BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

CISCO: abrir puerto con VPN y PAT

taholi

Hola a todos,

tengo una duda acerca de abrir puertos en mi router cisco 857, en principio ya he realizado esta operacion con éxito otras veces, con una ADSL de telefonica, IP statica y NAT dinamico. Pero ahora el tema se ha considerablente al tener montada una VPN site-to-site con IPSEC.

El caso es que tengo montada esta VPN y de forma interna se usa terminal server, aqui no tengo ningun problema, todo ok, pero el tema esta en que no puedo dejar acceso desde el exterior (me refiero a un cliente que este fuera de la VPN), por lo que me dispuse a abrir el puerto 3389 (que es el que usa esta aplicacion) en el router donde se encuentra el servidor de terminal server, pero al introducir en linea de comandos la orden:

ip nat inside source static tcp 3389 192.168.0.2 3389 interface atm 0.1 3389 overload

despues de esto, no puedo usar el terminal server ni desde la VPN, ni desde el exterior... y la verdad no se si teniendo la VPN y haciendo PAT puedo hacer esto que quiero, alguien me puede echar un cable?

Saludos.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
imakoki

Buenas,

Una cosilla antes de nada... el overload del final no lo veo muy claro xD Tiene sentido para hacer PAT de dentro a fuera pero al reves no, ademas de que al menos a mi nunca me ha aparecido como opcion. Igual lo has puesto de memoria y te has despistado... ;) bueno y que has puesto tres veces el puerto también me hace imaginar que con las prisas por poner el post se te ha lidao un poco el comando :P ;)

A ver si te sirvo de ayuda ;) Hay dos opciones que yo conozca. La 2 que expondre solo con ip statica publcica.

La primera es senciall. Poner al servidor una 2a ip sobre la misma interfaz y tirar ahi el ip nat ... Mejor usar la 2a esta, virtual, para el nat ya que esa ip no se hace servir desde fuera y asi, la ip que tiene el servidor tambien es la que usas por la vpn. No se si me lio explicandome... ;)

La otra alternativa es algo estatica...

primero requiere una access-list:

ip access-list extended exclude-vpn-statics
permit ip 192.168.0.0 0.0.255.255 10.13.116.0 0.0.0.127

10.13.116.0 en realidad seria la direccion de red de tu ip publica, pero por no poner una ip real pues he puesto esa. Lo que defines es, a la iquierda el rango de tu red privada y a la derecha de la access-list, como destino, la red de tu ip publica. No me preguntes porque pero es así, según un documento de cisco que ahora no tengo a mano ;)

El siguiente paso es un rotue-map usando es ACL:

route-map exclude-vpn-statics permit 10
match ip address exclude-vpn-statics
set ip next-hop 10.13.116.1

El next-hop es el gateway de tu red publica, vamos la puerta de enlace de la interfaz con ip publica.

Eso, simplemente aplicandolo en la ip nat, ya estaria:

En tu caso, y usando para el ejemplo la 10.13.116.10 como tu supuesta ip publica:

ip nat inside source static tcp 192.168.0.2 3389 10.13.116.10 3389 route-map exclude-vpn-statics

Solo hace falta que uses el formato con el route-map en tantas statics como te haga falta que sean visibles por la vpn dichos puestos, que en principio serian todos imagino.

Espero que sea de ayuda. El formato de usar la 2ip en el servidor pues lo usaba al principio hasta que descubrí esta otra forma. Aunque en conexiones con ip dinamica, como veras por la forma en que hay que hacerlo con el route-map, no me queda mas remedio que usar la 1ra opcion, con la 2a ip ;)

Saludos ;)
imakoki

🗨️ 7
taholi

Muchisimas gracias imakoki, ya no es la primera vez que me ayudas con mis enredos ;)

Lo probaré el Lunes (porque hacerlo desde remoto me da yuyu, por si la cago :S) y ya comentaré que tal, creo tenerlo claro, optaré por la segunda opción.

Muchas gracias de nuevo.

🗨️ 6
imakoki

Ya contaras que tal... yo lo he configurado así en ocasiones por es mismo problema y bueno, con sus limitaciones que comento en mi respuesta pero me ha funcionado sin problemas ;)

Salu2 ;)
imakoki

JoeDalton

Para hacerlo en remoto te recomiendo que uses el comando:

reload in X

donde X es el tiempo que tardará el router en reiniciarse.

Ejecutas ese comando, haces los cambios, y si algo va mal solo tienes que esperar a que se reinicie, evidentemente no guardes cambios hasta que no esté todo en orden.

🗨️ 4
xavisuper

Ya que te pones, dí también que si todo va bien y ya no hace falta el reinicio, se puede cancelar este con el comando

# reload cancel.

;)

Shuwaka

Tengo un problema para acceder mediante un cliente de vpn cisco version 4.8.01.0300 el cual por alguna razon no conecta, el cliente tiene conexion a internet y puede navegar sin ningun tipo de problemas, pero cuendo intenta conectar la vpn para acceder a los aplicativos desde los servidores de su empresa, le dice: NO SE HA LOGRADO CONEXION CON EL PUNTO DE ACCESO VPN, lo cierto es que yo le doy ping a la direccion ip que el esta tratando de acceder, pero por alguna razon el cliente no conecta.

🗨️ 2
JoeDalton
🗨️ 1
BocaDePez
BocaDePez