Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
589 lecturas y 13 respuestas
  • Boca de Pez Boca de Pez
    6

    Sedes por NETLAN - 2º Router ADSL para Terminal Server

    Os pongo en situacion:
    Tengo 6 oficinas conectadas por Netlan con telefonica. Tengo un par de IPSec para entrar desde fuera, pero como sabeis aunque se puedan crear 600 usuarios solo se puede abrir un tunel con cada uno. La solucion que he buscado (aun siendo un riesgo de seguridad) es contratar una segunda ADSL. El router que me ha puesto telefonica es el Zyxel P660HW-D1 y lo he sustituido por el DLink DSL-2740B porque "creo" que tiene mejor Firewall y configuracion mas avanzadas que el Zyxel. El router lo he metido en el mismo rango que el otro y va todo perfecto. Ahora lo que quiero saber es la forma correcta de apuntar desde la ip publica del mismo hacia el puerto 3389 del terminal server de mi Servidor. Y no quiero dyndns ni nada de eso...

    Datos adicionales:

    IP del router Netlan: 192.168.1.1
    IP del router adsl: 192.168.1.105 (configurado con DHCP desactivado, wifi desactivado, upnp desactivado, contraseña e ip default cambiadas)
    IP del servidor: 192.168.1.100 (este esta saliendo a internet por la netlan)
    *Tengo IP Fija para ambas ADSL

    Espero vuestra ayuda ya que necesito encarecidamente que 5 usuarios concurrentes puedan conectarse desde fuera por TS a mi servidor como lo hacian habitualmente antes de tener la netlan y si puede ser con un poco de seguridad.

    Un cordial saludo y espero vuestra ayuda

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    • Boca de Pez Boca de Pez
      6

      Es sencillo. Propón a tu empresa que contrate a un…

      Es sencillo.

      Propón a tu empresa que contrate a un informático de calidad, y que en el futuro cuide no contratar a un intruso informático.

      Claro, eso no lo vas a hacer, no conviene que sepan tu falta de profesionalidad.

    • leñe.. en el router adsl, 'abres el puerto' 3389 hacia la ip…

      leñe.. en el router adsl, 'abres el puerto' 3389 hacia la ip 192.168.1.100 ..

      o es que no pillo la pregunta :-/

      saludos

    • No te entiendo. ¿Desde la Netlan te quieres conectar a un TS…

      No te entiendo. ¿Desde la Netlan te quieres conectar a un TS que esta fuera de la netlan o al reves?

      Si es lo primero no necesitas hacer nada en las sedes , salvo contratar la salida a internet si no la tienes.

      Si es lo segundo, contrata mas accesos ipsec concurrentes, se paga por conexion concurrente, no por usuario creado. Habla con tu comercial.

      No tiene sentido conratar una netlan y luego montar un acceso no seguro.

      Saludos

      • Boca de Pez Boca de Pez
        6

        Lo que no se es como hacerlo en este modelo en concreto de…

        Lo que no se es como hacerlo en este modelo en concreto de Dlink y si tengo que modificar algo en el servidor para que acepte peticiones desde la otra adsl teniendo en el servidor una puerta de enlace distinta.

        Respecto a si tengo falta de profesionalidad, debo decir que llevo 15 años trabajando en sistemas/redes y esta medida la he tomado para ir dando servicio antes de que me llegue un router Cisco con 5 licencias VPN que puedo autenticar por mac. Pasa tambien que mi empresa siempre ha tenido terminal server activo con ip publica y las sedes conectadas por VPN y nunca hemos tenido problema alguno teniendo firewall tanto soft como hard, auditoria de red en tiempo real, antivirus nod32 y deepfreeze. Pasa tambien que cada licencia ipsec son 15€ y por 20€ de la segunda adsl puedo hacer lo que me plazca. y pasa tambien QUE NO SE HA BUSCADO SEGURIDAD CON LA NETLAN. Solo interconexion de sedes para telefonica ip y datos. La seguridad que es importantisimo por supuesto es algo extra a lo que buscamos. Y la seguiremos teniendo cuando nos llegue el Cisco.

        Despues de dar las oportunas explicaciones para que el "Juez" sepa que no hay que juzgar antes de conocer, me gustaria por favor que me indicaran como hacer esto en este modelo de router. Os pongo un par de pantallas:

    • Boca de Pez Boca de Pez
      6

      Solución a tu problema: El problema que tienes es que la…

      Solución a tu problema:

      El problema que tienes es que la puerta de enlace de la netlan es la que tienes puesta en el servidor, o sea, la 192.168.1.1, y por tanto, cuando pretendes entrar por el nuevo adsl, que tiene la 192.168.1.105, el servidor trata de responder a la petición por su puerta predeterminada, o sea, la 192.168.1.1, y por tanto, el camino de entrada y el de salida no son el mismo. Para solucionar eso debes crear una ruta estática en el servidor para enrutar el tráfico adecuadamente. Cómo se hace?.

      1- Debes poner la puerta de enlace del servidor al que quieres acceder con la 192.168.1.105. Una vez hecho esto podrás entrar desde fuera por tu nuevo adsl siempre y cuando tengas redirigido el puerto 3389 a la ip del servidor. Pero en este momento no tendrás Netlan. Por tanto hay que añadir las rutas.

      2- Para añadir las rutas debes ir al servidor donde hemos puestoa la puerta de enlace 192.168.1.105 y habriendo una ventana de dos, vamos a crear una ruta estática por cada tunel vpn que tengamos para indicarle al servidor que el tráfico de la vpn lo enrute por el router de la netlan. Para ello hacemos lo siguiente:

      En la ventana de dos:

      route add -p xxx.xxx.xxx.0 mask yyy.yyy.yyy.yyy 192.168.1.1

      Dónde xxx.xxx.xxx.0 es el rango ip del tunel. Ejemplo: si en una oficina de la netlan tienen el rango 172.26.1.0, entonces el comando quedaría así:

      route add -p 172.26.1.0 mask 255.255.255.0 192.168.1.1

      De esta forma le estamos diciendo que todo el tráfico que vaya hacia la ruta 172.26.1.0 lo saque por el router de la netlan en luga de por la puerta predeterminada en la que pusimos 192.168.1.105.

      Crea tantas rutas como oficinas tengas y todo funcionará correctamente.

      Espero haberte ayudado. Un saludo.

      • Correcto, ademas si quiere seguir usando el acceso de IPSEC…

        Correcto, ademas si quiere seguir usando el acceso de IPSEC hay que añadir tambien el rango/s de red de los clientes IPSEC.

        Solo añadir que estas rutas estaticas en vez de ponerlas en el servidor se pueden poner en el router de adsl, una por cada sede y apuntando al router de netlan. De forma que si despues se mete otro servidor o se quiere acceder a otro servicio en otra maquina solo hay que cambiar, de esa maquina, la puerta de enlace de netlan por la del router de ADSL.

        Saludos.

    • Boca de Pez Boca de Pez
      6

      Si quieres me puedes contactar u podrías ofrecerle a tu…

      Si quieres me puedes contactar u podrías ofrecerle a tu empresa una conexión CISCO que una todas las oficinas y no pagues la burrada que se paga por NetLan simplemente por quipazu en google y me contactas. Saludos.