Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
418 lecturas y 12 respuestas
  • Cerrado

    BocaDePez BocaDePez
    6

    VPN en una LAN con 3COM: cliente conecta pero no hace ping

    Hola.
    Veréis, leyéndome muchos artículos y tutoriales sobre VPN, he configurado el RAS en una máquina de mi LAN (sobre todo, mirando en http://infocenter.cramsession.com/TechLibrary/GetHtml.asp?ID=1161&CatID=281 ). Esta máquina tiene Windows 2000 Server y dirección IP fija 192.168.0.69.

    En esta LAN tengo un router 3COM 812 con firmware versión 1.1.9 que da salida a internet. Tiene configurado un servidor DHCP que da direcciones para esta subred, con puerta de enlace y servidor DNS especificados. También tiene activado el servidor DNS que cachea y redirecciona peticiones a los servidores DNS de Telefónica. He redireccionado los puertos del router TCP 1723 (PPTP) y el UDP 47 (GRE).

    El cliente es un PC que se conecta a internet desde otra ubicación, usando Windows XP y modem ADSL USB. Supongo que empleará zona desmilitarizada así que, supongo otra vez, no será necesario abrir ningún puerto en su módem.

    Cuando el cliente configura la conexión a la VPN y la lanza, parece que todo va bien. Consigue conectar, y obtiene una dirección IP del servidor DHCP que está dentro de la subred de la LAN que ofrece la VPN (esto lo compruebo con ipconfig en la línea de comandos, viendo los parámetros del nuevo interfaz de red). En la máquina de Windows 2000 también se puede ver que el cliente ha conseguido conectar porque está usando uno de los puertos disponibles que hay en el RAS.

    Sin embargo, y aquí radica mi problema, no consigo hacer ping a la dirección IP privada que ha adquirido el cliente, ni desde el PC servidor de VPN (Windows 2000 Server) ni desde cualquier otro PC de la LAN. Él tampoco consigue hacer ping a ningún PC de la LAN. Es decir, la conexión está hecha, aparentemente, pero debe haber algo que nos impide comunicarnos con el cliente usuario de la VPN. Y si no podemos comunicarnos con él, ¡no tiene sentido la conexión a la VPN!

    ¿Alguien sabe por dónde van los tiros del problema?

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
      • Cerrado

        BocaDePez BocaDePez
        6

        Según la página web…

        Según la página web http://www.adslnet.ws/modules.php?name=News&file=article&sid=780 , el puerto del GRE es UDP 47. :-?

        Veo que no mucha gente monta VPN's por aquí :-(, o bien, tengo un problema bastante raro... :-o

        • Cerrado

          de todas formas... prueba también otra cosa bastante…

          de todas formas... prueba también otra cosa bastante importante... tu router está configurado para hacer nat, me equivoco?? Prueba desde una conexión por módem directa, sin nada que te haga nat, podría ir también el marrón por ahí.

          • Cerrado

            BocaDePez BocaDePez
            6
            ¿Que dices que pruebe con un modem directo? ¿El servidor? ¿o…

            ¿Que dices que pruebe con un modem directo? ¿El servidor? ¿o el cliente?

            Porque si te refieres al servidor, aunque me llegase a funcionar es una tontería, porque precisamente lo que quiero es poder ofrecer una VPN desde un Windows 2000 server conectado a una LAN que accede a internet a través de ADSL con un router en multi-puesto (efectivamente, estoy usando NAT). ¿Qué resolveré con esto? Si lo que quiero es que funcione con NAT.

            Y si te refieres a que conecte con modem directo al cliente, tampoco le veo mucha lógica, porque el cliente con quien he probado tiene un modem USB ADSL en mono puesto que, a todos los efectos, es equivalente a un modem normal con conexión directa.

            • Cerrado

              [Editado 23/04/03 13:20]

              me refería en el cliente, para ir descartando cosas. Has…

              me refería en el cliente, para ir descartando cosas.

              Has probado si un equipo desde dentro de la lan conecta?
              El servidor tiene algún firewall activo?

              Que firmware tiene el router? donde se supone que esta el servidor de vpns?

              • Cerrado

                BocaDePez BocaDePez
                6
                >Has probado si un equipo desde dentro de la lan conecta?…

                >Has probado si un equipo desde dentro de la lan conecta?

                Ehmmm... esta pregunta sí que no la entiendo. ¿Te refieres a ver si un equipo de dentro de la LAN se conecta a la red privada virtual? Pues no sé, no se me había ocurrido probar esto, porque al fin y al cabo, la VPN sirve para que un equipo entre dentro de una LAN, pero ¿por qué lo voy a probar con un equipo que YA está en la LAN? Qué raro, pero bueno, en teoría, debería funcionar, ¿no? En ese caso el equipo adquiriría doble identidad en la LAN, ¿cierto? Pues luego lo pruebo y te digo.

                >El servidor tiene algún firewall activo?

                No.

                >Que firmware tiene el router?

                El 1.1.9, ya lo dije en mi primer mensaje ;)

                >donde se supone que esta el servidor de vpns?

                El servidor de VPNS es la máquina que tiene Windows 2000 Server, como ya he comentado, con dirección IP privada 192.168.0.69 . Y está conectada a un puerto del router directamente. Tiene como gateway la dirección IP del router, evidentemente.

                • Cerrado

                  si, me refiero a eso, prueba desde un pc de tu lan, comprueba…

                  si, me refiero a eso, prueba desde un pc de tu lan, comprueba que tu servidor de vpns funciona correctamente.

                  el firmware prueba a actualizarlo a lo poco poco, yo con versiones que no son 2.0 o 2.1 no lo he probao, así q no te se decir.

