VNC server detras de modem adsl y FIREWALL

BocaDePez 28 abril 2014 12:35

⋮

Buenas,

Estoy intentando conectar con un servidor VNC que esta detras de un modem adsl y de un firewall pero no hay manera.

Lo que hago es lo siguiente:

1.- Modem ADSL, creo un Virtual server: Puerto externo 5900, protocolo TCP/UDP, puerto interno 5900, server IP 192.168.4.3 ( esta ultima IP es la IP del puerto WAN del USG100.

2.- Hago otra regla parea direccionar lo anterior a la ip del servidor VNC: Puerto interno 5900, protocolo TCP/UDP, puerto mapeado:5900, ip mapeada:192.168.5.155

3.- Despues de hacer esto me salta una regla del firewall que me bloquea las entradas al ZyWall, por lo que hago una regla para permitir el paso a traves del ZyWall.

Despues de hacer esto, no hay manera de conectar con el servidor de VNC.

Alguna idea de por dond epueden ir os tiros. Un saludo y gracias.

BocaDePez 28 abril 2014 13:29

⋮

Yo, como quizás la mayoría de usuarios del foro, no tengo experiencia con ese ZyWall USG100 del que hablas.

Pero tu punto 3 es el que no entiendo, supongo que por no conocer el aparato. Si tú creas una regla de redirección NAT en un firewall, ¿por qué salta el firewall quejándose del tipo de tráfico? Lo lógico sería que si haces una redirección, es que quieres pasar todo el tráfico al equipo redirigido. Pero bueno, no he leído sus manuales, y si el de un Prestige normalito es tocho, supongo que el del ZyWall también, ¿no?

✖

BocaDePez 28 abril 2014 13:32

⋮

Hostia, lo dicho, 1133 páginas de manual: ftp://ftp.zyxel.com/ZYWALL_USG_100/user_ … 100_2.20.pdf

BocaDePez 28 abril 2014 13:38

⋮

Todo parece correcto, pero esa IP de la WAN... no es lo que yo esperaria de una IP externa.

A ver..

Tienes 3 cosas: las IP de las maquinas (PCs) conectados a tu router en la LAN, usualmente 192.168.1.x (pero puedes usar otas como 192.168.4.x); la IP de tu router del lado de la LAN (IP de puerta de enlace) y la IP asignada al router en el lado del ISP (IP publica).

Para conectar internamente, es decir, entre PCs dentro de la LAN no puedes usar la IP publica, sino las IP locales: 192.168.x.x de las maquinas que quiereas (esto es asi porque dentro de la LAN el router actua como un switch y no como un router -o teoricamente deberia ser asi-).

Si vas a conectar fuera de tu red, debes hacerlo a la IP publica del router (no lo que llaman IP WAN, que es la puerta de enlace).

La regla en el servidor lo que hara es que toda peticion que llegue al router (IP publica), en los puertos especificados (5900/5800 por defecto de VNC si no recuerdo mal), se desviaran a la IP que has indicado en la regla (192.168.4.155).

Un ejemplo:

PC con el servidor VNC: IP 192.168.1.100, puertos 5900/5800 (Te recomiendo cambiarlos porque hay gente que se dedica a escanearlos). Creo que ambos son TCP.

Router con IP del lado LAN ("gateway" o puerta de enlace, 192.168.1.1, la que tu le indiques, pero esta es comun). Observa que ambas IPs son del mismo rango! (192.168.1.x). En tu caso no lo son.

Router con IP publica/externa: 200.45.87.3 (asignada por el ISP y no puedes cambiarla).

Creas una regla en el router para la IP donde estar el servidor VNC: 192.168.1.100, puertos 5900/5800.

Das permiso en el firewall solftware si se queja.

Y listo, con esto deberias poder conectar.

Si vas a conectar entre PCs dentro de la LAN, entonces en VNC usas la IP local (192.168.1.x). Si vas a conectar desde fuera de la LAN, entonces usas la IP publica del router (200.45.87.3). La IP WAN (que es la puerta de enlace), es solo a nivel interno para que los clientes (PCs) sepan por donde tienen que enviar la informacion para que salga al exterior, por eso se llama PUERTA de ENLACE, enlaza la LAN con la WAN.

Por lo que veo, estas usando IPs de difernete rango y eso jamas te va a funcionar (para una misma LAN todo debe estar en el mismo rango), y ademas usas la IP WAN para conectar, cuando debe ser la publica del router y/o las locales de las maquinas si conectas localmente.

En caso de dudas y para minimizar interferencias, siempre puedes deshabilitar temporalmente los firewalls/antivirus que tengas instalados, reduciendo el problema al minimo y localizado en el router.

✖

BocaDePez 28 abril 2014 13:47

⋮

Pues yo no veo nada raro en absoluto al esquema que el creador del hilo ha puesto, simplemente hay doble NAT, la que crea el router del proveedor (IP pública fuera, subred IP privada dentro) y una segunda NAT que crea su cortafuegos (IP privada fuera, segunda subred IP privada dentro). Ahí no puede estar el problema.

La cuestión es que él nos confirme desde dónde está intentando hacer las pruebas de conexión al servidor VNC. Lo normal es que los routers no soporten NAT Loopback si no son de gama alta, así que las pruebas deberían hacerse siempre desde Internet (con un proxy, o con un móvil, pero que la conexión real provenga de una red diferente a la suya).

BocaDePez 28 abril 2014 13:48

⋮

Espero que el siguiente grafico te lo aclare mejor:

 192.168.1.2 IP gateway +----------------+ +--------+ WAN IP +-------------+ LAN IP | PC que quiere | |Internet|----------------|router/switch|-----------------| saber la IP WAN| +--------+ 54.234.1.33 +-------------+ 192.168.1.x | | 192.168.1.1 +----------------+

Como ves el router tiene 2 IPs, una la WAN otra la de "gateway". Si vas a conectear desde fuera, debes usar la WAN (54.234.1.33), si vas a conectar dentro de la LAN (rango de IPs 191.168.1.x), debes usar IPs internas como 192.168.1.2 (asumiendo que el servidor este en esta IP). Por tanto en el router la regla debe ser para ESTA ultima IP. El trabajo del router es redirigir lo que le llegue por la WAN a la IP de la LAN pertinente, y viceversa, por eso es un "router" (redirigir a falta de mejor palabra).

✖

BocaDePez 28 abril 2014 14:04

⋮

Aquí somos muchos BocaDePez... ¿tú quien eres?

Si eres de nuevo el de la respuesta #2339607 que empezaba por "Todo parece correcto...", decirte que en ese esquema te estás dejando el segundo router (el firewall ZyWall USG100) ;)