Sedes por NETLAN - 2º Router ADSL para Terminal Server

BocaDePez 20 mayo 2010 20:45

⋮

Os pongo en situacion:
Tengo 6 oficinas conectadas por Netlan con telefonica. Tengo un par de IPSec para entrar desde fuera, pero como sabeis aunque se puedan crear 600 usuarios solo se puede abrir un tunel con cada uno. La solucion que he buscado (aun siendo un riesgo de seguridad) es contratar una segunda ADSL. El router que me ha puesto telefonica es el Zyxel P660HW-D1 y lo he sustituido por el DLink DSL-2740B porque "creo" que tiene mejor Firewall y configuracion mas avanzadas que el Zyxel. El router lo he metido en el mismo rango que el otro y va todo perfecto. Ahora lo que quiero saber es la forma correcta de apuntar desde la ip publica del mismo hacia el puerto 3389 del terminal server de mi Servidor. Y no quiero dyndns ni nada de eso...

Datos adicionales:

IP del router Netlan: 192.168.1.1
IP del router adsl: 192.168.1.105 (configurado con DHCP desactivado, wifi desactivado, upnp desactivado, contraseña e ip default cambiadas)
IP del servidor: 192.168.1.100 (este esta saliendo a internet por la netlan)
*Tengo IP Fija para ambas ADSL

Espero vuestra ayuda ya que necesito encarecidamente que 5 usuarios concurrentes puedan conectarse desde fuera por TS a mi servidor como lo hacian habitualmente antes de tener la netlan y si puede ser con un poco de seguridad.

Un cordial saludo y espero vuestra ayuda

BocaDePez 20 mayo 2010 22:08

⋮

Es sencillo.

Propón a tu empresa que contrate a un informático de calidad, y que en el futuro cuide no contratar a un intruso informático.

Claro, eso no lo vas a hacer, no conviene que sepan tu falta de profesionalidad.

vukits 21 mayo 2010 01:43

⋮

leñe.. en el router adsl, 'abres el puerto' 3389 hacia la ip 192.168.1.100 ..

o es que no pillo la pregunta :-/

saludos

cancanillas 21 mayo 2010 08:56

⋮

No te entiendo. ¿Desde la Netlan te quieres conectar a un TS que esta fuera de la netlan o al reves?

Si es lo primero no necesitas hacer nada en las sedes , salvo contratar la salida a internet si no la tienes.

Si es lo segundo, contrata mas accesos ipsec concurrentes, se paga por conexion concurrente, no por usuario creado. Habla con tu comercial.

No tiene sentido conratar una netlan y luego montar un acceso no seguro.

Saludos

✖

BocaDePez 21 mayo 2010 11:55

⋮

Lo que no se es como hacerlo en este modelo en concreto de Dlink y si tengo que modificar algo en el servidor para que acepte peticiones desde la otra adsl teniendo en el servidor una puerta de enlace distinta.

Respecto a si tengo falta de profesionalidad, debo decir que llevo 15 años trabajando en sistemas/redes y esta medida la he tomado para ir dando servicio antes de que me llegue un router Cisco con 5 licencias VPN que puedo autenticar por mac. Pasa tambien que mi empresa siempre ha tenido terminal server activo con ip publica y las sedes conectadas por VPN y nunca hemos tenido problema alguno teniendo firewall tanto soft como hard, auditoria de red en tiempo real, antivirus nod32 y deepfreeze. Pasa tambien que cada licencia ipsec son 15€ y por 20€ de la segunda adsl puedo hacer lo que me plazca. y pasa tambien QUE NO SE HA BUSCADO SEGURIDAD CON LA NETLAN. Solo interconexion de sedes para telefonica ip y datos. La seguridad que es importantisimo por supuesto es algo extra a lo que buscamos. Y la seguiremos teniendo cuando nos llegue el Cisco.

Despues de dar las oportunas explicaciones para que el "Juez" sepa que no hay que juzgar antes de conocer, me gustaria por favor que me indicaran como hacer esto en este modelo de router. Os pongo un par de pantallas:

Imagen original en http://img100.imageshack.us/img100/3425/captura2e.png

Imagen original en http://img94.imageshack.us/img94/1136/captura1nm.png

✖

vukits 21 mayo 2010 12:21

⋮

algo en el servidor para que acepte peticiones desde la otra adsl teniendo en el servidor una puerta de enlace distinta.

no , en absoluto .. mientras el router tenga lan ip del mismo rango que la ip del servidor ...

por cierto, insisto en que sólo tienes que abrir los puertos.. estas capturas me dan dolor de cabeza.. porque no las entiendo... no tengo este router, y no estoy dispuesto a leer el manual :D

saludos

cancanillas 21 mayo 2010 12:44

⋮

El TS tiene como puerta de enlace el router de la netlan por lo que todas las respuestas que tenga que enviar a cuailquier IP se las va a enviar al router de la netlan (independientemente de que las peticiones le lleguen de otra línea ADSL).

