BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra/Cable

No puedo conectarme a VPN de trabajo desde Sercomm FG824CD con Vodafone

McNulty007

Resulta que no consigo conectarme a la VPN del trabajo desde la LAN de casa. La VPN es IPSec.

Tengo Vodafone fibra con un router Sercomm FG824cd. Desde el wifi de la oficina, o incluso en casa usando el móvil como hotspot, no tengo ningún problema para conectar, pero si estoy conectado a la LAN de casa y me conecto a la VPN, no puedo acceder a ningún sitio, da error de DNS no resueltas. La VPN aparece como conectada y me acepta las credenciales y salta el 2FA, pero sencillamente no carga nada.

El hecho de que con el la red del móvil o con la LAN de la oficina funcione me hace pensar que el problema es el router.

He probado un montón de cosas, no sé si con mucho sentido

  • Me he asegurado que los rangos de IP's que da el router y los de la VPN son diferentes.
  • He probado a hacer DMZ a la IP del portátil.
  • He abierto los puertos que he leído que hacen falta para el IPsec (UDP 500 y UDP 1500) y nada, que no hay manera…

Como último recurso he comprado un router Asus RT-AX56U, conectando directamente uno de los puertos LAN del router Sercomm al WAN del Asus. Lo he configurado todo y funciona toda la red, pero el VPN sigue sin funcionar cuando me conecto a la nueva red Wifi del Asus, da el mismo error.

¿Qué puedo hacer?

SOLUCIÓN

Black Hole

¿El administrador de sistemas y redes de tu empresa no ha sido capaz de configurar tu entorno, que tienes que recurrir a un foro de usuarios? 😳

¿Has revisado las tablas de enrutado y la ruta por defecto? ¿Qué sistema operativo usas y qué software de VPN? ¿Alguna suite antivirus en medio que pudiese estar interceptando conexiones?

McNulty007

A ver, ya digo que tanto en la LAN de la oficina como en casa usando el móvil como hotspot funciona,. por tanto parece que no es problema del equipo ni de como está configurado si solo falla cuando estoy conectado a internet en mi LAN.

El equipo es un Macbook con macOS Monterrey, software VPN no lo sé, creo que FortiNET. Lo de las tablas de enrutado ni idea, la verdad.

🗨️ 5
rbetancor
2

FortiClient 6 o FortiClient 7 ?, porque en Monterrey hay un bug tamaño catedral en la MIERDAAAAAAAAAAAAAA de software de FortiGate (entre las otras muchas mierdas que venden), que te podría estar afectando.

Por cierto, no tienes que abrir puertos, ni DMZ, ni leches raras, para que funcione el software de VPN.

🗨️ 4
McNulty007

Ostras, pues ni idea, mañana lo miraré.De todos modos si me funciona en la oficina y con el móvil como hotspot no debería ser no?

🗨️ 3
rbetancor

El fallo es un problema con la negociación de los MTU, así que se te puede dar aleatoriamente con la conexión, da igual que sea Móvil, WiFi o Fija.

Solo afecta a macOS Monterrey y FortiClient < v7

A mas de un SAC los ha vuelto locos y los JPs de Forti le echan la culpa a Monterrey, cuando la culpa es de su cliente de VPN, pero bueno … nada nuevo bajo el sol.

🗨️ 2
McNulty007
🗨️ 1
MasterL

Aunque las direcciones de LAN y VPN no esten en el mismo rango aparente hay que fijarse tambien en la mascara de red

Yo por eso uso redes distintas 192 en LAN y 10 en VPN por ejemplo o viceversa

De todas formas para eso esta el soporte tecnico y para eso cobra

🗨️ 2
naveganteperdido

quien ha dicho que el OP tenga soporte tecnico?

el administrador da una configuracion, si en tu casa te funciona bien, sino buscate la vida, es lo mas habitual

un soporte tecnico que tenga que detectar y solucionar las particularidades que cada uno tenga en su casa puede salir por un ojo de la cara, por eso cuando se monta una VPN seria para los trabajadores en remoto la empresa contrata el ISP y entrega el equipo desde el que se puede conectar, teniendo este perfectamente capado y controlado

🗨️ 1
MasterL

Por eso el op esta tirado

Las cosas del trabajo hay q pagarlas. Vale un ojo de la cara no es excusa. Todo gratis? No problem, arreglate en un foro

vukits

Varias cosas:

  1. No consigo desactivar Vodafone Secure Net
  2. En tu casa pon un rango LAN no estándar, tipo 192.168.23.*
  3. En tu ordenador, pon unas DNS diferentes de las de Vodafone, por lo menos prueba con las de Google , que son 8.8.8.8
🗨️ 4
MasterL

Si es el secure net vaya tela

Lo habia descartado porque deberia afectar tb al movil y dice q en tethering le funciona

McNulty007

Nada, he desconectado el Secure DNS, el firewall del router…los rangos de IP's lo mismo. Las DNS también he probado a ponerlas estáticas con las de Google y nada.

🗨️ 2
vukits

Tengo que saber qué datos de forticlient te han dado. Pasamelos por mensaje privado (sin las credenciales, claro).

En todo caso, pide los datos de acceso por VPN SSL (el gateway debe ser por https)

🗨️ 1
McNulty007

No me han dado ningún dato, me dieron el equipo ya configurado con todo. Y acabo de probar en casa de mi hermano (tiene Movistar) y funciona perfectamente, así que si solo falla en mi casa entiendo que puedo descartar problemas de configuración de la VPN.

