ADSL

VPN SecureClient de CheckPoint - Commtrend

curiososn 22 junio 2006 17:33

⋮

Muy buenas,

Me tengo que conectar al trabajo mediante este cliente de VPN y no he sido capaz de hacerlo.

Alguien lo ha probado?. Es necesario abrir algun puerto en el router.

Gracias,

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

Luke 22 junio 2006 18:30

⋮

Prueba a abrir en virtual servers el servicio PPTP a la ip del pc.. esto añade unas reglas (esta:

Jun 12 16:58:07 router.lucal syslog: iptables -t nat -A PREROUTING -i ppp_8_35_1 -p 47 -j DNAT --to 192.168.x.x
Jun 12 16:58:07 router.lucal syslog: iptables -I FORWARD 1 -i ppp_8_35_1 -p 47 -d 192.168.x.x -j ACCEPT

)

que corrige el protocolo 47 para esa IP (hace nat correctamente)

✖

curiososn 22 junio 2006 18:39

⋮

Nada Luke, He abierto el PPTP que comentas y el IPSEC (500 UDP) y no hay forma de conectar.

Alguna idea más?

Gracias,

xavisuper 22 junio 2006 18:56

⋮

Hace unos años que lo probé. Era a través de una red GPRS, en la que había NAT de por medio. Ceo recordar que había que activar una función de NAT Transversal o transparente, o algo así se llamaba, tanto en el cliente como en el servidor.

Esto era así porque el IPSec se lleva mal con el NAT (alguna configuración muy específica de sin AH no tiene ese problema, creo recordar), y este invento del NAT transversal (que por cierto está en los estándares) lo soluciona estableciendo un nuevo nivel de encapsulado de IPSec en UDP.

✖

curiososn 22 junio 2006 18:59

⋮

Efectivamente tengo marcada la opción de Force UDP encapsulation. Pero na de na...

Me estoy volviendo loco.....no debe ser muy difícil...

✖

Luke 22 junio 2006 19:05

⋮

Y si no la marcas?

✖

curiososn 22 junio 2006 19:06 ✎

⋮

;-) Ummmm, creo que llego a ese tipo de pruebas....

✖

Luke 22 junio 2006 19:08

⋮

kirben 22 junio 2006 19:26

⋮

Yo uso ese cliente y tengo el Comtrend (Jazz 20Mb). Sin problemas, no tuve que hacer nada especial.

Comprueba la IP del servidor remoto.

✖

curiososn 22 junio 2006 19:30

⋮

Es el que te aparece un icono de una llave sobre un sobre??

Marcaste la casilla de Force UDP encapsulation en la parte cliente???

Gracias,

✖

kirben 22 junio 2006 20:29

⋮

No, aunque eso ya depende del profile que tengas configurado. O sea, de como hayan montado la VPN los de sistemas/tecnología de tu empresa...

Imagen original en http://img353.imageshack.us/img353/3840/secureclient4zq.gif

✖

curiososn 22 junio 2006 20:35

⋮

kirben, es exactamente el mismo que tengo yo, pero no hay forma.

A la IP a la que se intenta conectar no me responde ni a los ping ni a los tracert. Me imagino que tendrán capado el protocolo ICMP.

Mañana preguntaré a ver que me dicen.

kirben, por cierto me dices que tienes el comtrend luego lo tienes en multipuesto y no has tenido que habilitar ningún tráfico.

Yo me instalé la versión A101-221CTL-C02_R02.A2pB018c1.d16e del firm del comtrend que incluía opciones de firewall.

Tendrá algo que ver?

✖

kirben 22 junio 2006 20:51

⋮

✖

Luke 22 junio 2006 21:09

⋮

✖

xavisuper 23 junio 2006 08:36

⋮

BocaDePez 22 junio 2006 20:06

⋮

segun leido en (link roto)

"En los PCs dicho cliente de VPN funciona de manera que tu configuras la IP de tu servidor VPN se conecta a la VPN se baja tu perfil y crea un SITE, después de esto pulsas sobre un botón "CONNECT" y se conecta con el SITE que se había creado antes."

leido en: adslspain.com/power/phpBB2/viewtopic.php…4aeb1c0caeef

"En modo monopuesto no tengo ningún problema en usar Check Point VPN-1 SecureClient con el 3Com812 para trabajar con la red de la oficina. El problema es que no lo puedo usar en modo multipuesto porque no me autentifica la IP de origen, ya que en multipuesto la pública la tiene el router y en mi portatil pongo una privada. "

