Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
64 lecturas y 22 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    Duda complicada VPN

    Hola,

    Tengo una duda (creo que complicada) de VPN.

    En la red del trabajo tienen un servidor VPN para poder acceder a la red desde fuera. Vamos a suponer:

    Red del trabajo: 60.1.0.0 / 16
    Servidor VPN del trabajo: 60.1.5.200

    Mi IP en casa: 80.30.5.6

    Evidentemente todos los datos son inventados.

    Desde Windows 98 consigo establecer un túnel de forma que si hago winipcfg veo que se crea un interfaz virtual PPP con:

    Dirección IP: 60.1.5.237
    Gateway: 60.1.5.237

    Tocando un poco con route consigo que los paquetes dirigidos a la red del trabajo (60.1...) vayan por el interfaz virtual PPP y el resto vayan por mi interfaz de red.

    Hasta aquí todo muy bien.

    El problema es que ahora quiero que todo esto lo haga el router 3com. Es decir, yo saco de mi PC todos los paquetes por mi interfaz de red (con mi IP 80.30.5.6) y el router, si van a la red de mi trabajo los manda por el túnel (tendrá que hacer NAT para cambiarles la dirección por 60.1.5.237) y si no los saca por el interfaz atm de toda la vida.

    ¿Es esto posible?

    ¿Cómo podría hacerlo?

    Muchas gracias

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Ya lo he hecho, y me reafirmo en lo de la ruta ;-). Cuando…

      Ya lo he hecho, y me reafirmo en lo de la ruta ;-). Cuando monto el túnel no da ningún mensaje, pero en cuanto hago un Ping observa:

      3Com-DSL>ping 216.0.0.1
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: CFG_ADD_DYNAMIC_IF_REQ message recvd
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Callline Allocated
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Sending CFG_ADD_DYNAMIC_IF_REQ
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: CFG_ADD_DYNAMIC_IF_RSP message recvd
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Got CFG_ADD_DYNAMIC_IF_RSP
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: drv_add_portal_req message recvd
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Recvd DRV_ADD_PORTAL_REQ
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: pptpci:Sending UpCall to PPP to change state to connected
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: tundisp_handoff_req message recvd msg recvd
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: dnsNameMsg->name = 60.1.5.200
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: DNS_RESOLVE_NAME_RSP message recvd
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Start control channel seek for call = 0 currentAddressIndex = 0 finalAddressIndAt 17:09:38, Facility "PPTP", Level "VERBOSE":: ex = 0
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Continue control channel seek, seek state = 0, currentAddressIndex = 0 finalAddAt 17:09:38, Facility "PPTP", Level "VERBOSE":: ressIndex = 0
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Seek found no current control control
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Seek allocating unused control channel = 0
      At 17:09:38, Facility "PPTP", Level "VERBOSE":: Starting control channel connection to 60.1.5.2
      At 17:09:39, Facility "PPTP", Level "VERBOSE":: tcp_open_rsp message recvd
      At 17:09:39, Facility "PPTP", Level "VERBOSE":: tcp_opened_req message recvd
      At 17:09:39, Facility "PPTP", Level "VERBOSE":: tcp session is setup 3
      At 17:09:39, Facility "PPTP", Level "VERBOSE":: Established control channel connection to 60.1.5.2
      At 17:09:39, Facility "PPTP", Level "VERBOSE":: Remote System Name Set to rpv
      At 17:10:39, Facility "PPTP", Level "VERBOSE":: external timer: expiretime = 79h/32h current time = 79h/32h
      At 17:10:39, Facility "PPTP", Level "VERBOSE":: Load is 0, Bytes 0

      La verdad es que no conozco el protocolo con que no sé exactamente qué es lo que hace, pero en ningún momento da un error.

      Dejo esto aquí por si alguien sabe sacar un log y podemos contrastarlo, aunque creo que va a ser un poco difícil.

      Por enésima vez muchas gracias Dalton.

      • Cerrado

        el log se queda ahí??? pq si parece que negocian, o esa es la…

        el log se queda ahí??? pq si parece que negocian, o esa es la sensación q tengo por lo que veo.

