BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Hacer accesible un servidor VPN tras doble NAT

Bramante

Quiero levantar un servidor OpenVPN en casa, con un router corriendo dd-wrt. Dicho router cuelga del router de la operadora, que no puedo eliminar ni poner en modo brige, por tanto, doble NAT al canto.

En el router de la operadora lo tengo todo capado y la IP asignada (DHCP off) a mi propio router, bajo DMZ.

He conseguido configurar correctamente el servidor OpenVPN, pero no logro alcanzar mi router desde el exterior. El router de la operadora anda realmente escaso de opciones, es muy muy básico.

¿Por dónde tiro para conseguir llegar a mi propio router pasando por el de la operadora?

Gracias!!

BocaDePez
BocaDePez
1

Si tienes configurado DMZ apuntando hacia tu router y aguas abajo el que lleva el servidor OpenVPN, solo deberás redireccionar los puertos correspondientes en tu router hacia el servidor OpenVPN para poder acceder.

1194 UDP por defecto en el caso de OpenVPN.

🗨️ 21
Bramante

Es mi propio router el que alberga el servidor OpenVPN.

En él tengo abierto el 1194 UDP, pero no llego a él.

Gracias.

Edito: El router de la operadora no me permite redireccionar puertos

🗨️ 20
BocaDePez
BocaDePez
1

entonces el servidor vpn no esta tras doble nat

vukits

usar el puerto por defecto (1194) es poco recomendable...

🗨️ 18
rbetancor

¿por? ... siempre me ha parecido una soberana estupidez cambiar los puertos asignados a los servicios. Cambiarlos de sitio no es más que darle de comer al troll de 'seguridad por oscuridad'.

Si las cosas se montan y se mantienen como tiene que ser, no hay necesidad ninguna de cambiar puertos.

Que luego acabamos con chapuzas extremas como administraciones públicas publicados servidores TOMCAT en el 9999 porque no saben como cojones configurar un simple apache o nginx (esto ya sería pedirles mucho) para hacer un reverse-proxy en condiciones.

🗨️ 17
BocaDePez
BocaDePez
🗨️ 13
rbetancor
🗨️ 12
EmuAGR
🗨️ 11
rbetancor
🗨️ 7
BocaDePez
BocaDePez
🗨️ 3
rbetancor
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
pegial
🗨️ 2
rbetancor
1
🗨️ 1
BocaDePez
BocaDePez
mceds
🗨️ 2
rbetancor
1
🗨️ 1
vukits
vukits
🗨️ 2
rbetancor
🗨️ 1
vukits
mceds
1

¿Podrías poner temporalmente un PC normal y corriente, enganchado al router de la operadora y ejecutando otro servidor VPN, para ir descartando factores?

🗨️ 1
Bramante

Sí, también probaré eso.

Gracias.

eddie2k
1

Imagino que lo habrás mirado pero, ¿no estarás dentro de una NAT?

Tambien puedes probar a activar el PPTP (que en DD-WRT lo tienes disponible y es más sencillo de configurar) para descartar problemas de conectividad; es más puedes desactivar el "Block ICMP requests" y hacerle ping, a ver si es algo totalmente distinto.

🗨️ 4
BocaDePez
BocaDePez

A mi co. El operador de fibra no puedo montar un vpn porque mi router no permite el paso de este. Yo lo tengo configurado como tu. Un dmz del router de la compañía. Te go servidor web funcionando y otros servicios pero el vpn no me funciona y es debido a mi router de la operadora que no me permite el paso de vpn a no ser que lo ponga en bridge

🗨️ 3
BocaDePez
BocaDePez

El router del operador debe permitir el "passthrough" para que puedas conectarte al VPN

🗨️ 2
rbetancor

Falso, el router de la operadora solo ha de permitir redirigi puertos, nada más, si puedes redirigir un puerto, puedes usar una VPN estando el servidor tras el NAT del router doméstico.

Lo de VPN Passthrough es para otra cosa, no se que manía le ha dado a la gente últimamente con decir que hace falta eso para montar una VPN

skgsergio

El VPN Passthrough sirve para clientes de la red conectado a VPNs remotas, es decir al contrario de lo que se intenta aquí.

rbetancor
1

¿Cual es el router de la operadora? modelo ...

Si tienes el DD-WRT como DMZ del router de la operadora, pero no ves las peticiones del openVPN client contra tu DD-WRT, yo me empezaría a preocupar, de que ese router de operadora, no está haciendo lo que debe o que estás tras un CGNAT

🗨️ 22
Bramante

Vaya por delante mi agradecimiento a todos los que habéis contestado 😉


@vukits

usar el puerto por defecto (1194) es poco recomendable...

Sí, por supuesto.

Mi idea, si lo consigo hacer funcionar es no usar el puerto por defecto. Lo quiero pasar a 443 UDP, pero tengo que mirarlo bien porque ese puerto, en UDP, ya lo usan algunos como Google para QUIC.

De todos modos, es algo que iré viendo.


@BdP

entonces el servidor vpn no esta tras doble nat

Entiendo que sí. El router de la operadora me traduce la IP pública a 192.168.25.26 y el router propio toma esa IP como WAN y me la traduce a la red que uso en LAN.


@eddie2k

Imagino que lo habrás mirado pero, ¿no estarás dentro de una NAT?

Tambien puedes probar a activar el PPTP (que en DD-WRT lo tienes disponible y es más sencillo de configurar) para descartar problemas de conectividad; es más puedes desactivar el "Block ICMP requests" y hacerle ping, a ver si es algo totalmente distinto.

