Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
358 lecturas y 22 respuestas
  • Cerrado

    Cliente VPN con GRE... AYUDA!!!

    Buenas, hente...

    Estoy intentando acceder a la red de la ofi a través de un cliente VPN y el Comtrend (CT-536+) no me deja, el muy malvado...
    He hecho una captura de tráfico y he podido ver como la primera fase con PPTP se establece sin problemas, pero el protocolo GRE no pasa a través del router por la configuración de NAT.
    GRE es un tipo de protocolo IP, no un puerto TCP/UDP y en el router sólo he encontrado la opción de puertos TCP/UDP.

    Alguna idea?

    Grasias por adelantado.

    Un saludo,

    Strel

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      Olvídate del pptp, porque no hace más que dar por culo con el…

      Olvídate del pptp, porque no hace más que dar por culo con el tema del GRE tanto a nivel particular con los routers/firewalls de juguete como a nivel profesional en PIX y similares.

      Usa OpenVPN (http://www.openvpn.net) Con OpenVPN sólo necesitas un puerto (tcp ó udp) abierto a tu elección.

      Saludos.

      • Cerrado

        Apoyo lo dicho. Yo en mi curro tambien tuvimos que poner uno…

        Apoyo lo dicho. Yo en mi curro tambien tuvimos que poner uno para poder traspasar los NAT y los firewall de la gente que se conectaba en remoto.

        La unica jodienda es el tema de tener que generar certificados de usuario e instalarlos.

        Saludos!!

        • Cerrado

          Ya me gustaría poder olvidarme... :) Yo sólo soy un "p*to…

          Ya me gustaría poder olvidarme... :) Yo sólo soy un "p*to usuario", y no tengo acceso ni de lejos a los tíos que toman esas decisiones. Y los de soporte técnico no saben solucionarme el problema, me dicen que me conecte por modem normal, sin adsl, porque así funciona bien y es verdad que por modem me conecto sin problemas, pero es un rollo conectarse y desconectarse y no poder usar el adsl para acceder también al curro por culpa del maldito comtrend...

          • Cerrado

            Pues no acabo de entender por qué no os funciona el PPTP…

            Pues no acabo de entender por qué no os funciona el PPTP porque a mi sí me funciona. Además, acabo de mirar el data sheet del CT-536+ y pone:

            Application Passthrough:
            PPTP, L2TP, IPSec, VoIP, Yahoo messenger, ICQ, RealPlayer, NetMeeting, MSN, X-box, etc

            Eso sí, el data sheet es del modelo nuevo. Como último recurso podríais actualizar el firmware al que lleva este modelo a ver qué tal......

            Saludos!!

    • Cerrado

      Al final lo consegui... Os cuento... -El PC de sobremesa…

      Al final lo consegui...

      Os cuento...

      -El PC de sobremesa conectado por ethernet... (con este no hago la VPN) (De todas formas seria lo mismo)

      -Con el portatil...
      Me olvido de todo lo que dicen por ahi del puerto UDP...
      Me voy a la configuración del router (es obvio)
      Me voy a: Advanced Setup -->NAT -->DMZ Host
      Y donde pone DMZ Host IP Address: pongo la dirección del equipo con el que quiero establecer la VPN (en este caso mi portatil)

      Y ya está...

      Así es como lo aprendí yo.

      TEORIA: La cuestión es que segun el cliente de VPN utilizado la conexión puede hacer uso de L2TP/IPSEC o PPTP.
      En mi caso, es PPTP para la primera fase, y GRE para la segunda.

      Y aclaro, GRE, ni es TCP, ni UDP, es, ejem, otra cosa...

      Hala, gracias por haber contestado, y espero que sea de utilidad para el próximo que lo necesite...

      PD: Sugiero instalar un analizador de tráfico tipo ETHEREAL (que es gratis) para hacer una captura (iniciar la captura y a continuación intentar arrancar el cliente VPN) y ver donde se encuentra el fallo, pero vamos, que esto es pa los que os pilleis como yo.

      Un saludete

      • Cerrado

        BocaDePez BocaDePez
        6

        Para usar GRE, aunque sea un tipo de protocolo IP, hay que…

        Para usar GRE, aunque sea un tipo de protocolo IP, hay que tener abierto y redireccionado al pc concreto el puerto 1723 tcp. haz la prueba quitando la dmz y abriendo este puerto.