        Cuando conectas con el cliente de win, que encriptación te pone? si es que te dice algunos más datos de la conexión? Tb... has probado con alguna ip estatica en el router ?? (yo normalmente las he configurado así, tal vez por eso no he tenido nunca que usar ruta estatica como tú).

        Saludos.

        • Cerrado

          Si le doy a protocolos usados (lo poco que me quiere decir el…

          Si le doy a protocolos usados (lo poco que me quiere decir el cliente de Microsoft), me dice:

          TCP/IP
          Protocolo de autenticación de enlace de desafío de Microsoft
          Cifrado de Microsoft

          Demasiados cifrados, la verdad ;-)

          • Cerrado

            el cliente de win 98 le tengo un poco olvidado, la verdad...…

            el cliente de win 98 le tengo un poco olvidado, la verdad... pero el de win2000 y xp si que te dice la encriptación y no se que más datos y bla bla. Vamos, te da más información, por eso preguntaba.

            (yo tb estoy de acuerdo en que el problema va a ir por la encriptación).

            Sabías que servidor hay al otro extremo?

            • Cerrado

              [Editado 12/11/03 15:38]

              He estado hurgando con un cliente de windows XP y he…

              He estado hurgando con un cliente de windows XP y he conseguido conectarme SIN CIFRADO. Es decir, si le digo que no permita cifrado se conecta sin él y funciona perfectamente aunque también se puede conectar con él.

              Ahora mi siguiente duda es si es la autentificación, porque ahí sí que me he dado cuenta de que no le da igual: sólo permite autentificación por MSCHAPv1, no por v2 ni tampoco si se manda la contraseña en claro.

              ¿Sabes como funciona la autentificación en el 3com?

              Muchas gracias.

              PD: Otra cosa que no se me había ocurrido, a ver si el firmware que uso es el que debe ser:

              "3Com OfficeConnect Remote ADSL 812 V2.1.5, Built on Aug 23 2002 at 11:10"

    • Cerrado

      BocaDePez BocaDePez
      6

      ... pues el 3com no soporta PPTP que parece que es el…

      ... pues el 3com no soporta PPTP que parece que es el protocolo que usas.

      Si quieres que toda la red lo pueda usar tienes dos alternativas: O dejas un PC dedicado como router. (Con un linux y el demonio de pptp o un windows con routing and ras service) O te compras un router que pueda hacer de cliente de tu servidor de VPN.

      Un saludo.

        • Cerrado

          tienes ip de destino... tienes user tienes pass tienes ip…

          tienes ip de destino...
          tienes user
          tienes pass
          tienes ip fija asignada por el servidor de vpn? o es dinámica?
          algoritmo de encriptación
          y tipo de tunel
          y si también si vas a usar nat o no...

          si sabes configurar un cliente de vpn... tambien lo puedes hacer en el propio router... no es mucho más complicado que poner esos parámetros y activar el tunel...

          • Cerrado

            [Editado 6/11/03 00:53]

            (soy el de antes, ya tengo cuenta) Efectivame, lo tengo…

            (soy el de antes, ya tengo cuenta)

            Efectivame, lo tengo todo...

            ¿Pero dónde lo pongo?

            Lo intento por el web, entro en añadir un tunnel, meto los datos que me pide. Hasta ahí ok.

            Hago un traceroute y veo que estoy saliendo por internet (no voy por el túnel)

            Si miro la tabla de interfaces sólo tiene 2: atm y eth, no hay uno virtual PPTP, y en consecuencia no puedo rutar por él...

            En fin, tengo los datos pero no sé dónde ponerlos.

            Por telnet lo he intentado con algo que encontré por ahí de "framed_route" pero nada de nada...

            Me vale con saber dónde pongo las cosas :-P

            No sé si la IP es fija o dinámica pero al configurar el cliente de Windows no introduzco la IP (se la dan por PPTP). En windows sólo doy la dirección del servidor de túneles y todo funciona, quitando que intenta encaminar todo el tráfico por ahí (como ya he dicho, se soluciona facilmente).

            ¿Qué tengo que hacer en el router?

            Saludos

            PD: ¿Cómo puedo saber si el túnel está activo? ¿Cómo puedo encaminar tráfico hacia él?

