Estoy intentando acceder a la red de la oficina a través de un cliente VPN y el Comtrend (CT-536+) no me deja, el muy malvado…
He hecho una captura de tráfico y he podido ver como la primera fase con PPTP se establece sin problemas, pero el protocolo GRE no pasa a través del router por la configuración de NAT.
GRE es un tipo de protocolo IP, no un puerto TCP/UDP y en el router sólo he encontrado la opción de puertos TCP/UDP.
¿Alguna idea?
Yo estoy usando ahora mismo la vpn de la ofi y me va bien. Es el cliente vpn (ipsec) de watchguard.
Prueba a activar el UPnP en advanced setup -> lan.
Bienvenido al club de los problemas con las vpn y el comtrend 536... Yo he probado mil cosas y ya no sé qué hacer. La vpn con el curro sigue sin funcionar. Por si a ti te sirve, te dejo un link donde "supuestamente" dicen la manera de solucionarlo (lo pongo entre comillas porque yo he hecho lo que dicen y nada de nada). Suerte, y si lo solucionas ya nos dirás cómo lo has conseguido!!! :D
Solución VPN y Comtrend 536
Al final lo consegui…
Os cuento…
Me olvido de todo lo que dicen por ahí del puerto UDP…
Me voy a la configuración del router (es obvio)
Me voy a: Advanced Setup →NAT →DMZ Host
Y donde pone DMZ Host IP Address: pongo la dirección del equipo con el que quiero establecer la VPN (en este caso mi portátil)
Y ya está…
Así es como lo aprendí yo.
TEORIA: La cuestión es que segun el cliente de VPN utilizado la conexión puede hacer uso de L2TP/IPSEC o PPTP.
En mi caso, es PPTP para la primera fase, y GRE para la segunda.
Y aclaro, GRE, ni es TCP, ni UDP, es, ejem, otra cosa…
Hala, gracias por haber contestado, y espero que sea de utilidad para el próximo que lo necesite…
PD: Sugiero instalar un analizador de tráfico tipo ETHEREAL (que es gratis) para hacer una captura (iniciar la captura y a continuación intentar arrancar el cliente VPN) y ver donde se encuentra el fallo, pero vamos, que esto es pa los que os pilleis como yo.
Un saludete
Me alegro que funcione, pero no es 100% óptimo en dmz :P (en lo que a seguridad se refiere) pero bueno, si no hay otra solución mejor, qué se le va a hacer..
Jelou...
Ya se que no es lo más seguro, gracias por la aportación, pero no he sido capaz de hacerlo de otra manera...
De todas formas, tampoco creo que me conecte demasiado a la ofi, bastante me explotan ya, para encima andar trabajando en mis horas libres... no crees? :-P
Asi q si no es seguro, q se jodan, y que no me tengan currando los fines de semana...
35 horas de curro a la semana!!! Ojala, y no 60 q es lo q me hacen currar!!!
Plis, q lo lea el jefe!!!
Y q todos los jefes q lo lean, q se hagan cargo...
Quien está conmigo?
A reivindicar!!!
Por el currante oprimido!!!
:-P
Saludos a todos los de foro!!! Y grasias por estar aqui!!!
Hay un manual extraoficial del jefe que dice , entre otras cosas, que" un buen jefe será el primero en levantarse y el último en acostarse "
Cuando quieras, te paso el manual y se lo enseñas :-)
Saludos ;-)
GRE es un protocolo de IP al igual que lo es TCP, UDP, RIP, OSPF, AH, ESP, ...
Y efectivamente, al no ir sobre TCP ni UDP el NAT sobrecargado no es trivial. Sin embargo hay routers que llevan un ALG (Aplication Layer Gateway) incorporado para algunos protocolos VPN como PPTP de manera que pueden realizar ese NAT.
Yo desde luego creia que el Comtrend lo llevaba pero parece ser que no. Sin embargo los 3Com sí lo suelen llevar.
Ademas esto no le sucede solamente al PPTP. Otros como L2TP/IPsec también adolecen de este problema, al ir los paquetes encapsulados en ESP.
La solución que has encontrado desde luego es la mejor posible dentro de lo que te permite el Comtrend.
Saludos!!
Lo lleva, seleccionando de la lista de virtual servers, en lugar de especificar puertos. Pero parece que no le funciona a todo el mundo o con todas las distintas configuraciones..
Una cosa, Luke, ¿Cómo configurarías tu entonces esto en el menu de virtual servers?
