Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
54 lecturas y 18 respuestas
  • Cerrado

    Configuracion VPN 3Com812

    Después de haber indagado sobre el tema por varios foros, he intentado configurar una VPN que por cierto no me funciona con los siguientes datos, os agradecería me indicaseis que me falta ó que tengo mal.
    1ª Red: Router 3Com 812 v2.15, configurada en multipuesto, estática, red 172.26.0.10 a 172.26.0.19, pta. enlace 172.26.0.1, ordenadores bajo xp home y enrutamientos dinámicos, en configuración tunel enrutado a IP pública de la 2ª red.
    2ª Red: Router 3Com 812 v2.15, configurada en multipuesto, dinámica, red 172.26.0.20 a 172.26.0.29, pta. enlace 172.26.0.2, ordenadores baja xp home y enrutamientos dinámicos, en configuración tunel enrutado a IP pública de la 1ª red.
    Os agradezco de antemano vuestra colaboracion.
    Saludos a todos.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 15/07/04 23:00]

      a ver... si pretendes que el router enrute por vpn los…

      a ver...
      si pretendes que el router enrute por vpn los tráficos lo tienes complicao, más que nada, porque tu desde la red 2 para buscar una máquina de la red uno por ip... a donde va a ir a buscar?? pues... a su segmento de red, con lo que para eso necesitas tener 2 rangos de ips diferentes, a nivel lan, por ej: para la red 1: 192.168.0.0/24 y para la red 2: 192.168.1.0/24
      luego, tienes que tener en un extremo, un servidor de vpn, como bien dices tienes que redireccionar los puertos pptp y gre para que el trafico llegue al servidor de vpns, y luego tienes que configurar el tunel en el router, ahí ya te digo, utiliza un router que sea US, porque sino, te puede levantar el tunel, pero no encripta, es decir, levanta la red y conecta, pero es un tunel que no va cifrado.

      Saludos.

      P.D. como no has puesto mascaras, doy por supuesto que estás usando un C, o una B, no creo que uses otro tipo de máscara para segmentar, porque la red dos no veería la puerta de enlace y la primera ip del rango sería un valor más elevado al que tiene la puerta de enlace. Pero vamos, tu principal problema que es ese deberías de solucionarlo por ahí, si utilizas clientes de vpn para conectar no es necesario.

      • Cerrado

        [Editado 15/07/04 23:48]

        No estoy muy metido en el tema, lo poco que se es lo que he…

        No estoy muy metido en el tema, lo poco que se es lo que he ido leyendo por los foros, pero te resumo poco más ó menos lo que creo que he entendido:
        Lan 1: Pta. enlace 172.26.0.1, rango IP 172.26.0.10 a 172.26.0.19, máscaras tipo c.
        Lan 2: Pta. enlace 172.26.1.1, rango IP 172.26.1.10 a 172.26.1.19, máscaras tipo c.
        Todos los ordenadores (de las dos redes) funcionan bajo W-XP-Home, con direcciones automáticas (para que las asignen los routers).
        Puertos 47 y 1723 direccionados por ejemplo a las IP 172.26.0.2 (1ª Lan) y 172.26.1.2 (2ª Lan) (estas direcciones las tomarán aleatoriamente según orden de conexión de los ordenadores ó ¿hay que poner las direcciones de los ordenadores con IP fijas?).
        Tunnel Profiles dirigidos a las IP públicas del router contrario ¿ó a las puertas de enlace contrarias?.
        ¿Me dejo algó, ó he puesto algo de mi cosecha?
        Saludos.

        • Cerrado

          si, la parte de los rangos estaría correcta, pero te sigue…

          si, la parte de los rangos estaría correcta, pero te sigue faltando algo.

          en lo que tú dices de poner por ej: a la 172.26.0.2 una máquina, necesitaría una máquina que sea servidor vpn con pptp, pero ojo, si lo que quieres es q en el otro extremo las máquinas puedan ser vistas desde el extremo principal, necesitas que ese servidor de vpn sea la puerta de enlace de las máquinas de esa lan.

          Me explico, tu necesitas solo un servidor de vpns, no dos, si montas 2, creas dos túneles, y creas un exceso de tráfico, ya que cada tunel consume trafico.

          si lo que quieres es unir las dos, yo haría lo siguiente:
          a cada extremo un router con los 2 segmentos de red.
          en uno de los extremos, pondría un servidor de vpns con 2 tarjetas de red, una que tuviera la ip pública y en la otra la segmentación privada, le habilitas la posibilidad de tuneles pptp en la ip publica en en la pata privada que haga nat.

          De todas formas te adelanto que vas a necesitar una máquina que te enrute tráfico para ambas lanes, como el 812 no puede hacer de servidor de vpn, vas a necesitar un windows 2000, o 2003, con el xp home no lo he probado nunca, pero tengo mis dudas, tendrías que probar a habilitar el enrutamiento remoto.