            • Cerrado

              a ver... yo en una configuración con monopuesto no lo he…

              a ver... yo en una configuración con monopuesto no lo he probado, pero no debería de diferir mucho de algo con nat (si yo tengo mi router y 8 puestos detrás, lo que no quiero es que cada uno tenga su cliente de vpn, sino que todos salgan por el mismo sitio, es decir, que el hardware enrute y haga lo que tenga que hacer, no el software, que ya requiere de máquina y consume cpu).

              Lo que te decía en monop. tendría que mirarlo, y hacer una serie de pruebas, de todas formas ya te digo, el detalle más significativo es una traza hacia la red destino, si ves que te empiezan a salir direcciones de internet... mal asunto...
              tambien para ver si levanta el tunel o no, prueba a ver desde consola a hacer pings (desde el propio router) no sea que quien no es capaz de pasar por el tunel sea el pc y si lo haga el router.

              Si tengo algún rato lo probaré, pero no te aseguro nada, ando un poco escaso de tiempo.

              • Cerrado

                Ok, muchas gracias por todo. Yo también haré pruebas en…

                Ok, muchas gracias por todo.

                Yo también haré pruebas en multipuesto a ver.

                Una última duda, ¿el router es suficientemente listo como para encaminar por el túnel sólo los paquetes dirigidos a esa subred o hará como Windows, que encamina todos los paquetes por el túnel y se queda tan contento?

                ¿Cómo puedo cambiar eso? Porque insisto en que no aparece un interfaz virtual como en Windows.

                De nuevo muchas gracias

                Saludos

                • Cerrado

                  [Editado 8/11/03 17:04]

                  He cambiado a multipuesto y he encontrado una forma en la que…

                  He cambiado a multipuesto y he encontrado una forma en la que se hace algo:

                  disable vc internet
                  add tunnel CURRO server_end_point 60.1.5.200
                  set tunnel CURRO send_name miusuario
                  set tunnel CURRO send_password micontrasena
                  set tunnel CURRO encryp auto
                  add framed_route tunnel CURRO gateway 0.0.0.0 ip_route 60.1.0.0/16 metric 1
                  enable tunnel CURRO
                  enable vc internet
                  save all

                  De esta forma al menos los paquetes dirigidos a la red del curro no salen a internet, ¡pero ahora no salen a ningún lado! (un traceroute me da servidor inalcanzable)

                  Una mano, por favor

                  • Cerrado

                    [Editado 7/11/03 20:26]

                    si... una mano... al conection log a ver que dices cada vez…

                    si... una mano... al conection log a ver que dices cada vez que empiezas a hacer un ping (para mi que no se crea el túnel).

                    y a mi no me ha hecho nunca falta agregar la ruta que tu has añadido, el router cuando le asignan una ip directamente conecta y ya está, es como si le añades otro lan aparte de la que ya tienes, es capaz de enrutar trafico (que afirmación más estupida estoy haciendo). Vamos... que en el momento que establece el tunel, el router discrimina un tráfico de otro, y lo que va a internet lo saca por internet, y lo que va a la vpn lo saca a la vpn, de todas formas también influirá la configuración del servidor vpn, que a lo mejor, como tú dices, que te pasa con el cliente de windows, para establecer una comunicación totalmente segura, lo que hace es sacar todo el tráfico a internet a través de la vpn (motivos de seguridad, siempre es interesante, pero como no tengas un buen canuto a internet en el servidor de vpn o por la red donde saques todo el tráfico, la cosa se ralentiza muchíiisimo, porque ten en cuenta, que hay latencia desde tu ip a tu servidor vpn, añade la encriptación, y añade la latencia del trafico desde internet a tu concentrador vpn, si es que es este quien te saca a internet (supongamos que si) pues la cosa se puede hacer eterna. De todas formas, todo esto son rutas o parámetros de configuración en el servidor vpn.

                    No se si te es de ayuda o no... pero... bueno ahí está, solo espero haberte aclarado algo.

                    Editado:

                    con esa ruta (es que no la había observado antes con profundidad) lo que haces es encaminar todo el tráfico hacia la vpn. ?¿?¿ por algún motivo?

