Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
366 lecturas y 6 respuestas
  • Router Amper ASL 26555: no conecto cuando creo VPN SSTP (error 8007274C)

    Hola:

    Estoy intentando conectar a una VPN SSTP que he creado. He creado los certificados SSL autofirmados y dentro de una misma lan, tengo el ordenador sevidor y en una máquina virtual tengo el cliente, puedo conectar sin problemas. De modo que los certificados SSL creo que los tengo correctamente.

    El problema es cuando lo llevo al servidor donde tiene que estar, que está fuera, a través de internet, que me da el error 8007274C, que es porque no se ha obtenido respuesta del servidor.

    He intentando desactivar los firewall de windows en ambos ordenadores, servidor y cliente, pero el problema sigue, por lo que he intentado abrir el puerto 443 en los routers de cada red, pero no consigo que funcione. De todos modos en teoría el puerto 443 debería estar abierto.

    ¿Alguien sabe cómo se configura una VPN SSTP? ¿Tengo que agregar el servidor en el DMZ?

    El servidor es un windows 8 pro y el ordenador cliente también.

    Muchas gracias.

    Daimroc.

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    1
      • Visto así tambien, pero como había leído que el puerto 443 se…

        Visto así tambien, pero como había leído que el puerto 443 se usa para HTTPS y que ningún firewall lo suele bloequar, no había que hacer nada, pero claro, igual una cosa es que no se bloquee y otra que sepa a que ordenador tiene que ir cuando está detrás del firewall.

        Lo que sí he probado es a poner el servidir en lugar de detrás del firewall en el DMZ, para probar, y en este caso funciona. De hecho cuando no lo tenía en el dmz y hacía un check del puerto 443 lo detectaba como cerrado y si lo pongo en el DMZ me lo detecta como abierto.

        Pero mi duda es si no se puede hacer esto por NAT en lugar de colocar el PC en el DMZ, ya que por seguridad preferiría tenerlo detrás del firewall y no delante. ¿Qué diferencia hay entre DMZ y NAT?

        Muchas gracias.

        • BocaDePez BocaDePez
          6

          A ver, el problema aquí espero que no sea la sintaxis.…

          A ver, el problema aquí espero que no sea la sintaxis. Lamentablemente en la jerga informática a nivel "de calle" hablamos mucho de "abrir" puertos porque es una terminología heredada de los cortafuegos: si un puerto estaba abierto, se permitía el paso.

          Pero es que aquí cuando hablamos de "abrir", en realidad lo que verdaderamente estamos haciendo es "redirigir" (Port Forwarding) la entrada por un puerto externo hacia una máquina interna con dirección privada que está tras un servicio de NAT. NAT Significa "Network Address Translation", es decir traduce un puerto de nuestra (normalmente única) dirección externa, a un par IP/puerto de una máquina interna, manteniento una tabla de conexiones en memoria para saber a qué máquina enviar la respuesta cuando llegue de fuera.

          DMZ es una "Zona desmilitarizada". Son máquinas que no están controladas por el cortafuegos de entrada, y a las que se envía toda la chicha cuando viene de fuera, y que ellas se apañen. Son máquinas que quedan desprotegidas ante el exterior, y que deberán ser securizadas por su cuenta y riesgo, a nivel de sistema o aplicación.

          Lo que deberías hacer es en el router, en la sección de NAT/Port Forwarding redigirir el 443 al equipo interno que realmente está esperando esa conexión. Eso sí, si la vas a emplear para una VPN por SSL, olvídate de poner un servidor HTTPS accesible desde el exterior, al menos en el puerto estándar.

          • Bueno, la idea que tenía con la VPN SSL es poder acceder…

            Bueno, la idea que tenía con la VPN SSL es poder acceder desde el exterior a la red interna de la oficina, y SSTP no permite que se utilice otro puerto que no sea el 443. Por tanto entiendo que si ahora lo tengo en DMZ no debería dejarlo así y dejarlo detrás del firewall con redirección mediante NAT. ¿Es esto correcto?

            De todos modos, si la conexión por VPN se hace mediante certificados, ¿qué problemas hay realmente de tener la VPN accesible desde el exterior?

            • BocaDePez BocaDePez
              6
              Problema ninguno, porque si rediriges el 443, igualmente…

              Problema ninguno, porque si rediriges el 443, igualmente estará accesible desde el exterior.

              Salvo ataques de denegación de servicio con miles de peticiones por segundo con un ancho de banda mayor del que puedas aguantar... pero por otra cosa, deberías estar tranquilo.

              • Entonces bien, mi mayor problema es si pudiese conectar a la…

                Entonces bien, mi mayor problema es si pudiese conectar a la red interna o acceder al contenido del servidor que está en el DMZ. Pero si es por cuestiones de ataques de denegación de servicio por ejemplo no me preocupa tanto.