Cargando

Ir a contenido

X

Configurar diferente puerta de enlace para permitir conexiones entrantes





10 Respuestas de expertos

  AUTOR PREGUNTA

Publicado 05 abril 2016 - 20:15

ojala alguien pueda ayudarme con esto:

 

Tengo configuradas dos VPN, una la realizo Telmex y la otra la Realize yo, el punto es que a mi servidor se conectan usuarios por medio de escritorio remoto a traves de la vpn q configuro telmex, esta conexion entra por la tarjeta de red 1 del servidor la cual esta configurada de la siguiente manera:

 

router1

ip 192.168.20.47

mascara 255.255.255.0

gateway 192.168.20.1

dns1 200.33.146.209

dns2 200.33.146.217

 

yo tengo conectado en la tarjeta de red 2 el router con la vpn que yo configure de la siguiente manera

 

router2

ip 192.168.10.75

mascara 255.255.255.0

gateway 192.168.10.1

dns1 200.33.146.209

dns2 200.33.146.217

 

tengo 12 puntas en las cuales telmex tiene 12 equipos configurados y apuntando al router 1 trabajan sin problema

 

de la misma manera yo tengo 12 routers apuntando al router 2, si este router2 lo conecto a un equipo que no tenga nada q ver con el router 1 la vpn me funciona correctamente, pero cuando quiero conectar mi servidor a las dos puertas de enlace diferentes los equipos conectados en las puntas del router 2 no pueden ver al servidor pero los equipos conectados en el router 1 si lo pueden ver .

 

lo que yo quiero es tener las dos tarjetas de red conectadas cada una a su puerta de enlace predeterminada y que me acepte conexiones tanto del router1 como de rputer2, o la manera de decirle al servidor como dividir el trafico o aceptar el trafico de red q corresponda a cada puerta de enlace


  • 5 personas más tuvieron esta duda Yo también
  • Volver arriba


 

Publicado 06 abril 2016 - 10:47

Para el Router 2 que es donde tienes el fallo.. veo que está bien jerarquizado los datos de la tarjeta de red 2. El tema es que asignas la subred de clase C 192.168.10.1-254 en la tarjeta de red 2 del servidor y esta tarjeta de red va al router 2 y del router 2 imagino a un switch donde van conectados los equipos.

 

La pregunta es, el fallo en los equipos es que no puedes ver datos del servidor local? o es que no puedes navegar por internet.



 

Publicado 06 abril 2016 - 10:51

Pon los datos de red (ip, dns, gateway etc.) de la tarjeta de red del servidor, para comprobar que lo has puesto bien. Los datos de los router los veo correctos, con su diferente subred de clase C como comenta Lucas.



   AUTOR PREGUNTA

Publicado 06 abril 2016 - 14:09

en ambos routers, tengo salida a internet por ambas tarjetas de red, lo que no logro es hacer que el servidor tenga acceso a los equipos que hay en los extremos fuera de la red local teniendo las dos tarjetas de red conectadas si yo dejo solo una tarjeta de red conectada lo puedo hacer pero solo para los equipos conectados en ese  tunel vpn y no para ambos, no se si me este explicando, 

 

en si lo que quiero lograr es poder tener comunicacion entre los equipos de cada vpn, no hacer un todos contra todos sino poder acceder a los equipos de la vpn del roter 1 y router 2 por su respectiva tarjeta de red

Adjuntos:



 

Publicado 06 abril 2016 - 18:14

A ver si lo entiendo. Tu tienes un servidor, este servidor tiene 2 tarjetas de red que tienen estos datos:

 

Servidor

 

Tarjeta de red 1 del servidor: 192.168.20.47

Tarjeta de red 2 del servidor: 192.168.10.75

 

Routers

 

Router1: 192.168.20.1 (para la tarjeta de red1 del servidor)

 

Router2: 192.168.10.1 (para la tarjeta de red2 del servidor)

 

 

Ok, y como vemos tienes 2 subredes de clase C (Maximo 254 ip´s para asignar) y todo funciona Ok en cada zona. Es decir, que los equipos en ambos bandos tienen red entre ellos y salen por internet bien cada uno en su router asignado. El problema que tienes es que quieres acceder via VPN desde un lado al otro.