                  • Cerrado

                    BocaDePez BocaDePez
                    6
                    Hola otra vez. Ya he probado lo que me dijsite de intentar…

                    Hola otra vez. Ya he probado lo que me dijsite de intentar conectar a la VPN desde un ordenador que esté en la propia LAN y funciona perfectamente, consigo hacer ping a la nueva IP que adquiere el ordenador y tal. Luego entonces parece ser que no es problema el servidor VPN. Tiene pinta de que será problema, o bien de mi router (por la versión del firmware o por que no he redireccionado bien los puertos), o bien por problema procedente del ordenador cliente con módem ADSL USB desde el que lo he probado.

                    No he actualizado el firmware de mi router a la 2.1.2 porque me da un poco de miedo. Sé que a la mayoría de la gente le funciona perfectamente, pero al no ser un firmware *oficial* no me da buena espina. Sé que se podría volver a la versión anterior, pero eso sólo si después de poner el firmware 2.1.2 el router sigue respondiendo a la configuración telnet y/o http. ¿Qué pasa si cargo el nuevo firmware y el router deja de funcionar y no puedo ni siquiera volver a cargar el antiguo firmware?

                    Bueno, como hasta ahora, esperaré impaciente tu respuesta. Muchas gracias por contestar hasta ahora, J. Dalton.

                    • Cerrado

                      Pues te puedo asegurar que he actualizado firmware y firmware…

                      Pues te puedo asegurar que he actualizado firmware y firmware a los routers en infinidad de ocasiones y nunca me he encontrado con ninguno el problema de que se me quedara tostado en la actualización.

                      Si tienes el cable de consola y la actualización no ha sido correcta, siempre puedes actualizarlo por el cable serie, con una aplicación que incluye el mismo firmware cuando te lo bajas.

                      Ahora bien, el firmware 2.1 tiene sus bugs, como el 2.0 y el 1.9 y el 1.7, ninguno es perfecto, ya es a cuestión de gustos y uso, lo que si es a partir del 2.0 viene con soporte para vpn y encriptación de datos (los anteriores ni se menciona), también incorpora algún tipo más de ppp. La versión 2.0 es oficial, aunque para los routers que incluyen US en el p/n, aunque a la hora de la verdad, funciona en el resto (los TEL que son la mayoría que hay por ahí pululando).

                      Los marrones que te puedes encontrar son, que el firmware tenga algun bug, por ej. la 2.1. los access list, la 2.0 no poder cambiar la pass de consola, etc... pero el funcionamiento es estable.

                      Espero que te sea de ayuda.

                      • Cerrado

                        BocaDePez BocaDePez
                        6
                        Hola otra vez. Te cuento, aún no he podido hacer la prueba de…

                        Hola otra vez.
                        Te cuento, aún no he podido hacer la prueba de la conexión directa en el cliente, y tampoco la de cambiar el puerto UDP por el TCP.

                        A pesar de lo que me cuentas sobre el firmware, me sigue dando mucho reparo, porque no tengo el cable de consola (porque este router me lo trajo un día un técnico de telefónica para sustituir uno que teníamos bastante antiguo, y lo trajo sin manuales, sin software, y sin nada; ni siquiera tiene la pegatina del frontal del router). ¡En serio! No es que no tenga cojones ;-) es que como se quede tostado el router, dejo a la oficina sin internet, y... a saber cuándo se arreglaría el problema... Vamos, que me puede caer una gorda.

                        De todas formas, sigamos discutiendo sobre el tema. ¿Tú crees que cambiando el firmware del router funcionaría? Es decir, ¿tú crees que la raíz del problema está en el firmware del router. Yo no estaría tan seguro. Por las cosas que llevo leidas hasta ahora, que yo sepa, la función VPN de la versión 2.1.2 del firmware radica sólo en la parte cliente de la cuestión. O sea, que es útil para conectarse a otras VPN's, pero no para ofrecer una VPN. Yo creo que, si ofrezco los puertos correctos, ¿no debería funcionar? Otra cosa que tengo que probar (me acaba de surgir la idea) es configurar el router para que la máquina por defecto sea la del servidor Windows 2000 que ofrece la VPN, para ponerlo en zona desmilitarizada. Lo mismo así funciona, ¿no?

                        Bueno, a medida que vaya haciendo más pruebas, iré poniendo comentarios sobre los resultados.

                        • Cerrado

                          ponerlo en el default workstation? es simple, y por probarlo…

                          ponerlo en el default workstation? es simple, y por probarlo no pierdes nada. Pero ojo, ten en cuenta que eso abre todos y cada uno de los puertos.

                          Lo del cable de consola, si no recuerdo mal te vale cualquiera que sea db9 a db9 (el de un módem mismo) si tienes alguno tb lo puedes probar enchufandolo en el puerto serie, y abriendo el hyperterminal a ver si conecta.

                          Lo del firmware? ten en cuenta que a partir de la versión 2.0 es la que incorpora cifrado además de incorporar cliente para vpn con pptp y l2tp, eso si que lo podría probar pero ando pillaete de tiempo como para montar toda la parafernalia y ver si funciona con una 1.9. Aunque si te funciona el default workstation (lo cual querría decir que alguno de los puertos no estaría correctamente redireccionado a tu máquina) no te haría falta actualizar firmware (aunque yo creo que será necesario).

                          Un saludo.

        • Cerrado

          Yo suelo usar vpns, pero normalmente no uso este…

          Yo suelo usar vpns, pero normalmente no uso este procedimiento, te puedo asegurar que yo lo he probado personalmente y los puertos que usé fueron el de pptp y el de gre, pero solo redireccioné tcp (no udp) y funciona sin problemas.
          Haz el cambio que te he dicho y me cuentas. :)