          • Cerrado

            Gracias por tus indicaciones, seguiré haciendo pruebas hasta…

            Gracias por tus indicaciones, seguiré haciendo pruebas hasta que lo deje por imposible, realmente lo que yo quiero es que las 2 redes se puedan ver entre sí, pero, claro, debido a mis pocos conocimientos y tiempo en dedicar a este tema, me guio por todo lo que he leido.
            Tus últimas indicaciones me han caido como un jarro de agua hirviendo.
            Gracias

            • Cerrado

              Verás... como tal para unir las 2 redes necesitas un solo…

              Verás... como tal para unir las 2 redes necesitas un solo punto de unión, que ese es tu servidor de vpns, me explico, esto es lo que te va a enlazar las 2 redes y va a hacer que haya comunicaciones entre las 2.

              Partes de que tienes 2 routers, pero ninguno de los 2 soporta ser servidor de vpns, sino clientes, con lo que necesitas una máquina que haga de servidor, ahí te vale un xp, o un 2000 server o de ahí en adelante, también puedes usar un linux, con el pptp (por poner un ej. ten en cuenta que los 812 no soportan ipsec para los túneles).

              Con esto, lo que tienes que hacer es tener un pc que haga de router, en una de las 2 redes, por qué?? porque necesita dar servicio a todas las máquinas, tanto las de la lan, como las que van a conectarse a través del 812, este pc, tiene que ser la puerta de enlace del resto de las máquinas de esa lan (ten en cuenta que si se conecta el otro router por vpn, una maquina de la lan donde está el servidor, no va a saber llegar a una máquina remota, porque no va a saber devolver el tráfico que a ella le llega por ese pc (router).

              Si no te quieres complicar mucho la vida, usa los 2 routers, uno de ellos que haga nat, y el otro que haga routing, el que haga routing, que tenga detrás una máquina con un w2000 server (por ej), le habilitas el routing and remote access, y lo configuras para que en la tarjeta de red wan (la que coge la ip pública) reciba las conexiones de vpn, y que el resto del tráfico lo filtre (sino estaría expuesta a ataques, virus tipo blaster y sucedaneos), y en la otra tarjeta de red (la interna) que haga nat para las máquinas, los pcs tendran que tener configurada la ip de puerta de enlace que será la del servidor (ahora mismo es como si fuera un router).
              En el otro extremo tendrás una lan normal y corriente, con un router y los equipos, que ahí tendrás que configurar el router, con el cliente pptp que apunte a la ip del otro extremo con el usuario y la contraseña y demás.
              Bien pues nos queda:
              Lan 1: Router 3com en monopuesto) Servidor de vpns, 1 t.red 80.xx.xx.xx (ip publica, filtrando todo el tráfico que no sea pptp, para esto puedes usar las reglas de filtrado ipsec, menos para los puertos pptp y gre) y otra t. red con la lan privada haciendo nat: 192.168.0.1 (por ej). los equipos tendrán ips del rango y como puerta de enlace la 192.168.0.1
              Lan 2: Router 3com en multipuesto, con ip 192.168.1.1, es decir, haciendo nat, y con las máquinas, una lan normal y corriente, solo que el router tiene configurado el cliente vpn apuntando a la 80.xx.xx.xx con un usuario válido en el servidor y con posibilidad de acceso remoto.

              Cuando tu hagas una traza desde 192.168.1.5 a por ej 192.168.0.5, lo que te saldrán será 2 saltos: 192.168.1.5 (tu router) y luego a continuación el host 192.168.0.5. Con esto quiero decir, que el tráfico tiene una ida y una vuelta por el mismo camino, sería posible hacer que vuelva por otro camino pero no quiero complicarlo, vamos, que la forma más sencilla de que montes una vpn y se vean todos los equipos sería esa, también comentar que el router de la red 1, no tiene por qué recibir la ip pública, pero si te recomiendo que sea la puerta de enlace de las otras máquinas y que las enrute hacia internet, incluso puedes poner el servidor detras del router haciendo nat, y mediante una ruta estática salgan las otras máquinas, sin que el servidor haga nat a la otra red. Vamos que hay diversas formas, pero lo del equipo que haga de servidor de vpn lo necesitas de igual forma.

              Saludos.