        • Cerrado

          Ya probé a abrir el puerto 1723 TCP, y probé de las 2 formas:…

          Ya probé a abrir el puerto 1723 TCP, y probé de las 2 formas: abriéndolo "a mano", y abriéndolo con la lista de servicios que ya trae el comtrend (PPTP). No funcionó en ninguno de los dos casos. Eso sí, tenía la IP de mi portátil en la DMZ, pero no veo cómo eso podría influir negativamente... al revés, supongo que debería influir positivamente porque se supone que la dmz permite el paso de todo, incluido el puerto 1723... ¿Realmente podría estar ahí el problema? Es que hasta el fin de semana no podré probarlo. Gracias por la ayuda.

          • Cerrado

            BocaDePez BocaDePez
            6
            No. Si usas DMZ no abras puertos. Hacia el DMZ se redirigen…

            No. Si usas DMZ no abras puertos. Hacia el DMZ se redirigen precisamente todos los puertos que no están abiertos en otra parte.

      • Cerrado

        Pues yo ya había probado a desmilitarizar mi portátil, pero…

        Pues yo ya había probado a desmilitarizar mi portátil, pero no me había funcionado... :( De las cosas que se han mencionado (abrir puertos "a mano", abrirlos de la lista desplegable, desmilitarizar la IP del ordenador) ya las he probado todas y sigo sin conectar. A ver si con el ethereal ese consigo algo, aunque digo yo: si el router me bloquea el tráfico, ¿cómo va a decirme el ethereal los puertos/protocolos que están bloqueados?

      • Cerrado

        GRE es un protocolo de IP al igual que lo es TCP, UDP, RIP,…

        GRE es un protocolo de IP al igual que lo es TCP, UDP, RIP, OSPF, AH, ESP, ...

        Y efectivamente, al no ir sobre TCP ni UDP el NAT sobrecargado no es trivial. Sin embargo hay routers que llevan un ALG (Aplication Layer Gateway) incorporado para algunos protocolos VPN como PPTP de manera que pueden realizar ese NAT.

        Yo desde luego creia que el Comtrend lo llevaba pero parece ser que no. Sin embargo los 3Com sí lo suelen llevar.

        Ademas esto no le sucede solamente al PPTP. Otros como L2TP/IPsec también adolecen de este problema, al ir los paquetes encapsulados en ESP.

        La solución que has encontrado desde luego es la mejor posible dentro de lo que te permite el Comtrend.

        Saludos!!

        • Cerrado

          Gracias por tu aportacion, desconocia el detalle del ALG para…

          Gracias por tu aportacion, desconocia el detalle del ALG para conexiones PPTP.
          Como tu dices, me temo que este router no lo soporta...

          Y nada más...

          (perdón por mi reivindicación, me emocioné...)

          Hala, un saludete, hente.

          ;-)

          • Cerrado

            Pues siento decirte que acabo de probar la conexion PPTP con…

            Pues siento decirte que acabo de probar la conexion PPTP con mi curro y si que me funciona. Y no he añadido nada en el NAT del Comtrend, etc.

            El servidor es un Windows 2000 Server creo. Para asegurarme tambien he hecho trazas con el Ethereal y he comprobado como hay paquetes TCP al puerto 1723 y paquetes GRE encapsulando PPP (como debe ser).

            La verdad que no sé qué carajo debe estar pasándote ¿El servidor de tu curro tambien es un Windows o es otra cosa (appliance, Linux con PoPToP, ...)?

            Quizá los tiros vayan por ahi.

            Saludos!!

        • Cerrado

          6

          Lo lleva, seleccionando de la lista de virtual servers, en…

          Lo lleva, seleccionando de la lista de virtual servers, en lugar de especificar puertos. Pero parece que no le funciona a todo el mundo o con todas las distintas configuraciones..

          • Cerrado

            Una cosa, Luke, ¿Cómo configurarías tu entonces esto en el…

            Una cosa, Luke, ¿Cómo configurarías tu entonces esto en el menu de virtual servers?

            Si pruebo a seleccionar un servicio del desplegable, no me va... (te lo aseguro); además, no aparece nada tipo GRE, ni cosa parecida.

            Si selecciono Custom Server, tengo q poner la IP del portatil en esa casilla, y en la que está debajo, pero me sigue pidiendo puertos internos y externos, que es lo q no quiero seleccionar, pq GRE no se corresponde con ningun puerto.