 

Imagino que tendrás que instalarle al servidor una VPN doble de cada zona y así podrás acceder vía VPN en algunas máquinas para poder acceder a cosas de la red opuesta sin tenerlos todos en la misma subred (que sería lo más fácil pero prefieres dividirlos).



 

Publicado 06 abril 2016 - 18:21

Es interesante este tema, así en plan rápido, creo que el problema está en la asignación del tunel VPN que has hecho en el servidor.

Tu desde el router habrás realizado una regla NAT para transferir los puertos VPN hacia la ip local del servidor. Tendrás que realizarlo desde ambos router, el tema es que al ir al mismo servidor si son el mismo puerto en ambos estás mandándolo doble para conexionarlos.

 

2 soluciones:

 

  1. Crear 2 Tunel VPN con diferentes puertos NAT entre los router.. (a ver si así tira en ambos y puedes verlos). Es decir cambiarle el puerto de VPN tanto en el NAT como en las opciones de túnel VPN en la lado que estás configurando.
  2. Crear una máquina virtual dentro del servidor para montar otro servidor VPN y así tendrá asignada la dirección ip local diferente y hacerle el NAT a esa MV para que haya 2 VPN independientes.

 

seguiremos pensando...

 

Por cierto, ¿que S.O tiene el servidor? Suerte con este problema y bienvenido a Solvetic!



   AUTOR PREGUNTA

Publicado 06 abril 2016 - 18:28

el SO es Windows Server 2012, ya hice el tunel y desde los equipos foraneos por asi llamarlos puedo acceder al servidor incluso doy ping a la ip local del servidor y tengo respuesta, pero si soy ping desde el servidor a uno de esos equipos no logro opteber respuesta y es que mi problema esta en que yo necesito tene conexion desde los equipos foraneos hacia el servidor lo cual ya eh logrado pero de igual manera necesito tener acceso desde el servidor hacia los equipos lo cual no puedo...



 

Publicado 06 abril 2016 - 18:56

Yo de IP´s las veo bien aplicadas. Como dice César yo he visto hacerlo para dividirlas y tenerlas independientes aunque sea en algunas MV, pero... si lo que quieres es que se vean desde el Servidor principal, tendrás que realizar estos comandos:

 

Entra en MODO ADMINISTRADOR a la ventana de comandos cmd y escribe:

router print

Con ese comando podrás ver todas las redes a las que ha tenido acceso ese PC desde que encendiste.

 

 

 

route.jpg

 

 

 

Con este otro comando podrás eliminar todas las redes que se tuvo acceso, para poder hacerlo correctamente desde el principio sin lios, pero no lo hagas todavía si no sabes usar este comando:

route delete *

Saldrá correcto.

 

 

Ahora tendrás que configurar todas las redes a las que querrás tener acceso.

 

Te dejo pegadas la info de este comando:

 

route


Manipula tablas de enrutamiento de red.


ROUTE [-f] [-p] [-4|-6] comando [destino] [MASK máscara_red] [puerta_enlace]
[METRIC métrica] [IF interfaz]


-f Borra las tablas de enrutamiento de todas las entradas
 de puerta de enlace. Si se usa junto con uno de los
 comandos, se borrarán las tablas antes de ejecutarse el
 comando.


-p Cuando se usa con el comando ADD, hace una ruta
 persistente en los arranques del sistema. De manera
 predeterminada, las rutas no se conservan cuando se
 reinicia el sistema. Se pasa por alto para todos los
 demás comandos, que siempre afectan a las rutas
 persistentes apropiadas.


-4 Forzar el uso de IPv4.