BocaDePez 23 junio 2006 20:35

⋮

Hola a todos. Es mucho más facil que todo eso. El Check Point utiliza cantidad de puertos y alguno de ellos incluso varia en cada sesión. Lo que tienes que hacer es entrar en la configuración del Comtrend, en Advanced Setup/NAT/DMZ Host y poner la IP del PC que quieres utilizar con el Check Point. Lo que estás haciendo con esto es redirigir todas las peticiones de puertos que no están mapeados en Virtual Servers o Port Triggering al DMZ Host. Por supuesto, asegurate que tu antivirus no capa nada, no tienes firewall, etc. Por otra parte, esto es un poco peligroso, ya que como te digo, tienes todos los puertos abiertos en el DMZ Host. Espero que te sirva.

BocaDePez 4 julio 2006 13:12

⋮

El problema es que la VPN de Checkpoint usa un protocolo IP llamado ESP. Es decir, es IP, pero no es TCP ni UDP, por lo tanto no se puede solucinar abriendo puertos, porque sólo puedes abrir puertos TCP o UDP.

La única forma de solucionarlo es abrirlo todo, poniendo la dirección IP de tu PC en el "DMZ host", de esta forma se redirige todo (incluyendo el protocolo ESP) al PC y funciona.

Abrir todo al PC es peligroso, porque el router no filtra nada, pero no es más peligroso que tener un modem ADSL en vez de un router: sólo tienes que proteger bien el PC (o ponerte Linux como yo y olvidarte de virus, troyanos y demás leches).

Otra solución es comprar un router bueno y no la :-( de Comtrend.

✖

Luke 4 julio 2006 14:19 ✎

⋮

edito: simplemente que pruebe el 302jaz....

✖

ASPC 4 julio 2006 22:25 ✎

⋮

aggghh!!! has quitado el enlace!!!! xDDD

curiososn 5 julio 2006 10:10

⋮

Ummmm cuando dices que prueba con el 302jaz es por el añadido de seguridad que implementa el firm que tengo ahora?

P.D. Empiezo a estar desesperado...

✖

Luke 5 julio 2006 11:06

⋮

no creo que tenga añadidos de seguridad, simplemente el modulo helper que lleva funciona y en la 221ctl pues no... o algo así. Siempre puedes volver atrás habiendo guardado la configuracion en un .conf.

(link roto)

La configuracion se pierde/no es compatible con la actualizacion, asi que guarda el .conf antes de actualizar, pero no lo uses con el firm nuevo.

curiososn 5 julio 2006 10:11

⋮

He probado a poner la IP interna del portatil en el DMZ Host del router y naranjas de la china.

Y en curro dicen que todo está bien configurado...

✖

Gusarapo2 12 septiembre 2006 19:01 ✎

⋮

Hola!!!

Bueno... creo que ya llego un poco tarde para responder...
Yo, lo que haría sería hablar con los administradores del concentrador VPN al que intentas conectarte a ver que te dicen sobre la configuración que debes poner en tu cliente. Puede que se haga NAT Transversal (IKE encapsulado en UDP) o puede que no. Lo normal sería que sí pues es la única forma de facilitarle la vida a los usuarios que tienen módems-routers ADSL.
Si se usa encapsulación UDP (que es lo más logico) en el router no hay que hacer nada de nada. Ni hacer NAT, ni DMZs ni cosas de esas ¿realmente alguien en su casa debe usar una DMZ?
Donde sí puede que tengas que configurar cosas es en tu PC en caso de que tengas firewall y demás. En ese caso probablemente debas abrir algunos puertos (en tu PC digo) que también deben indicarte los administradores de la máquina que hace de concentrador VPN. Típicamente pueden ser 4500 UDP, 50 IP, etc. Lo de 50 IP para los firewalls cutres de PC de sobremesa creo que no se puede habilitar, supongo que se lo tragan y listo.

Resumindo, si no te funciona tu cliente VPN consulta a los administradores del concentrador. Una vez que estés seguro de que tienes correctamente configurado el cliente como ellos te indican observa si tienes algún firewall instalado. Del router no toques nada de nada si se hace encapsulación UDP. Si no, los administradores deben indicarte que puertos debes abrir (pero esto es realmente poco elegante así que como digo supongo que se hará mediante encapsulación)

✖

Ari 12 septiembre 2006 20:50

⋮

Pues sí : es un poco tarde. Este post es del mes de Junio y no deben levantarse post de más de un mes, mes y medio máximo.
De todas formas, gracias por tu aportación que servirá a otros usuarios :)

Un saludo y cierro