CGNAT descartado.

Sí, si permito ping, puede llegar a través de mi IP pública, pero me los contesta el router de la operadora.

Lo de PPTP es algo que harto de bregar con OpenVPN, pensé en intentar, pero acabé tan harto ese día, que lo mandé todo a hacer puñetas. Si veo que consigo nada con OpenVPN, haré probaturas con PPTP.


@rbetancor

¿Cual es el router de la operadora? modelo ...

Problema número uno. Es un router xDSL "Juan Palomo", diseñado por la operadora y con su propio firmware. Es un Sky Hub SR102, al que decir que es limitado de opciones, es hacerle un favor.

1.png

Si tienes el DD-WRT como DMZ del router de la operadora

3.png

el router de la operadora solo ha de permitir redirigi puertos, nada más, si puedes redirigir un puerto, puedes usar una VPN estando el servidor tras el NAT del router doméstico

Esta parte es la que creo que se me está escapando. Dije que no había forma de redirigir puertos en el router de la operadora, pero algo existe:

2.png

Sí creo la entrada en ese apartado, pongamos por ejemplo, Name: OpenVPN - Type: UDP - Start Port: 1194 - Finish Port: 1194, luego voy al apartado firewall y tengo esto:

4.png

Esto último es lo que creo que no estoy haciendo bien.


Lo dicho, gracias a todos.

🗨️ 21
rbetancor
1

No caigas en la troleada de cambia de puerto un servicio. Simplemente configuralo bien.

No es doble NAT, sería doble NAT si tuvieras Router operadora -> Router DD-WRT -> Servidor OpenVPN ... en tu caso el router DD-WRT es el Servidor OpenVPN, así que no hay doble NAT.

PPTP = BOQUETÓN de seguridad, no digo más.

Con el DMZ, ya te debería de llegar el trafico del OpenVPN al DD-WRT ... ¿has comprobado que te llega? ... ¿tienes el servicio activado en el DD-WRT?

Por los pantallazos que pones, el SkyDSL ese te permite redirigir puertos y la primera parte la has puesto bien ... para la segunda, que es la regla del cortafuegos ... ¿que mas opciones te da el campo 'Action'? y¿ el campo 'Access from'?

🗨️ 20
Bramante

No es doble NAT, sería doble NAT si tuvieras Router operadora -> Router DD-WRT -> Servidor OpenVPN ... en tu caso el router DD-WRT es el Servidor OpenVPN, así que no hay doble NAT.

Entiendo, no lo había visto así.

PPTP = BOQUETÓN de seguridad, no digo más.

Sí sí, por supuesto, bajo ningún concepto usaría PPTP, era únicamente por probar, porque el problema de dd-wrt es que no es demasiado explicativo en el syslog y no logro enterarme de si el servicio OpenVPN levanta correctamente o no, por tanto, mayor incertidumbre.

Con el DMZ, ya te debería de llegar el trafico del OpenVPN al DD-WRT ... ¿has comprobado que te llega?

Lo intento, pero creo que no llega:

1.png1b.png2.png3.png4.png

para la segunda, que es la regla del cortafuegos ... ¿que mas opciones te da el campo 'Action'? y¿ el campo 'Access from'?

elemento.pngb.png

Gracias @rbetancor

🗨️ 19
rbetancor
1
🗨️ 15
Bramante
🗨️ 2
rbetancor
1
🗨️ 1
Bramante
🗨️ 11
mceds
1
🗨️ 3
Bramante
🗨️ 2
mceds
🗨️ 1
vukits
1
🗨️ 3
Bramante
🗨️ 2
vukits
🗨️ 1
Bramante
2
🗨️ 2
rbetancor
1
🗨️ 1
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
1
🗨️ 1
vukits

olvidate de DMZ, abres un puerto, y punto pelota

BocaDePez
BocaDePez
-2

Hola , el dia 21 de este mes de junio contraté con Lowi fibra+movil , el orerador que me hizo el contrato cometio varios errores en el contrato , mi nombre mi primer apellido , el codigo postal , se le invento porque no coincide ni un numero , con lo cual el repartidor me ha tenido todo el día esperandole y no llego claro... volvi hoy a llamar a Lowi para saber que ocurria con mi targeta SIM que no llega y una amable oreradora su nombre Olga , corrigio el contrato y ahora tengo que esperar hasta el lunes 25 al repartidor , todo esto por un contrato totalmente incorecto , gracias Olga , muy amable

vukits
1

a ver... antes de nada, un tuto, que sigo usando en mi cabeza

otras cosas de sentido común que debes probar, para descartar que sea problema del router principal.. hay que ver si desde tu red local te puedes conectar al servicio openvpn ...

a modo de ejemplo , para conectar desde tu red local, en el config- del cliente, tendrías que cambiar remote a la ip local...

ojo, para dispositivos móviles, iphone,etc, es mejor usar tun que tap...

client
remote 192.168.25.26 1194
resolv-retry infinite
proto udp
nobind
dev tap
ca im_ca.crt

cert user1.crt
key user1.key
comp-lzo
keepalive 10 120

float
🗨️ 3
Bramante

Gracias @vukits, he conseguido hacerlo funcionar con alguna salvedad.

🗨️ 2
vukits
1

a ver si al final va a ser que tu router no hace NAT loopback, e intentas conectarte desde tu red local, usando la IP pública 😂

cuentanos, hombre

🗨️ 1
Bramante
1

Jeje, creo que no.

Los intentos de conexión los hago desde el móvil, conectado a la red de la operadora móvil.

Un saludo!!