BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Dar salida a una red local por medio de dos enlaces independientes

1
taholi

Hola a todos,

Expongo aqui mi problema, a ver si alguien ha conseguido relsolverlo y me puede dar alguna idea sobre el tema:

Ahora mismo tengo una red local, que se conecta a una VPN a Madrid, esta red es totalmente corporativa, las IP´s de los equipos que quiero que conecten a Madrid me las proporcionan de la central. No puedo tocar para nada este router (es un cisco 1700), los equipos tienen las ip proporcionadas y como puerta de enlace, dicho router.

Tengo otra sede con las mismas caracteristicas. Lo unico que cambian son los rangos de ip.

Ahora ante la ncecesidad de poder conectar las dos redes (por temas de facturacion), he creado otra VPN por medio de adsl, con dos routers cisco 1800.

Y mi gran problema ahora mismo es el siguiente: Si quiero que un equipo de una sede enganche por la VPN "privada" que he creado es necesario cambiar la puerta de enlace del equipo para que apunte al router cisco 1800. Y si quiero que el equipo acceda a Madrid, tengo que volver a cambiar nuevamente la puerta de enlace al router cisco 1700. Esto es un grave problema, porque no puedo permitir que los usuarios esten cambiando dichos parametros.

Hay alguna forma de solucionar dicho problema, teniendo en cuenta la limitacion de que no puedo tocar para nada los routers cisco 1700 que me enganchan a la corporacion?

Muchas gracias.

Saludos.

campi

Yo no soy precisamente un experto en redes.. se que la de mi casa va a 100 megas y poco mas xD pero bueno.. para lo que tu quieres hacer no bastaria con agregar rutas estaticas a los pc's ??

🗨️ 6
taholi

Rutas estaticas??

CAda PC solo tiene un tarjeta de red. Voy a buscar en google a ver que es eso de rutas estaticas. Gracias por responder

🗨️ 5
campi

si no estoy equivocado las rutas estaticas en los pc's sirven entre otras cosas para trabajar con distintas puertas de enlace.. para ir a la ip X quiero que vayas pro aqui, para ir a la ip Y quiero que vayas por allá...

🗨️ 4
taholi

ok, ok, ya he estado leyendo sobre el tema, pero segun lo que leo no me va a servir, ahora mismo estoy intentando agregar una ruta en el equipo que estoy y me da el error de que el argumento (puerta de enlace) no es valido, y me da que no puedo hacer lo que yo quiero porque los rangos de ip no coincidirian, por ejemplo:

Si quisiera que el trafico de la VPN "privada" fuera al router cisco 1800, dejaria en dicho equipo la puerta de enlace al cisco 1700 (201.1.1.1), y añadiria la ruta:

route add 199.10.45.0 255.255.255.0 201.1.1.2 (si intento ejecutar la linea tal que asi me da error como que la puerta de enlace no es valida)

La ip 199.10.45.0, seria la de la red destino a la que quiero alcanzar por medio de la VPN "privada", y la ip 201.1.1.2 seria la ip del router cisco 1800 que esta en la misma red que el equipo al que le intento añadir la ruta...

La verdad no veo como solucionar el rollo este...

🗨️ 3
campi
campi
BocaDePez
BocaDePez
🗨️ 1
taholi
taholi
JoeDalton

Lo que quieres hacer es muy sencillo.

Ponemos:

Sede A:

Router Internet: 201.1.1.1

Router VPN: 201.1.1.2

Sede B:

Router Internet: 200.1.1.1

Router VPN: 200.1.1.2

Lo que debes hacer es lo siguiente:

Teniendo en cuenta que tu solo gestionas el router de la VPN, lo usaremos como default gateway y será donde agreguemos las rutas estáticas.

Sede A: configura como default gateway de los PCs 201.1.1.2

Sede B: configura como default gateway de los PCs 200.1.1.2

Router VPN A:

ip route 0.0.0.0 0.0.0.0 201.1.1.1

Router VPN B (en el caso de que allí tengas otro router para conectar a internet de forma independiente):

ip route 0.0.0.0 0.0.0.0 200.1.1.1

con eso y con los equipos apuntando a tu router VPN como default gateway, será el router quien discrimine qué tráfico va para internet y qué tráfico va para la vpn en función del destino.

Saludos.

🗨️ 12
taholi

Como se diria en mi pueblo (o mejor, en mis islas..) YA COOOOÑOOOO!!!

Joer tio, aqui se ve la diferencia de la gente que controla y tiene experiencia, y la que no (como yo :P)

Creo que esta es la solucion y que funciona, mañana la pruebo, pero me queda cierta duda, en las sedes, realmente el "Router Internet" deberia de llamarse "Router VPN Corporativa", el acceso a internet lo deberia de dar la nueva VPN mediante el router que JoeDalton llama "Router VPN" (esta va por una adsl), y por lo que veo si añado la ruta estatica que comentas... todo el trafico que no sea el de la VPN se me va a ir por el "Router VPN Corporativa", se podria separar este otro trafico para que el de Internet se fuera por "router VPN"

Olvidandose de esto ultimo que te he dicho, para que funcionara como comentas en tu respuesta, harian falta dos rutas estaticas en cada sede, por ejemplo en el "Router VPN" de la sede A:

ip route 0.0.0.0 0.0.0.0 201.1.1.1

ip route 200.1.1.2 255.255.255.0 dialer 1 (que es la interfaz por la que sale el tunel a la VPN privada)

Estoy pillando el tema bien? O no haria falta otra ruta estatica y valdria con las ACL's

Mushisimas gracias por tu anterior respuesta

Saludos.

