BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Problemas de acceso a los dispositivos de una VPN

JanSmite

Hola a todos.

Espero que me podáis echar una mano. Soy novato en el tema de las redes VPN, y esta configuración me está volviendo loco.

Descripción del escenario:

Hay tres sedes, una en la que está el servidor y dos más, remotas, desde las que se conectan los clientes.

-Sede servidor: el router principal (192.168.1.1), que es además el gateway WAN/Internet, es un Cisco EPC3825 de ONO. En principio monté el servidor sobre un Windows 2003 Server, VPN sobre PPTP, pero cambiamos a un OSX Mountain Lion Server, sobre L2TP, para descartar que el problema estuviera en el servidor Windows, con los mismos resultados. Los puertos han sido convenientemente redirigidos al servidor de turno (1723 TCP/UDP para PPTP; 500 UPD, 1701 TCP y 4500 UDP para L2TP). Todos los dispositivos que están en la misma LAN que el servidor tienen asignadas IP fijas de la misma subred (192.168.1.x, máscara 255.255.255.0), únicas, que no se solapan. El servidor VPN sirve por DHCP un rango de direcciones en la misma subred. El router, además, sirve por DHCP otro rango de direcciones dentro de la misma subred. Todos los dispositivos tienen como gateway el router principal, 192.168.1.1

-Sedes cliente: en ambas LANs los dispositivos tienen asignadas direcciones fijas en la misma subred (192.168.1.x, máscara 255.255.255.0), ambos routers tienen asignados IPs que no se solapan con el resto de dispositivos ((192.168.1.2, 192.168.1.3). En una sede hay un router idéntico al del servidor, un Cisco EPC3825 de ONO, y en la otra un router ADSL de Telefónica, un Alpha ASL-2655. Los dispositivos de cada sede tienen asignados como gateway sus respectivos routers.

En resumen, al no haber muchos dispositivos entre las tres sedes, se ha repartido el rango de IPs entre todas dentro de la misma red, de modo que ni las IP fijas ni los diferentes rangos DHCP, incluidos los del servidor VPN, se solapan en ninguna sede.

A efectos de realizar las pruebas, todos los cortafuegos, tanto los de los routers como los de los diferentes ordenadores, incluyendo el servidor, han sido desactivados, para descartar la posibilidad de problemas en ese aspecto. También he comprobado que los routers no tengan ninguna regla ni filtro que impida la conexión. Y, en teoría, todos los routers soportan VPN Passthrough.

A la hora de hacer la conexión desde los clientes no tengo problema, se autentifican correctamente y quedan conectados a la VPN, pero el caso es que no puedo acceder a ninguno de los recursos de la LAN del servidor. Puedo acceder a los recursos compartidos del servidor, pero de ahí no pasa. Un ping a las IP de otros recursos de la LAN del servidor fracasa con un timeout. Eso me ocurre en las dos sedes.

El caso es que, para hacer todavía más pruebas, me he conectado a esa VPN desde casa (subred 192.168.0.x, máscara 255.255.255.0), con mi conexión de ONO y un router Netgear CG3100D-RG, sin tocar nada, ninguna configuración, y ha funcionado a la primera, tanto por PPTP en el servidor Win 2003 como por L2TP en el servidor Mac: tengo acceso a todos los ordenadores de la LAN del servidor, puedo hacer VPN, RDP, FTP, AFP, SMB, etc. a través de la VPN a cualquiera de ellos (a todos los que tienen esos servicios habilitados, claro) sin problema. Pero, más curioso todavía, me ha funcionado también a la primera desde la conexión 3G del móvil. Es decir, usando el punto de acceso WiFi del teléfono, compartiendo con el ordenador o la tablet la conexión 3G, puedo acceder perfectamente a la VPN y los dispositivos de la LAN, y eso que es una conexión que no permite ningún tipo de configuración. Sin embargo, soy incapaz de hacer que los ordenadores de las dos sedes puedan acceder a los recursos de la LAN del servidor, a pesar de que tengo acceso a sus respectivos routers.

¿Alguien que arroje algo de luz, algún consejo, alguna idea? Gracias de antemano.

Jan.

vukits

Sobre lo que preguntas.. ¿has comprobado que no sea problema de DNS? ¿Puedes acceder a los recursos, mediante dirección IP?

ahora uno consejos, por si lo de arriba no te sirve.

Antes de nada, el rango de las LAN de cada sede, debe ser diferente... p.e 192.168.1.* , 192.168.2.* ,etc ..

Por otro lado... es más eficiente unir las sedes mediante routers en VPN que hacer que los clientes hagan túneles propios.

Para VPN , recomiendo Openvpn (lo puedes instalar en muchos plataformas) .. o como mucho IPSec (implementable mediante pfsense, m0n0wall u otros.. y compatible con Iphones ).

un saludo

🗨️ 1
JanSmite

Gracias, lo probaré.

Jan.

BocaDePez
BocaDePez
1

¿la misma red en todas las localizaciones?

¿acaso haces bridging de ethernet?

coratec
1

Seguramente tenga que ver con el mismo rango en todas las sedes. Probaria a poner 192.168.2.x y 192.168.3.x y con eso lo normal es que funcione y más si conectan sin problema.

Suerte :)

JanSmite
1

Gracias a todos por vuestra ayuda. Probaré a cambiar las subredes de cada sede, a ver si eso soluciona el problema.

Jan.

🗨️ 2
BocaDePez
BocaDePez

Ten en cuenta que las máscaras de red están para eso, para discriminar qué direcciones deberían de ser directamente alcanzables en el mismo medio físico, pasando de capa 3 a capa 2.

Es lo primero que deberías tener claro, ya que comentas arriba que eras novato en temas de VPN; pero es que en realidad aunque no fuesen VPN hubiese pasado lo mismo, porque estás produciendo solapamiento de subredes sin darte cuenta.

Decías que lo curioso era que te funcionase en casa y te sorprendías que no funcionase en las sedes cliente. Yo, según lo ibas describiendo, lo hubiese dicho al revés: lo normal es que te funcionase en casa porque partías de una red local propia en una subred distinta (191.168.0/24) y lo sorprendente es que hubiese funcionado en las sedes cliente, porque las tablas de rutas se estaban pegando entre sí.

La respuesta de la persona de las 08:21 horas justamente iba en ese sentido por si tú mismo te dabas cuenta. Te preguntabas si hacías bridging de Ethernet, porque para que funcionase en capa 2, los equipos debían de ser alcanzables por su MAC, puesto que la máscara de 24 bits los estaba englobando a todos. Si no son alcanzables, debes enrutar.

🗨️ 1
JanSmite

Lo tendré en cuenta, gracias.

Jan.

JanSmite

Problema solucionado: cambiando las subredes de las sedes ha funcionado.

Gracias a todos.

Jan