MasterL

Se me ocurre configurar el router de Vodafone en monopuesto para que entregue la IP publica al Asus

🗨️ 6
McNulty007

¿Cómo puedo hacer eso? Ahora lo tengo puesto con DMZ dirigido a la IP del Asus. Aún así creo que algunos puertos no se reenvían al Asus: 8080,2222,8443

🗨️ 5
MasterL

El router tendra un manual

🗨️ 4
McNulty007

No, no tiene.

🗨️ 3
McNulty007
🗨️ 1
Amenhotep

En un router normal tendrías que activar la opción "NAT transversal" o "IPsec Passthrough".

No tengo claro si ese router Sercomm las tiene. Pero en todo caso puedes hacer DMZ al Asus y configurarlo ahí o poner el Sercomm como neutro .

🗨️ 10
McNulty007

Lo tengo exactamente así, con DMZ al Asus, pensaba que me solucionaría el problema. Todo lo "habitual" me funciona sin problemas. El router está capadísimo y eso que se puede entrar en modo admin cambiando un valor en la dev tools de Chrome (increible), el IpSec Passthrough no está. En el Asus si que está, viene habilitado de serie y cuando lo deshabilito directamente el VPN no responde y no me deja meter ni la contraseña del VPN, así que creo que aunque pudiera cambiarlo en el Sercomm tampoco cambiaría nada.

🗨️ 7
Tnz
1

EL IP SEC si que está, pero muy escondido. Está en donde se abren los puertos, pero suele venir activado por defecto

🗨️ 6
McNulty007

Pues me volví loco ayer y no lo encontré, porque además en otro foro vi una captura de otro chico y si que lo tenía. Pero nada, en esta pantalla solo puede activar el NAT traversal, abrir puertos y redirigirlos. Pensé que igual era tema del firmware pero tampoco encontré ningún sitio para actualizarlo.

🗨️ 5
Tnz
🗨️ 4
McNulty007
🗨️ 3
Tnz
🗨️ 2
McNulty007
🗨️ 1
Tnz
naveganteperdido

ipsec passthrough es para permitir la entrada de conexiones ipsec, pero siendo cliente es necesario?

🗨️ 1
vukits

las implementaciones antiguas de IPSEC no se llevaban bien con NAT …

el passthrough más bien molesta

naveganteperdido

yo primero probaria a conectar desde un Linux en el mismo equipo

Asiqtdn
1

Fortinet tiene cliente propio. Con IPsec lo puedes configurar directamente desde Windows… O uno u otro…

Ramgo

¿Y porque no pruebas configurar el cliente VPN nativo de macOS Monterey? Así descarta que sea problema de software.

screenshot-2022-04-15-at-09-13-12.webp
🗨️ 11
McNulty007

No tengo datos concretos de configuración de la VPN, me dieron el equipo ya configurado con todo. Y acabo de probar en casa de mi hermano (tiene Movistar) y funciona perfectamente, así que si solo falla en mi casa entiendo que puedo descartar problemas de configuración de la VPN. Ya lo he probado en 4 redes distintas y solo falla en la mía…

🗨️ 10
Ramgo

El MTU no es igual en Movistar que en Vodafone por ejemplo. Si el MTU es más grande de lo que soporta el ISP se pierden paquetes y termina por no funcionar la conexión. La última VPN que configure fue sobre conexión Digi y la MTU no podía podía superar los 1452 sino se perdía paquetes no funcionando la conexión aunque la autentificación era correcta por supuesto. En Movistar creo recordar que el máximo es 1500, en Vodafone ahora mismo no recuerdo bien pero creo que el máximo es 1492.

rbetancor
1

Ya te he dicho, que mires la versión del FortiClient, los valores de MTU cambian de una red a otra y el problema GORDO que tiene el FortiClient 6 con Monterrey es ese. Por lo que aleatoriamente te puede funcionar en unas redes sí y en otras no.

🗨️ 8
McNulty007

Vale, disculpa, es que cuando me comentaste antes que era aleatorio pensé que te referías a que podía pasar en cualquier momento y el problema me está pasando consistentemente, es decir en casa no conecta nunca y en las otras redes conecta siempre. Voy a ver si puedo ver la configuración del Forticlient y os digo.

Gracias.

McNulty007

Pues pensaba que era Forticlient pero no me aparece en las applicaciones instaladas así que no debe ser. Y en la configuración de la VPN en las preferencias de red solo me deja introducir unas credenciales que creo que no tengo y parece que van aparte de mi usuario y contraseña propio, no veo más opciones de configuración. No sé si en macOS hay algún comando de CLI que muestre al menos los valores con los que está configurado y saber el MTU.

🗨️ 6
McNulty007
🗨️ 4
McNulty007
🗨️ 2
McNulty007
1

Novedad importante, parece que en el Macbook está puesta la VPN de serie del SO, en el móvil con FortiClient si que funciona la VPN, así que igual si que es tema de software…

McNulty007
1

Pues por FortiClient si que me funciona, lo que pasa es que estoy viendo que lo tienen deprecado, así que si que es tema de software. Voy a ver que me dicen.

🗨️ 1
vukits

Pues por FortiClient si que me funciona

ah, ok, pues marco el tema como solucionado