                    • Cerrado

                      [Editado 8/11/03 21:06]

                      Hola de nuevo y muchas gracias por seguir contestando. En…

                      Hola de nuevo y muchas gracias por seguir contestando.

                      En cuanto a la ruta que añado es simplemente que mande el tráfico dirigido a la red del curro por el túnel por eso pone "ip_route 60.1.0.0/16".

                      En el 3com que yo tengo si no hago eso no voy a ningún lado porque la llamada se hace on demand, es decir hasta q no le llega un paquete que tiene que enrutar por ahí pasa de establecer el túnel.

                      Aclarado este punto, he encaminado una subred por el túnel (ha sido la 216.0.0.0/8, es decir la del google) de forma que cuando intento conectarme con el google el router mira su tabla de rutas y decide mandarlo por el túnel, como no tiene túnel pues intenta establecerlo... Las órdenes que he dado son:
                      disable vc internet
                      add tunnel CURRO server_end_point 60.1.5.200
                      set tunnel CURRO send_name miuser
                      set tunnel CURRO send_password mipass
                      set tunnel CURRO encryp auto
                      add framed_route tunnel CURRO gateway 0.0.0.0 ip_route 216.0.0.0/8 metric 1
                      enable tunnel CURRO
                      enable vc internet
                      save all

                      Así me aseguro que no se hace la picha un lío intentando establecer el túnel, no vaya a ser que consulte la tabla de rutas e intente establecer el túnel por el propio túnel (que ni siquiera existe). No sé si me ha quedado lioso, el caso es que con las órdenes dadas cuando yo intente conectarme a 216.x.y.z el router intentará establecer el túnel y mandará todos los paquetes dirigidos a esa red por él.

                      Ahora bien (y aquí estabas muy acertado) el túnel no se llega a establecer (no sé bien por qué). Si hago:

                      3Com-DSL>list call log
                      Call Log
                      VC Name Status Last Clearing Reason
                      internet Connected Call was established

                      3Com-DSL>ping 216.239.53.99

                      3Com-DSL>list call log
                      Call Log
                      VC Name Status Last Clearing Reason
                      CURRO Connecting
                      internet Connected Call was established

                      Y así se queda toda la vida (en estado connecting pero sin poder establecer el túnel). El servidor de túneles está funcionando porque desde Windows sí que funciona.

                      Parece que cada vez me acerco más a la resolución pero aún me queda alguna razón por la que no se establece el túnel.

                      La única razón que se me ocurre es el algoritmo de encriptación. Desconozco cuál es el que emplea el servidor porque nadie me lo ha dicho (a Windows no le importa), voy a probar todos los algoritmos disponibles a ver si alguno funciona.

                      De todas formas, si se os ocurre alguna otra idea adelante.

                      Añado la siguiente información para facilitar:
                      3Com-DSL>show tunnel CURRO

                      TUNNEL SETTING
                      Tunnel Type: PPTP
                      Server Endpoint: 60.1.5.200
                      Address Selection: NEGOTIATE
                      Remote IP Address: 255.255.255.255/C
                      Local IP Address: 255.255.255.255
                      Encryption Algorithm: AUTO
                      Input Filter:
                      Output Filter:
                      Network Address Translation Option: port (PAT)
                      Dial Type: ON_DEMAND
                      Network Service: PPPoA-VCMUX
                      MTU: 1400
                      Send Name: miuser
                      Send Password: mipass

                      3Com-DSL>show call CURRO st
                      Call State: Connecting
                      Last Clearing Reason:
                      IP protocol:
                      IPX protocol:
                      Bridging protocol:

                      Si alguien puede comprobar que los datos son similares en una RPV que funcione lo agradecería

                      Muchas gracias a todos y en especial a Dalton

                      • Cerrado

                        [Editado 9/11/03 03:26]

                        como bien apuntabas, los problemas pueden ser la…

                        como bien apuntabas, los problemas pueden ser la encriptación, tal vez por eso no te establezca el tunel, aunque intente hacer la llamada (aunque yo sigo diciendo que la ruta que pones sobra pq el router discrimina el tráfico).

                        que servidor de vpn usas?
                        En el cliente windows puedes ver seguramtne la encriptación actual.
                        De todas formas, me llama la atención que no te haga un drop de la conexión del tunel.