              • Cerrado

                [Editado 19/07/04 22:41]

                Bueno, ya falta menos, he conseguido en estos mismos momentos…

                Bueno, ya falta menos, he conseguido en estos mismos momentos que la vpn funcione "a medias".
                Me explico, una vez enlazada, NO VEO los recursos, pero puedo hacer PING y me contestan todos los equipos, así como, en busqueda de equipos me aparecen todos los ordenadores y las impresoras (en estos momentos estoy haciendo el enlace desde casa a la oficina), y puedo entrar a todos ellos (no he probado al contrario).
                En estos momentos la configuración es la siguiente:
                Oficina: LAN 1: Pta. enlace router 172.26.1.1, DHCP activado y rango IP 172.26.1.10/20, ordenador Servidor IP Fija 172.26.1.10, máscaras tipo C, el resto de ordenadores IP asignada por DHCP; en el router 3Com 812, abiertos los puertos 47 y 1723 apuntando a la IP del Servidor.
                Casa; LAN2: Pta. enlace router 172.26.0.2, DHCP activado y rango IP 172.26.0.20/30, todos los ordenadores IP asignada por DHCP.
                Todos los ordenadores de las dos redes funcionan bajo W-XP-Home.
                Desde uno de los ordenadores de casa he creado una conexión avanzada vpn apuntando a la IP Pública (la asignada por TERRA), habiendo creado previamente los usuarios en el ordenador Servidor con sus contraseñas, y en estos momentos estoy conectado, pero como digo al principio, no puedo ver los recursos, tengo que buscarlos, y tengo que crear el enlace manualmente cada vez que quiero entrar en la oficina (me gustaria que fuese instantáneo, siempre que estuviesen los equipos funcionando, que funcionasen en conjunto como una sola red local y estuviese todo a la vista).
                ¿Alguna idea para mejorar y adaptar esto a lo que pretendo?
                Saludos a todo el foro.

                • Cerrado

                  Me alegro que la tengas conseguida casi, XD. El tema de no…

                  Me alegro que la tengas conseguida casi, XD.
                  El tema de no ver los equipos puede venir por un par de cuestiones:
                  O que no tengas metidos a todos los equipos en el mismo dominio o grupo de trabajo,

                  O necesites montar un servidor wins, el cual, resuelva las direcciones ip´s con nombres de hosts.

                  Yo lo tengo con servidor wins y me va de maravilla, también te digo que con el xp no se si puede montar, yo lo tengo con un win2000 server que hace de servidor de enrutamiento y de wins a la vez.

                  Saludos

                  • Cerrado

                    Todos los ordenadores son del mismo grupo de trabajo, de…

                    Todos los ordenadores son del mismo grupo de trabajo, de hecho, teniendo esto en cuenta, con el ordenador que realizo las pruebas es un portatil, que pongo en la oficina y en casa para verificar que no queda nada al azar a la hora de realizar las configuraciones, claves, usuarios, etc.
                    Saludos.

                    • Cerrado

                      [Editado 20/07/04 21:30]

                      no vas a poder ver los equipos en el grupo de trabajo de la…

                      no vas a poder ver los equipos en el grupo de trabajo de la red de la ofi, porque no vas a poder llegar a ellos como tales.
                      Si tu haces un ping a una de las máquinas de la otra red llegas?? o solo llegas al servidor. Te lo digo, porque tiene pinta de que esos equipos no sean capaces de devolver tráfico por vpn, dado a que no saben como llegar a la otra red (ten en cuenta que la puerta de enlace suya es el router, no el servidor).

                      de todas formas comprueba que en el servidor y en los clientes en la conexión por vpn está activada lo que es el cliente microsoft

                      • Cerrado

                        BocaDePez BocaDePez
                        6
                        Hola a todos. Estaba buscando informacion sobre esto mismo y…

                        Hola a todos. Estaba buscando informacion sobre esto mismo y me he topado con este post que casi clava lo que necesito hacer.

                        Mi caso es todavia mas sencillo. Se trata de que el propietario de una empresa se quiere conectar a la red de tres ordenadores de su oficina desde casa. En la oficina tienen un router 3Com 812 y despues de mucho leer por ahi he visto de todo. Hay gente que dice que es imposible a no ser que el equipo servidor VPN de la oficina tambien haga las funciones NAT de la red y otra gente que dice que deberia funcionar simplemente abriendo los puertos necesarios en el router y redirigiendolos a la maquina que esta haciendo de servidor VPN.

                        Me encantaria saber que pasa al final con tu caso y si consigues que funcione. Parece bastante logico eso de que los ordenadores de la oficina (excepto el server) no podrian contestar al externo por tener como puerta de enlace el router y no el servidor VPN no sabiendo asi como acceder a la IP del otro equipo.

                        Estare atento a este thread a ver que pasa.

                        Un saludo.

                        • Cerrado

                          BocaDePez BocaDePez
                          6
                          El lunes, es decir mañana, tengo k hacer funcionar una vpn en…

                          El lunes, es decir mañana, tengo k hacer funcionar una vpn en la empresa en la k trabajo... tengo algunos conocimientos pero lo justo...