-6 Forzar el uso de IPv6.


comando  Alguno de los siguientes:
 PRINT Imprime una ruta
 ADD Agrega una ruta
 DELETE  Elimina una ruta
 CHANGE  Modifica una ruta existente
destino  Especifica el host.
MASK Especifica que el siguiente parámetro es el valor de
 'máscara_red'.
máscara_red  Especifica un valor de máscara de subred para esta
 entrada de ruta.
 Si no se especifica, se usa de forma predeterminada el
 valor 255.255.255.255.
puerta_enlace  Especifica la puerta de enlace.
interfaz El número de interfaz para la ruta especificada.
METRIC Especifica la métrica; por ejemplo, costo para el destino.


Todos los nombres simbólicos usados para el destino se consultan en el
archivo de base de datos de red, NETWORKS. Los nombres simbólicos para la
puerta de enlace se consultan en el archivo de base de datos de nombre de
host, HOSTS.


Si el comando es PRINT o DELETE, destino o puerta_enlace pueden ser un
carácter comodín, (se especifica como un asterisco '*') o se puede omitir
el argumento puerta_enlace.


Si destino contiene un carácter * o ?, se tratará como un modelo del shell
y solo se imprimirán las rutas de destino coincidentes. El carácter '*'
coincide con cualquier cadena y '?' coincide con cualquier carácter.
Ejemplos: 157.*.1, 157.*, 127.*, *224*.


La coincidencia de patrones solo se permite en el comando PRINT.
Notas de diagnóstico:
Si MASK no es válido se genera un error, como cuando (DEST & MASK) != DEST
Ejemplo> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1
 Error al agregar la ruta: El parámetro de máscara especificado
 no es válido. (Destino & Máscara) != Destino.


Ejemplos:


> route PRINT
> route PRINT -4
> route PRINT -6
> route PRINT 157*  .... solo imprime lo que coincida con 157*


> route ADD 157.0.0.0 MASK 255.0.0.0  157.55.80.1 METRIC 3 IF 2
 destino^  ^máscara ^puerta de  métrica^  ^
 enlace interfaz^


Si no se proporciona IF, intenta buscar la mejor interfaz para una
puerta de enlace específica.
> route ADD 3ffe::/32 3ffe::1


> route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2


CHANGE solo se usa para modificar la puerta de enlace o la métrica.


> route DELETE 157.0.0.0
> route DELETE 3ffe::/32

Un ejemplo puede ser, si en el adaptador de red 2 tiene la ip local 192.168.10.75/24, su puerta de enlace (gateway) es la dirección 192.168.10.1 y por esa IP de Gateway quieres alcanzar la red 192.168.20.0/24 tendrás que poner este comando:

route -p add 192.168.20.0 mask 255.255.255.0 192.168.10.75 METRIC 1


 

Publicado 06 abril 2016 - 19:00

Estaba escribiendo sobre el comando route jaja y veo genial respuesta de eso tuya Francisco (te he dado un punto positivo).

 

Esto ha solucionado tu pregunta Lsc Tomas. Una opción buena sería aplicándole con el comando route en el servidor principal las zonas que quieres tengan acceso.

 

Si te lo soluciona (que ya te digo que si) pulsale en el botón de "Solucionó mi Pregunta" a Francisco, que se ha trabajado mucho la respuesta. Y el ejemplo con los datos de tu caso.



   AUTOR PREGUNTA

Publicado 06 abril 2016 - 20:35

esta muy buena tu respuesta francisco, pero yo no necesito tener comunicacion entre ambas tarjetas de red sino entre los equipos de cada una de las vpn en especial del router dos..

 

por ejemplo si te fijas en el diagrama que puse yo necesito tener comunicacion entre el el servidor con direccion ip 192.168.10.75 y el router en otra ciudad con direccion ip 192.168.24.1, 

 

desde el router con direccion ip 192.168.24.1 si puedo alcanzar el servidor 192.168.10.75 pero en viceversa no, esto si lo logro si desconecto la tarjeta de red 1 pero con las dos tarjetas de red concetadas es lo qno puedo hacer 




X