Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
715 lecturas y 24 respuestas
  • Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      El problema es que la VPN de Checkpoint usa un protocolo IP…

      El problema es que la VPN de Checkpoint usa un protocolo IP llamado ESP. Es decir, es IP, pero no es TCP ni UDP, por lo tanto no se puede solucinar abriendo puertos, porque sólo puedes abrir puertos TCP o UDP.

      La única forma de solucionarlo es abrirlo todo, poniendo la dirección IP de tu PC en el "DMZ host", de esta forma se redirige todo (incluyendo el protocolo ESP) al PC y funciona.

      Abrir todo al PC es peligroso, porque el router no filtra nada, pero no es más peligroso que tener un modem ADSL en vez de un router: sólo tienes que proteger bien el PC (o ponerte Linux como yo y olvidarte de virus, troyanos y demás leches).

      Otra solución es comprar un router bueno y no la :-( de Comtrend.

        • Cerrado

          [Editado 12/09/06 19:10]

          Hola!!! Bueno... creo que ya llego un poco tarde para…

          Hola!!!

          Bueno... creo que ya llego un poco tarde para responder...
          Yo, lo que haría sería hablar con los administradores del concentrador VPN al que intentas conectarte a ver que te dicen sobre la configuración que debes poner en tu cliente. Puede que se haga NAT Transversal (IKE encapsulado en UDP) o puede que no. Lo normal sería que sí pues es la única forma de facilitarle la vida a los usuarios que tienen módems-routers ADSL.
          Si se usa encapsulación UDP (que es lo más logico) en el router no hay que hacer nada de nada. Ni hacer NAT, ni DMZs ni cosas de esas ¿realmente alguien en su casa debe usar una DMZ?
          Donde sí puede que tengas que configurar cosas es en tu PC en caso de que tengas firewall y demás. En ese caso probablemente debas abrir algunos puertos (en tu PC digo) que también deben indicarte los administradores de la máquina que hace de concentrador VPN. Típicamente pueden ser 4500 UDP, 50 IP, etc. Lo de 50 IP para los firewalls cutres de PC de sobremesa creo que no se puede habilitar, supongo que se lo tragan y listo.

          Resumindo, si no te funciona tu cliente VPN consulta a los administradores del concentrador. Una vez que estés seguro de que tienes correctamente configurado el cliente como ellos te indican observa si tienes algún firewall instalado. Del router no toques nada de nada si se hace encapsulación UDP. Si no, los administradores deben indicarte que puertos debes abrir (pero esto es realmente poco elegante así que como digo supongo que se hará mediante encapsulación)

          • Cerrado

            6
            Pues sí : es un poco tarde. Este post es del mes de Junio y…

            Pues sí : es un poco tarde. Este post es del mes de Junio y no deben levantarse post de más de un mes, mes y medio máximo.
            De todas formas, gracias por tu aportación que servirá a otros usuarios :)

            Un saludo y cierro

          • Cerrado

            6
            no creo que tenga añadidos de seguridad, simplemente el…

            no creo que tenga añadidos de seguridad, simplemente el modulo helper que lleva funciona y en la 221ctl pues no... o algo así. Siempre puedes volver atrás habiendo guardado la configuracion en un .conf.

            http://www.comtrend.com/DownLoads/software/CT-536B-A101-302JAZ-C01_R05.bin

            La configuracion se pierde/no es compatible con la actualizacion, asi que guarda el .conf antes de actualizar, pero no lo uses con el firm nuevo.

    • Cerrado

      BocaDePez BocaDePez
      6

      Hola a todos. Es mucho más facil que todo eso. El Check Point…

      Hola a todos. Es mucho más facil que todo eso. El Check Point utiliza cantidad de puertos y alguno de ellos incluso varia en cada sesión. Lo que tienes que hacer es entrar en la configuración del Comtrend, en Advanced Setup/NAT/DMZ Host y poner la IP del PC que quieres utilizar con el Check Point. Lo que estás haciendo con esto es redirigir todas las peticiones de puertos que no están mapeados en Virtual Servers o Port Triggering al DMZ Host. Por supuesto, asegurate que tu antivirus no capa nada, no tienes firewall, etc. Por otra parte, esto es un poco peligroso, ya que como te digo, tienes todos los puertos abiertos en el DMZ Host. Espero que te sirva.

