Conectar a un servidor conectado a un gateway desde una conexión que proviene de otra gateway

borborbor 30 octubre 2015 00:50

⋮

DESCRIPCIÓN DE LA RED

RED 1 (CASA 1)

La red tiene dos routers (192.168.1.1 y 192.168.1.2) el .1 es una salida a internet a traves de fibra opica y el gateway .2 a una red guifi (guifi.net). En esta misma red tengo un servidor openvpn i ftp. Los aparatos de la casa se conectan a través de una wifi sin ningun problema.

RED 2 (CASA 2)

Esta red también tiene 2 gateways (192.168.1.1 y 192.168.1.2) uno sale a internet a por LTE y e .2 conecta a guifi). Los aparatos de la casa se conectan a través de una wifi sin ningun problema.

PROBLEMA

Fisicamente desde RED 1 puedo acceder indistintamente a cualquier aparato de la red pero desde RED 2 (ruteando puertos con NAT) solo puedo acceder a los aparatos que tienen especificado el gateway .2

EJEMPLO PRÁCTICO

Desde RED 1 puedo acceder siempre al servidor (192.168.1.55) pero si lo tengo configurado con el gateway 192.168.1.1 solo puedo acceder a él desde internet pero no desde la RED 2 a traves de guifi. Si por el contrario lo configuro con el gateway 192.168.1.2 pierdo la conectividad a través de internet para ganarla por la red guifi.

PREGUNTAS / DUDAS

¿Como lo puedo hacer para que el servidor sea visible desde ambos accesos?

¿Puedo conectar desde RED2 a RED1 a traves de una puerta de enlace y que el servidor openVPN me de internet por la otra?

DETALLES

RED 1:

Router 1 (con salida a fibra optica) 192.168.1.1 es un comtrend de estos de fibra de movistar) tambien sirve wifi a los aparatos de la casa

Router 2 (con salida a guifi) 192.168.1.2 es una ubiquiti nanostation loco M5

Servidor ftp y openVPN es un NAS synology D112 o algo así

RED 2:

Router 1 (con salida a internet por 4G) 192.168.1.1 es un huawei B3000 que sirve vodafone

Router 2 (con salida a guifi) 192.168.1.2 es una ubiquiti nanostation loco M5

Quizas es irrelevante pero el wifi de la casa lo sirve una AP ubiquiti uap

La interconexion entre una red y otra es correcta porque consigo conectar al servidor ftp (si lo coloco con el gateway 192.168.1.2).

Gracias!!!!

BocaDePez 30 octubre 2015 00:59

⋮

¿Qué tipo de conexión consigues con guifi.net? Me explico, ¿qué direcciones IP obtienes con las Nanostation? ¿solo privadas o públicas con NAT?

Ten en cuenta siempre el camino de vuelta de los paquetes de datos y por lo tanto de la tabla de rutas.

✖

borborbor 30 octubre 2015 09:39

⋮

Hago el enlace a través de guifi con una tercera red. Són IP privadas (10.140.98.206 uno y 10.139.212.164 el otro).

✖

BocaDePez 30 octubre 2015 14:11

⋮

Bien. No sé si las IPs que te proporciona guifi.net son fijas, sería lo adecuado en este entorno. ¿Realizas un túnel VPN entre ambas casas?

Aquí el problema es la duplicidad de rangos de direcciones y por consiguiente la tabla de rutas se vuelve loca.

Mi consejo es que cambies el espacio de direcciones de la RED 2 a otra subred privada, por ejemplo la 192.168.2.0/24 para que no coincidan las IPs de los 4 routers que están haciendo NAT.

No creo ver problema de doble NAT como sugiere el usuario FOXTROT-ES más arriba. Si haces correctamente el túnel, llegarías a la otra red de forma transparente. El problema actual es que ahora habría choque de IPs coincidentes y los paquetes de vuelta no vuelven al sitio que deben.

¿Pruebas a cambiar la red 2 a 192.168.2.1, 192.168.2.2, etc... y nos cuentas qué visibilidad tienes? Ten en cuenta que en esa nueva configuración tendrías que crear rutas estáticas en cada uno de los gateways que apunten hacia la pasarela del túnel correspondiente.

✖

borborbor 30 octubre 2015 23:06

⋮

He cambiado el esquema de la red por el que detallo a continuación

Las ip que proporciona guifi.net són fijas efectivamente. El tunel VPN llega a establecerse si pongo en el servidor el gateway 192.168.2.2 pero no si esta con 192.168.2.1.

✖

BocaDePez 31 octubre 2015 02:12

⋮

✖

FOX-net 31 octubre 2015 11:04

⋮

✖

BocaDePez 1 noviembre 2015 02:39

⋮

✖

FOX-net 1 noviembre 2015 11:30

⋮

✖

BocaDePez 1 noviembre 2015 12:24

⋮

FOX-net 30 octubre 2015 08:06

⋮

Hola.

puede que te esté puteando una doble NAT. Algunos cablemodem/ont dan la opción de hacer un pass-through a una MAC en especifico (ponle la del router neutro en "cascada").

ahí anulas el NAT y que lo reparta el otro router en su rango.

otra opción es ponerlo de puente y que haga NAT el primero.

✖

borborbor 30 octubre 2015 09:36

⋮

¡Muchas gracias! Quito el NAT de ROUTER1 pero sigue sin conectar si cambio el gateway del servidor. Cuando tenga un momento miro lo del pass-through (que entiendo que no es lo mismo que el DMZ).

✖

BocaDePez 30 octubre 2015 09:58

⋮

En efecto, no tiene mucho que ver.

La NAT tiene que ver más con el DCHP, el Network Address Translation.

Si conectas dos routers en casaca, puede que hablan doble NAT y eso lía el tema de los puertos.