🗨️ 11
JoeDalton

Teniendo en cuenta que no conozco tu esquema de red, te he puesto un ejemplo similar.

Si lo que quieres es que todas las delegaciones salgan a internet por una sede central, vas a necesitar meter mano al router de internet que tienes (ese que comentabas que no tenías gestión) te explico

Sede Principal (o sede A), lo que hemos comentado antes, el default gateway tendría que ser el 201.1.1.2 y a su vez en ese router deberías de configurar la siguiente ruta.

ip route 0.0.0.0 0.0.0.0 201.1.1.1

Sede delegacion (o sede B), tendrás que configurar la siguiente ruta estática ara que todo el tráfico con destino a internet salga por donde debe.

ip route 0.0.0.0 0.0.0.0 201.1.1.1 > ojo, también podrías usar el router 201.1.1.2, habría un salto más y este lo enviaría a Internet.

Ahora viene tu problema, que es el router que no tienes gestión, que deberás de agregar las rutas de vuelta para que sea capaz de llegar el tráfico hasta las delegaciones.

ip route 200.1.1.0 255.255.255.0 201.1.1.1

ip route 200.1.1.2 255.255.255.0 dialer 1 (que es la interfaz por la que sale el tunel a la VPN privada) > Respecto a esto, esa línea te sobra ya que la gestionas con el access list.

Saludos.

🗨️ 10
taholi

Hola de nuevo, vamos a ver que me hice la picha un lio esta mañana y me pase todo el dia hasta ahora con este tema y no lo resolvi :(, ahora mismo he tenido que dejar la puerta de enlace en los equipos al router de madrid, y las rutas estaticas en los routers apuntando a atm 0.1, si apuntaba al otro router, la vpn no funcionaba.

Voy a poner aqui las configuraciones que tengo en los routers a ver si alguno de ustedes puede echarle un vistazo y poder resolver el tema:

Este es el router A (solo he cambiado las ips publicas):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RAFON-DVS
!
boot-start-marker
boot-end-marker
!
no logging console
enable password rDoVoSt2008
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
!
!
no ip domain lookup
ip name-server 80.58.32.97
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 1
authentication pre-share
lifetime 28800
crypto isakmp key VPNRAFON2008 address x.170.104.238
!
!
crypto ipsec transform-set VPNSET esp-des esp-sha-hmac
!
crypto map VPNMAP 1 ipsec-isakmp
set peer x.170.104.238
set transform-set VPNSET
match address 110
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address x.2.239.102 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/32
encapsulation aal5snap
!
crypto map VPNMAP
!
interface Vlan1
ip address 10.218.199.221 255.255.255.224
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface ATM0.1 overload
!
access-list 100 deny ip 10.218.199.192 0.0.0.31 172.18.157.192 0.0.0.31
access-list 100 permit ip 10.218.199.192 0.0.0.31 any
access-list 110 permit ip 10.218.199.192 0.0.0.31 172.18.157.192 0.0.0.31

Este es el router B (solo he cambiado las ips publicas):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RAFON-LCM
!
boot-start-marker
boot-end-marker
!
no logging console
enable password rLoCoMt2008
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
!
!
no ip domain lookup
ip name-server 80.58.32.97
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
crypto isakmp policy 1
authentication pre-share
lifetime 28800
crypto isakmp key VPNRAFON2008 address x.2.239.102
!
!
crypto ipsec transform-set VPNSET esp-des esp-sha-hmac
!
crypto map VPNMAP 1 ipsec-isakmp
set peer x.2.239.102
set transform-set VPNSET
match address 110
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address x.170.104.238 255.255.255.192
ip nat outside
ip virtual-reassembly
pvc 8/32
encapsulation aal5snap
!
crypto map VPNMAP
!
interface Vlan1
ip address 172.18.157.221 255.255.255.224
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface ATM0.1 overload
!
access-list 100 deny ip 172.18.157.192 0.0.0.31 10.218.199.192 0.0.0.31
access-list 100 permit ip 172.18.157.192 0.0.0.31 any
access-list 110 permit ip 172.18.157.192 0.0.0.31 10.218.199.192 0.0.0.31
!
!
!
!
!
!
control-plane
!
!
line con 0
password rLoCoMt2008
login
line aux 0
line vty 0 4
password rLoCoMt2008
login
!
end

Con estas configuraciones las VPN funcionan perfectamente, pero claro, los equipos de las redes locales no acceder a la VPN por que sus puertas de enlace apuntan al otro router:

En la sede A: IP router VPN Madrid: 10.218.199.222

En la sede B: IP router VPN Madrid: 172.18.157.222

Entonces, cogi y para comprobar que la VPN funcionaba, cambie las ip`s de las puertas de enlace de los equipos y estos accedieron a la VPN correctamente.... PEro no pueden acceder a la aplicacion por la que se conectan por medio de los router VPN a Madrid.