                        • Cerrado

                          Jejeje, lo de la ruta creo que no nos pondremos de acuerdo. A…

                          Jejeje, lo de la ruta creo que no nos pondremos de acuerdo. A lo mejor en otro modelo/firmware la conexión no es on demand de forma que se conecta y el servidor vpn le da la subred que hay por ahí, pero en el mío funciona así (o estoy muy equivocado).

                          Por otra parte, has acertado de nuevo, mi modelo es un TEL, que es el que creo que nos dan a todos, ¿no?

                          Lo del cliente Windows ahora lo miro y te cuento, el problema es que los servidores del curro no los monto yo (ni nadie que yo conozca). Es una empresa grande que los tiene montados y a mí sólo me han dado username y password.

                          De todas formas, a mí también me resulta raro que no me cierre la conexión...

                          Bueno, creo que doy este tema por zanjado, aunque haré un par de pruebas y ya te contaré.

                          Muchísimas gracias por todo.

                          • Cerrado

                            A ver... en lo de la ruta no estoy de acuerdo, y te digo pq,…

                            A ver... en lo de la ruta no estoy de acuerdo, y te digo pq, en el momento que se establece la conexión a través de vpn, el router actualiza su tabla de enrutamiento de acuerdo con la nueva conexión, y añade una nueva red de destino a través de sí mismo, con lo que la ruta a mi entender sobra.

                            También esa es otra, debo de suponer que el servidor usa pptp o l2tp (no se si decías al principio o no, no recuerdo) pero bueno es lo que supongo, pq el router no soporta ipsec ni nada por el estilo (aunque sí deja pasar el tráfico ipsec si tienes un cliente vpn ipsec etc).

                            Yo es que no tengo ningún log de establecer alguna conexión, pero daba más datos que el connect y demás, y si no la establecia la tiraba abajo. A lo mejor es que se quedan ahí negociando pero no establecen nada. De todas formas, por consola (no por telnet), podrás hacer un debug y ver más datos que los que da el conection log.

                            saludos.

                              • Cerrado

                                [Editado 9/11/03 17:04]

                                es que estaba dando por supuesto que era pptp, pero luego no…

                                es que estaba dando por supuesto que era pptp, pero luego no lo tenía muy claro.

                                para el debug:

                                set facility ?

                                (con esto te muestra una lista de las diferentes opciones a hacer debug).

                                en el caso:

                                set facility pptp loglevel debug
                                Con esto te mostrará a través del hyperterminal con el cable de consola, cada vez que se produzca un evento pptp.

                                Luego desactivalo, ya que carga de trabajo al router, por defecto viene marcado en critial (si no recuerdo mal, es decir, solo mostraría los eventos críticos).
                                set facility pptp loglevel critical

                      • Cerrado

                        Me respondo a mí mismo: 3Com-DSL>set tunnel CURRO encryption…

                        Me respondo a mí mismo:

                        3Com-DSL>set tunnel CURRO encryption microsoft_128
                        Unit does not support encryption.
                        Contact your sales representative if encryption is required.

                        Cada vez estoy más seguro que es esto, ¿alguien sabe si hay alguna manera para que el 3com soporte encriptación?

                        ¿Sabéis alguna manera de saber si un servidor rpv espera encriptación?

                        Muchas gracias.

                        • Cerrado

                          a ver... eso te tiene que estar pasando pq tu router es un…

                          a ver... eso te tiene que estar pasando pq tu router es un tel (me equivoco?) se supone, que los tel, aceptan ese firmware 2.xx pero el tema de la encriptación va generado por un chip adicional que llevan las versiones del 812-us.

                          Aún así, se pueden crear túneles con versiones tel, pero el trafico seguramente no irá encriptado, además, en el otro extremo, deberás de configurarlo para que admita conexiones sin encriptación (no te lo puedo asegurar al 100% pero es probable).

                          Solucion: router mod. US

            • Cerrado

              Por si se me había olvidado, estoy trabajando en monopuesto…

              Por si se me había olvidado, estoy trabajando en monopuesto (es decir, el router no hace NAT por el interfaz atm pero sí quiero que lo haga por el interfaz PPTP)

              ¿Alguien sabe algo?