                          La empresa posee una LAN con IP's privadas... Le he instalado una máquina servidor con Windows 2003 Server en el que he configurado la VPN y desde donde gestiono los usarios... Hasta ahí bien... Pero el tema router lo llevo fatal... Por lo que he leído, creo de tengo k abrir los puertos 47 y 1723 y direccionarlos hacia el server... Ahora, a riesgo de kedar como un ignorante... una vez en la interfície de configuración del Router 3Com 812 a la que accedo mediante un http, que pasos debo seguir para hacerlo? (para abrir los puertos y hacer que apunten al servidor...)

                          Os agradecería muxo k m exarais una mano...

                          Gracias de antemano... :-? :-?

                          • Cerrado

                            tienes un buscador en la parte superior de la pantalla.…

                            tienes un buscador en la parte superior de la pantalla.

                            tienes tb en el msg del moderador un link para redireccion de puertos y opciones de configuración varias para novatos.

                            y solo añadir, que yo no montaría unVPN con pptp.

                            Saludos.

                        • Cerrado

                          a ver... no necesariamente tiene por qué hacer nat el…

                          a ver... no necesariamente tiene por qué hacer nat el servidor vpn, pero si ha de ser el default gateway (aunque tampoco, pero solo para simplificarlo) de las otras máquinas, ya que sino, estos pcs no sabrán por dónde encaminar para llegar a la otra máquina.

                          Si te das cuenta, cuando conectas por vpn el servidor vpn te da una ip, que puede ser de otro rango (normalmente la estableces tú en la configuración), pero... el resto de máquinas saben llegar a esa ip?? si su default gateway es el router 3com... practicamente imposible ya que el 3com enrutaría esa ip hacia internet porque no conoce, se podría solucionar con una ruta estática en el router para que encamine el tráfico hacia el servidor vpn.

                          De todas formas, esto se puede hacer de varias formas, el caso es que con que una máquina te haga nat, te basta y te sobra, por ej: router haciendo nat, servidor vpn detrás, el servidor tiene otra tarjeta de red con otro direccionamiento distinto, la tarjeta hace routing y en el router pones una ruta estática de vuelta, los pcs tienen como gateway la ip del servidor vpn (por ej). Se me ocurren varias formas de cómo solucionarlo, pero todas ellas se basan en que el serv. vpn tiene que mandar el tráfico de vuelta de los otros pcs de la red para poder llegar del (y al) cliente vpn remoto.

                          Saludos.

                          P.D. Espero haber aclarado tu duda.

    • Cerrado

      BocaDePez BocaDePez
      6

      Que yo sepa el router 3com 812 solo es cliente vpn, del otro…

      Que yo sepa el router 3com 812 solo es cliente vpn, del otro lado necesitas unservidor vpn, hay inf por ahí de como utilizar win2000 como servidor vpn y en la red del servidor tienes que redirigir algunos puertos del router a la maquina que hace de servidor vpn, creo que era.....el 1723????

      • Cerrado

        También he leido por los foros que desde "remote sites" hay…

        También he leido por los foros que desde "remote sites" hay que abrir los puertos 47 y 1723 y apuntarlos a la maquína que quiera hacer de servidor, pero no consigo tampo que funcione, y posteriormente lei la aclaración que hago en el post anterior.

    • Cerrado

      [Editado 15/07/04 14:34]

      Hola, me puedes decir como utilizas rangos de ip#347; fijas…

      Hola, me puedes decir como utilizas rangos de ip#347; fijas en las dos redes y luego según comentas enrutamiento dinámico?

      Digo yo, que para realizar el túnel tienes que elegir enrutamiento dinámico o rangos de ip#347; fijas, no las dos a la vez.

      No se si me explico.

      Saludos.

      • Cerrado

        BocaDePez BocaDePez
        6

        Yo forme una VPN, tambien similar y mi problema radicaba en…

        Yo forme una VPN, tambien similar y mi problema radicaba en que el la parte del servidor no le asigne un rango de direcciones, sino que habia dejado como "obtener una direccion ip dinamica", por eso no funcionaba. Asi que solo le asigne un rango de Ip's y vuala, funciono.

        A ver si esto tambien es el caso.

      • Cerrado

        Posiblemente, no me haya explicado correctamente, los…

        Posiblemente, no me haya explicado correctamente, los ordenadores de las dos redes tienen las IP dinámicas para que segun conecten dentro de su red tengan una dirección dentro del margen establecido por su router correspondiente. En cuanto a las direcciónes públicas de los routers uno de ellos trabaja a través de Terra y su dirección es estática, mientras que el otro trabaja mediante Ya.com con dirección dinámica. Leí en un foro que en la opción de "Tunnel profiles" de los 3com debian apuntar uno al otro y viceversa para que se vieran los recursos de ambas redes y se uniesen entre ellos creando una red común, pero parece ser que esto no és así.
        Gracias por contestar.