VPN, por lo que seria el elemento C el que a través de R1 accede a A para recolectar los datos.

Espero haber aclarado algo.

Gracias por vuestras aportaciones y paciencia

captura-pantalla-2022-02-28-20-12-05.webp