Siguiendo las respuestas y creyendo que yo lo tenia claro, me dispuse a cambiar las rutas estaticas de los routers para que en vez de apuntar a la atm 0.1, fueran a las ip de los otros routers que conectan a madrid, quedando unicamente las siguientes rutas en cada router

En la sede A: IP router VPN Privada: ip route 0.0.0.0 0.0.0.0 10.218.199.221

En la sede B: IP router VPN Privada: ip route 0.0.0.0 0.0.0.0 172.18.157.221

Y aqui deje de pillar todo lo que creia haber entendido acerca del tema, alguien me puede decir que hago mal?

Saludos.

🗨️ 9
JoeDalton
JoeDalton
JoeDalton
JoeDalton
🗨️ 7
taholi
taholi
🗨️ 6
JoeDalton
JoeDalton
🗨️ 5
taholi
taholi
🗨️ 4
JoeDalton
JoeDalton
🗨️ 3
taholi
taholi
🗨️ 2
JoeDalton
JoeDalton
🗨️ 1
taholi
taholi
imakoki

A ver si me aclaro... que no se si soy yo o es que son muchas cosas de golpe xD A ver..... si pones tu router (el 1801) como gateway y configuras un route-map quizás puedas hacerlo. Entiendo que hay en cada delegacion un 1700 para la VPN de madrid, y luego un 1801 en cada una para la VPN entre ellas. Para hacer un ejemplo mas general voy a poner ips simuladas y (al margen de la vpn entre ambos 1801) voy simplemente poner un ejemplo de la configuración de una de las sedes...

por ejemplo. 192.168.1.0 mascara 255.255.255.0 para la sede. Imaginemos que las VPN, las direcciones privadas de red fuesen 192.168.2.0, para madrid y 192.168.3.0 para la otra sede, con mascara 255.255.255.0. Pones tu 1801 como gateway de tu LAN y en configuras esto:

ip access-list extended acl-Trafico_RouterCorporativo
permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny any any

luego configuras el route-map, suponiendo que el router del la VPN de madrid tiene 192.168.1.10 pues...

route-map Trafico_RouterCorporativo 10
permit match ip address acl-Trafico_RouterCorporativo
set ip next-hop 192.168.1.10

Luego solo queda aplicarlo en la interfaz lan del 1801. Doy por sentado que fuese la interfaz Vlan1

interface Vlan 1
ip policy route-map Trafico_RouterCorporativo

El problema con lo configurado hasta ahora sería que la navegación saldria por el 1801 y eso creo que no interesa.... entonces para que no sea asi, la acl acl-Trafico_RouterCorporativo en lugar de como estaba la configuramos así, suponiendo que la otra delegación tubiese el rango de red:

192.168.3.0 con mascara 255.255.255.0

ip access-list extended acl-Trafico_RouterCorporativo
deny 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit any any

con este último cambio le decimos al 1801 que cuando le llege entre tráfico por la Vlan 1 y no sea para la delegación contraria lo tire por el 1700. Fijate que no hace falta poner rutas con rangos públicos y los routers simplemtente deben tener cada uno sus rutas por defecto a los gateway de su conexión, o al interface.

No se si he entendido bien lo que querías que al final leyendo posts y post tengo un merder xD Te paso también un pdf de cisco al respecto:

(link roto)

y bueno, los route map tienen mucho juego. Afinando las ACL te pueden servir incluso para, si tuvieses 2 routers en cada extremo, entre 2 sedes, para hacer que cierto tráfico, por ejemplo web, o a ciertos equipos, se fuese por un sitio y a otros por otro, simplemente jugando con los puertos por ejemplo. Espero que sirva ;)

Saludos ;)
imakoki

🗨️ 3
imakoki

Por cierto... con esta forma de hacerlo el route-map no te afecta cuando haces un telnet al puerto 23 de la ip publica del 1801, a menos que estés tirando el puerto 23 de la publica al puerto 23 de la ip de lan del propio router, que a veces, según el montaje puede hacer falta. De todas formas por la configuración de mas arriba no es el caso.

Saludos ;)
imakoki

JoeDalton

(edito) no me había dado cuenta que venía del otro hilo. ;)

un placer verte por aquí.

Saludos.

🗨️ 1
imakoki

Igualmente, a ver si le sirve ;)

Si, he preferido responderle en este y avisarle en el otro porque aunque la solución era originada por el tema del telnet la configuración venia de este, como el mismo ponía en su otro post.... por dios que lio xD

Saludos ;)
imakoki

BocaDePez

Desde windows xp, la tarjeta de red puede tener dos ip....

configuralas para que sean dos rangos distintos

192.168.1.x 255.255.255.0 gateway 192.168.1.1 que es el de una vpn

192.168.2.x 255.255.255.0 gateway 192.168.2.1 que es el otro cisco.

Muy sencillo

PD: tambien los gateway tienen que ser 255.255.255.0