Mientras que los paquetes que llegan al TS tengan como IP de origen una IP pública no vas a poder hacer nada porque las respuestas del TS siempre saldran por el router de la netlan. La solución pasa porque tambien los clientes se conecten desde una IP estatica (publica) y configures rutas esticas en el TS de tal manrera que las conexiones a las IPs de los clientes remotos salgan por el router ADSL.

Otra solucion es que el propio router ADSL sea un terminador de tuneles y asignes a los clientes remotos un rango de IPs determinado. Luego tendras que programar, bien en el TS, bien en el router de la NETLAN, una que ruta estatica para esa subred.

En definitiva, no es problema de filtros sino de rutas.

En lo que al precio se refiere........ hombre, no son 20€, son 20€ mas el router con sus licencias que no es precisamente barato

Yo no soy el boca de pez que te ha acusado de poco profesional, sin embargo, entiende que el problema que expones es tan básico que no se comprende como con tu experiencia en firewalls y auditoria en tiempo real no lo ves.

✖

BocaDePez 21 mayo 2010 14:07

⋮

Respecto a lo de barato: El router cuesta un dinerito con 5 licencias. Que se amortizara en 1 año. No es lo mismo que gastarse 5x15€ todos los meses forever no crees?

Respecto a si el problema es basico me cito en mi post anterior: Lo que no se es como hacerlo en este modelo en concreto de Dlink y "si tengo que modificar algo en el servidor para que acepte peticiones desde la otra adsl teniendo en el servidor una puerta de enlace distinta"

"Suponia" que podria ser el problema, pero imaginaba que habria una manera de configurar que el TS aceptara peticiones desde la otra puerta de enlace... Me equivocaba entonces. Ya se algo nuevo, gracias.

Pues me has ayudado a verlo totalmente claro.

Gracias de nuevo y un cordial saludo

✖

cancanillas 21 mayo 2010 15:26

⋮

vukits 21 mayo 2010 14:11

⋮

las respuestas del TS siempre saldran por el router de la netlan.

eso no lo sabía, vaya :D

BocaDePez 21 mayo 2010 13:48

⋮

Pues eso, que te sacan del ABC y no tienes ni pajolera idea.

No habla un magistrado, hablan los hechos.

Apártate y deja paso a un profesional.

No al intrusismo informático.

BocaDePez 11 septiembre 2010 11:38

⋮

Solución a tu problema:

El problema que tienes es que la puerta de enlace de la netlan es la que tienes puesta en el servidor, o sea, la 192.168.1.1, y por tanto, cuando pretendes entrar por el nuevo adsl, que tiene la 192.168.1.105, el servidor trata de responder a la petición por su puerta predeterminada, o sea, la 192.168.1.1, y por tanto, el camino de entrada y el de salida no son el mismo. Para solucionar eso debes crear una ruta estática en el servidor para enrutar el tráfico adecuadamente. Cómo se hace?.

1- Debes poner la puerta de enlace del servidor al que quieres acceder con la 192.168.1.105. Una vez hecho esto podrás entrar desde fuera por tu nuevo adsl siempre y cuando tengas redirigido el puerto 3389 a la ip del servidor. Pero en este momento no tendrás Netlan. Por tanto hay que añadir las rutas.

2- Para añadir las rutas debes ir al servidor donde hemos puestoa la puerta de enlace 192.168.1.105 y habriendo una ventana de dos, vamos a crear una ruta estática por cada tunel vpn que tengamos para indicarle al servidor que el tráfico de la vpn lo enrute por el router de la netlan. Para ello hacemos lo siguiente:

En la ventana de dos:

route add -p xxx.xxx.xxx.0 mask yyy.yyy.yyy.yyy 192.168.1.1

Dónde xxx.xxx.xxx.0 es el rango ip del tunel. Ejemplo: si en una oficina de la netlan tienen el rango 172.26.1.0, entonces el comando quedaría así:

route add -p 172.26.1.0 mask 255.255.255.0 192.168.1.1

De esta forma le estamos diciendo que todo el tráfico que vaya hacia la ruta 172.26.1.0 lo saque por el router de la netlan en luga de por la puerta predeterminada en la que pusimos 192.168.1.105.

Crea tantas rutas como oficinas tengas y todo funcionará correctamente.

Espero haberte ayudado. Un saludo.

✖

Harkonen 14 septiembre 2010 19:19

⋮

Correcto, ademas si quiere seguir usando el acceso de IPSEC hay que añadir tambien el rango/s de red de los clientes IPSEC.

Solo añadir que estas rutas estaticas en vez de ponerlas en el servidor se pueden poner en el router de adsl, una por cada sede y apuntando al router de netlan. De forma que si despues se mete otro servidor o se quiere acceder a otro servicio en otra maquina solo hay que cambiar, de esa maquina, la puerta de enlace de netlan por la del router de ADSL.

Saludos.

BocaDePez 18 octubre 2010 18:41

⋮

Si quieres me puedes contactar u podrías ofrecerle a tu empresa una conexión CISCO que una todas las oficinas y no pagues la burrada que se paga por NetLan simplemente por quipazu en google y me contactas. Saludos.