Si pruebo a seleccionar un servicio del desplegable, no me va... (te lo aseguro); además, no aparece nada tipo GRE, ni cosa parecida.
Si selecciono Custom Server, tengo q poner la IP del portatil en esa casilla, y en la que está debajo, pero me sigue pidiendo puertos internos y externos, que es lo q no quiero seleccionar, pq GRE no se corresponde con ningun puerto.
Además, eso ya lo probé, de 1000 y 1 maneras, y a mi en concreto, o no me va, o no he sabido cómo hacerlo...
¿Cómo lo harias tu?
Y grasias de nuevo.
Strel
Gracias por tu aportacion, desconocia el detalle del ALG para conexiones PPTP.
Como tu dices, me temo que este router no lo soporta...
Y nada más...
(perdón por mi reivindicación, me emocioné...)
Hala, un saludete, hente.
;-)
Pues siento decirte que acabo de probar la conexion PPTP con mi curro y si que me funciona. Y no he añadido nada en el NAT del Comtrend, etc.
El servidor es un Windows 2000 Server creo. Para asegurarme tambien he hecho trazas con el Ethereal y he comprobado como hay paquetes TCP al puerto 1723 y paquetes GRE encapsulando PPP (como debe ser).
La verdad que no sé qué carajo debe estar pasándote ¿El servidor de tu curro tambien es un Windows o es otra cosa (appliance, Linux con PoPToP, ...)?
Quizá los tiros vayan por ahi.
Saludos!!
Pues yo ya había probado a desmilitarizar mi portátil, pero no me había funcionado... :( De las cosas que se han mencionado (abrir puertos "a mano", abrirlos de la lista desplegable, desmilitarizar la IP del ordenador) ya las he probado todas y sigo sin conectar. A ver si con el ethereal ese consigo algo, aunque digo yo: si el router me bloquea el tráfico, ¿cómo va a decirme el ethereal los puertos/protocolos que están bloqueados?
Para usar GRE, aunque sea un tipo de protocolo IP, hay que tener abierto y redireccionado al pc concreto el puerto 1723 tcp. haz la prueba quitando la dmz y abriendo este puerto.
Ya probé a abrir el puerto 1723 TCP, y probé de las 2 formas: abriéndolo "a mano", y abriéndolo con la lista de servicios que ya trae el comtrend (PPTP). No funcionó en ninguno de los dos casos. Eso sí, tenía la IP de mi portátil en la DMZ, pero no veo cómo eso podría influir negativamente... al revés, supongo que debería influir positivamente porque se supone que la dmz permite el paso de todo, incluido el puerto 1723... ¿Realmente podría estar ahí el problema? Es que hasta el fin de semana no podré probarlo. Gracias por la ayuda.
No. Si usas DMZ no abras puertos. Hacia el DMZ se redirigen precisamente todos los puertos que no están abiertos en otra parte.
Olvídate del pptp, porque no hace más que dar por culo con el tema del GRE tanto a nivel particular con los routers/firewalls de juguete como a nivel profesional en PIX y similares.
Usa OpenVPN (http://www.openvpn.net) Con OpenVPN sólo necesitas un puerto (tcp ó udp) abierto a tu elección.
Saludos.
Apoyo lo dicho. Yo en mi curro tambien tuvimos que poner uno para poder traspasar los NAT y los firewall de la gente que se conectaba en remoto.
La unica jodienda es el tema de tener que generar certificados de usuario e instalarlos.
Saludos!!
Ya me gustaría poder olvidarme... :) Yo sólo soy un "p*to usuario", y no tengo acceso ni de lejos a los tíos que toman esas decisiones. Y los de soporte técnico no saben solucionarme el problema, me dicen que me conecte por modem normal, sin adsl, porque así funciona bien y es verdad que por modem me conecto sin problemas, pero es un rollo conectarse y desconectarse y no poder usar el adsl para acceder también al curro por culpa del maldito comtrend...
Pues no acabo de entender por qué no os funciona el PPTP porque a mi sí me funciona. Además, acabo de mirar el data sheet del CT-536+ y pone:
Application Passthrough:
PPTP, L2TP, IPSec, VoIP, Yahoo messenger, ICQ, RealPlayer, NetMeeting, MSN, X-box, etc
Eso sí, el data sheet es del modelo nuevo. Como último recurso podríais actualizar el firmware al que lleva este modelo a ver qué tal......
Saludos!!