    • Cerrado

      BocaDePez BocaDePez
      6

      segun leido en…

      segun leido en http://foro.todopocketpc.com/showthread.php?t=7680

      "En los PCs dicho cliente de VPN funciona de manera que tu configuras la IP de tu servidor VPN se conecta a la VPN se baja tu perfil y crea un SITE, después de esto pulsas sobre un botón "CONNECT" y se conecta con el SITE que se había creado antes."

      leido en: http://www.adslspain.com/power/phpBB2/viewtopic.php?t=6200&sid=dd3e75b0e645ae00cbb94aeb1c0caeef

      "En modo monopuesto no tengo ningún problema en usar Check Point VPN-1 SecureClient con el 3Com812 para trabajar con la red de la oficina. El problema es que no lo puedo usar en modo multipuesto porque no me autentifica la IP de origen, ya que en multipuesto la pública la tiene el router y en mi portatil pongo una privada. "

          • Cerrado

            kirben, es exactamente el mismo que tengo yo, pero no hay…

            kirben, es exactamente el mismo que tengo yo, pero no hay forma.

            A la IP a la que se intenta conectar no me responde ni a los ping ni a los tracert. Me imagino que tendrán capado el protocolo ICMP.

            Mañana preguntaré a ver que me dicen.

            kirben, por cierto me dices que tienes el comtrend luego lo tienes en multipuesto y no has tenido que habilitar ningún tráfico.

            Yo me instalé la versión A101-221CTL-C02_R02.A2pB018c1.d16e del firm del comtrend que incluía opciones de firewall.

            Tendrá algo que ver?

            • Cerrado

              Yo tengo el firmware de Jazztel (302JAZ):…

              Yo tengo el firmware de Jazztel (302JAZ): A101-302JAZ-C01_R05.A2pB017l.d15h

              Pero entiendo que el tráfico de salida está habilitado para cualquier puerto y en una conexión VPN como la que hace mi profile sólo necesitas conectarte hacia, no que se conecten a ti.

              • Cerrado

                6
                si pero una vpn es un poco especial, ya que la direccion ip…

                si pero una vpn es un poco especial, ya que la direccion ip del cliente va dentro del paquete además de en la cabecera del paquete IP, por lo tanto si no se cambian las dos no funcionará. Es la misma razón por la que mucho tiempo no funcionaron los envios de archivos en el messenger usando el puerto 6891. Los routers actuales en principio cambian las dos bien, pero vete a saber por qué no va en un caso específico.

                • Cerrado

                  Ese es el motivo de que se haya inventado la encapsulación…

                  Ese es el motivo de que se haya inventado la encapsulación UDP para IPSec, para poder tirar VPN's a través de dispositivos que hacen NAT. De esa manera, sólo sufre NAT la cabaecera de la cápsula UDP, dejando el paquete IPSec original intacto.

    • Cerrado

      Hace unos años que lo probé. Era a través de una red GPRS, en…

      Hace unos años que lo probé. Era a través de una red GPRS, en la que había NAT de por medio. Ceo recordar que había que activar una función de NAT Transversal o transparente, o algo así se llamaba, tanto en el cliente como en el servidor.

      Esto era así porque el IPSec se lleva mal con el NAT (alguna configuración muy específica de sin AH no tiene ese problema, creo recordar), y este invento del NAT transversal (que por cierto está en los estándares) lo soluciona estableciendo un nuevo nivel de encapsulado de IPSec en UDP.

    • Cerrado

      6

      Prueba a abrir en virtual servers el servicio PPTP a la ip…

      Prueba a abrir en virtual servers el servicio PPTP a la ip del pc.. esto añade unas reglas (esta:

      Jun 12 16:58:07 router.lucal syslog: iptables -t nat -A PREROUTING -i ppp_8_35_1 -p 47 -j DNAT --to 192.168.x.x
      Jun 12 16:58:07 router.lucal syslog: iptables -I FORWARD 1 -i ppp_8_35_1 -p 47 -d 192.168.x.x -j ACCEPT

      )

      que corrige el protocolo 47 para esa IP (hace nat correctamente)

      • Cerrado

        Nada Luke, He abierto el PPTP que comentas y el IPSEC (500…

        Nada Luke, He abierto el PPTP que comentas y el IPSEC (500 UDP) y no hay forma de conectar.

        Alguna idea más?

        Gracias,