El ip passthrough permite a una MAC determinada del equipo, darle la IP pública sin gestionar para que la gestione el otro router, pero.

A) Que no se solapen luego direcciones, usa rangos diferenciados.

B) Lo más recomendable, pon en puente el otro router sin NAT, y que sea el primero el que gestione todo. Suele dar menos problemas.

La DMZ JAMÁS es una opción, es peligroso hacer una redirección de todos los puertos a un equipo, no te la recomiendo (desde mi punto de vista prefiero controlar que puertos abro y cuales no).

✖

borborbor 30 octubre 2015 23:10

⋮

he probado quitando el NAT de uno de los routers en cada red. Pero sigue sin funcinar. El ip passthrough no lo he encontrado en el router comtrend:pensive:

No puedo poner el router sin NAT en modo puente porque no es una conexión directa AP-AP i tengo que salir si o si con la IP que de guifi.

Apuntado lo del DMZ!

Gracias! ;)

(En un comentario mas abajo puedes ver el esquema, he cambiado los rangos como comentabais)

vukits 30 octubre 2015 21:06

⋮

Los ubiquity deberían ir en modo transparente ..

Sobre los routers ...

Pues...Para empezar, deja encendido solo el de fibra óptica ...

A ver si tidos los ordenadores se pueden ver y tienen salida a internet

Una vez que vaya bien, el servidor dhcp del router de fibra, que asigne ip's de 192.268.1.2 a 192.168.1.100 ..

Y al otro router , le pones lan ip 192.168.1.253, y desactiva su servidor dhcp.

Configura los ordenadores para cuando se caiga la conexión de fibra, usen el gateway 192.168.1.253 ..

Este es unejemplo.

Entodo caso, evita tener nat en tu red local

borborbor 31 octubre 2015 15:58

⋮

Cuando tenga un momento me pongo a poner en práctica todas las cosas que habeis dicho. Añado una cuestión:

del router1 al router 2 de la red1 tendria que ir un cable cruzado en vez de normal? o habiendo un switch (que es bastante viejo) seria suficiente para que se comuniquen los dos routers?

Gracias!!!!

✖

mceds 31 octubre 2015 22:44

⋮

Hace mucho tiempo, sí, tenía que ser cruzado para interconectar dos routers. Pero ya sería extraño que dos dispositivos modernos no tuvieran puertos Auto MDI-X, que "cruzan y descruzan" sus conexiones automáticamente según sea necesario. Y en aparatos gigabit, ni siquiera hace falta.

borborbor 2 noviembre 2015 20:52

⋮

Muchas gracias! ya estoy a punto de desistir. Me he centrado en la red de CASA 1 porque ahí es donde esta el problema (cuando pongo el servidor con gateway 192.168.22.1 lo veo desde CASA 2 i cuando esta en 192.168.2.1 no...)
Me he centrado en crer routas estaticas que envian 192.168.22.0/24 a 192.168.22.1 y en el router 2 (el que esta conectado a la red guifi) le he puesto una ruta estatica de 192.158.2.0 255.255.255.0 a 192.168.2.1.El nat en el router 1 activado para tener puertos abiertos y poder acceder desde internet y el nat tambien activado en el router 2 [mal anotado en el esquema] (que como que esta en otro rango no debe haber problema con el nat de router 1) para abrir puertos desde guifi.
Sin suerte. No funciona. Puede ser que afecten las vlan que crea la ONT de movistar (por decir algo)

✖

BocaDePez 2 noviembre 2015 22:49

⋮

¡Pero cómo va a funcionar si no tienen sentido las IPs que has puesto! Yo te aconsejé unas hace unos días y te has inventado otras.

Está claro que no entiendes los conceptos ni el porqué de tales rutas.

✖

borborbor 2 noviembre 2015 23:41

⋮

Si entendiese el porqué no hubiese preguntado en el foro.

Gracias por tu tiempo.

✖

BocaDePez 3 noviembre 2015 00:00

⋮

Bueno, vamos a intentar darle un sentido.

Una máscara de red implica definir un límite a la subred, en el cual se presupone que todos los equipos están directamente accesibles (bien por cable, bien por radio) sin depender de otros equipos. La máscara de red delimita el dominio de difusión y los protocolos que se propagan por difusión.

Todo equipo que funciona en TCP/IP necesita tener en memoria una tabla de rutas, que indica a qué equipo enviar los paquetes de datos para llegar a una red determinada. Cuando se necesita acceder a algo que está fuera de todas las subredes definidas en su tabla de rutas, los datos se entregan a otro equipo definido como "puerta de enlace predeterminada" (default gateway). Por ejemplo, cuando necesitamos salir a Internet.

Nos posicionamos en CASA 1. Ahora mismo tienes los equipos de CASA 1 corriendo en la subred 192.168.2.0 con máscara 255.255.255.0 y puerta de enlace predeterminada 192.168.2.1. ¿Qué significa todo eso? La máscara delimita el conjunto de IPs consideradas directamente alcanzables, a las IPs entre 192.168.2.1 y 192.168.2.254. Si algo está fuera de ese rango, se entrega a la 192.168.2.1 con la esperanza que dicha máquina sepa cómo encaminar los datos (para eso es un router) hacia el destino.

Sin embargo, la salida hacia CASA 2 está en una máquina a la que has puesto IP 192.168.22.1. Esa IP también está fuera del rango de tu subred, por lo que los datos se envían a la 192.168.2.1 con la esperanza que dicha máquina sepa qué hacer con ellos.

No sé muy bien cómo realizas el túnel entre ambas casas, pero sus extremos están en subredes diferentes. Eso ya de por sí no tiene sentido.

✖

BocaDePez 3 noviembre 2015 00:10

⋮

borborbor 3 noviembre 2015 00:21

⋮