            Además, eso ya lo probé, de 1000 y 1 maneras, y a mi en concreto, o no me va, o no he sabido cómo hacerlo...

            ¿Cómo lo harias tu?

            Y grasias de nuevo.

            Strel

            • Cerrado

              6
              según he leido (no lo he probado personalmente), si en…

              según he leido (no lo he probado personalmente), si en virtual servers seleccionas de la lista el elemento "PPTP", y pones la IP privada del portátil sin tocar nada más, esto activa el protocolo 47 y debería funcionar. No sé si te funcionará a ti, .. si no has probado eso, prueba a ver

              • Cerrado

                Gracias por la informacion, pero creo que ya lo probé y no me…

                Gracias por la informacion, pero creo que ya lo probé y no me funcionó... De todas formas, probé tantísimas cosas, q ya no se que toké y que no toké...

                Si descubro más cosillas sobre el tema, os informaré.

                Un saludo y gracias a todos.

                PD: Ari, ¿donde está ese magnifico manual del jefe del que hablas? Seria wena idea regalarselo para el día del padre, o del amigo invisible, o por navidad, o simplemente para tener un detalle...

                Desde luego, lo que le doy al tarro cuando ya he llegado del trabajo y no tengo a quien impresionar...

                :-P

                Hala, me voy a cenar, q ya va siendo hora.

                Strel

                • Cerrado

                  [Editado 7/03/06 21:42]

                  6
                  Pues ese manual del jefe se lo enseñan los buenos jefes a los…

                  Pues ese manual del jefe se lo enseñan los buenos jefes a los que van a sustituirlos, para que siempre haya un jefe bueno ( y a veces un poco tonto ) en su empresa y las cosas funcionen siempre bien.

                  Digamos que es de transmisión de persona a persona pero no tengo inconveniente de pasarlo a soporte papel para tu jefe..aunque puede ser que le de un yu-yu cuando lo lea: también dice que "no comeras ni descansaras hasta que todos tus empleados estén en casa comiendo y descansando " :-D :D

      • Cerrado

        6

        Me alegro que funcione, pero no es 100% óptimo en dmz :P (en…

        Me alegro que funcione, pero no es 100% óptimo en dmz :P (en lo que a seguridad se refiere) pero bueno, si no hay otra solución mejor, qué se le va a hacer..

        • Cerrado

          Jelou... Ya se que no es lo más seguro, gracias por la…

          Jelou...

          Ya se que no es lo más seguro, gracias por la aportación, pero no he sido capaz de hacerlo de otra manera...

          De todas formas, tampoco creo que me conecte demasiado a la ofi, bastante me explotan ya, para encima andar trabajando en mis horas libres... no crees? :-P

          Asi q si no es seguro, q se jodan, y que no me tengan currando los fines de semana...

          35 horas de curro a la semana!!! Ojala, y no 60 q es lo q me hacen currar!!!

          Plis, q lo lea el jefe!!!

          Y q todos los jefes q lo lean, q se hagan cargo...

          Quien está conmigo?

          A reivindicar!!!

          Por el currante oprimido!!!

          :-P

          Saludos a todos los de foro!!! Y grasias por estar aqui!!!

          • Cerrado

            6
            Hay un manual extraoficial del jefe que dice , entre otras…

            Hay un manual extraoficial del jefe que dice , entre otras cosas, que" un buen jefe será el primero en levantarse y el último en acostarse "
            Cuando quieras, te paso el manual y se lo enseñas :-)

            Saludos ;-)

    • Cerrado

      Bienvenido al club de los problemas con las vpn y el comtrend…

      Bienvenido al club de los problemas con las vpn y el comtrend 536... Yo he probado mil cosas y ya no sé qué hacer. La vpn con el curro sigue sin funcionar. Por si a ti te sirve, te dejo un link donde "supuestamente" dicen la manera de solucionarlo (lo pongo entre comillas porque yo he hecho lo que dicen y nada de nada). Suerte, y si lo solucionas ya nos dirás cómo lo has conseguido!!! :D

      Solución VPN y Comtrend 536

    • Cerrado

      6

      Yo estoy usando ahora mismo la vpn de la ofi y me va bien. Es…

      Yo estoy usando ahora mismo la vpn de la ofi y me va bien. Es el cliente vpn (ipsec) de watchguard.

      Prueba a activar el UPnP en advanced setup -> lan.