Conexion VPN

[Morato]

Buenas, soy nuevo en esto de las VPN y me han planteado una cuestión interesante, tengo unas 4 conexiones habilitadas desde el servidor de VPN.

Tengo unos 10 PCs, que deberían poder usar la conexión VPN, a la cual se conecta mediante cisco anyconnect.

Necesitaría saber como hacer para conectar los 10 pcs a la vez a la VPN, si pudiera ser todo a una única conexión, es decir conectar todos los PCs a la VPN de cisco.

un ejemplo de lo que quiero hacer seria:

Red A: 192.168.0.1

La conexion a VPN se realiza a otro sitio 200.0.0.1, y de alli ya redirije a las 10.0.0.1 que tengo que usar


Quiero hacer que se enrute el trafico de A y lo pase por la VPN que tengo en un solo PC, de esta forma creo que se podría usar una conexión para los 10 PCs. Tras varios intentos no encuentro ninguna solución que me sirva, alguna sugerencia o idea nueva?


Gracias por la ayuda

 

[Armadval]

Parece que en tu cabeza lo tienes muy claro, pero lo he leido 5 veces y no entiendo que es lo que quieres hacer xD

Quieres que todas las redes accedan simultaneamente a la VPN? o que todas las redes se vean entre si o que es lo que quieres?

Entiendo que tienes 4 redes diferentes y 1 red principal donde está el servidor.

Es que lo que más me pierde es:

Red A: 192.168.0.1

La conexion a VPN se realiza a otro sitio 200.0.0.1, y de alli ya redirije a las 10.0.0.1 que tengo que usar

200.0.0.1 es...? y 10.0.0.1? por que sueltas 3 redes en 2 lineas y no entiendo nada.

Si la pregunta principal es si puedes montar una VPN entre 4 redes diferentes, si, puedes hacerlo, pero necesitas un nodo central, no puedes desde un mismo "tunel" enlazar 4 sitios diferentes, eso o creas un tunel directo para cada red pero es un cristo

 

[Morato]

Gracias por la respuesta.

Miraré de aclararlo, pero llevo varias semanas con esto y ya tengo la cabeza hecha un lío.

En la oficina tengo 2 redes, la cableada y la wifi (192.168.1.x y 192.168.2.x), estas se conectan mediante cisco anyconnect a un servidor VPN externo, del cual tenemos un acceso máximo de 4 usuarios, dentro de esta VPN hay varias direcciones las cuales se usan para cosas del cliente, por lo cual varias personas de la oficina necesitan acceso a la vez y no siempre hay alguna libre, ya que actualmente todos se conectan individualmente a la VPN y desde allí hacen lo que tengan que hacer.

Lo que quiero hacer o saber si se puede hacer( si se puede saber como) seria si con un único acceso podría conectar a toda la oficina en el servidor VPN.

Para ello puedo utilizar un ordenador con dos tarjetas de red y que cuando alguien de la oficina preguntara por algo que se encuentre en la VPN pues fuera a tráves de este ordenador que digo que siempre estaría conectado a la VPN.

Espero haber aclarado algo esto.

Gracias de antemano

 

[Armadval]

Vale, ahora te he entendido perfectamente

Entiendo que si, podrías utilizar un equipo para hacer de "puente" entre ambas redes y que ese equipo estuviese conectado a la VPN, sobre el papel deberia funcionar, pero en la practica lo que se hace es crear un tunel vpn con algun software/hardware para toda la red, no utilizar un equipo de puente.

La primera opcion que te voy a recomendar, que es la que menos quebraderos de cabeza te va a dar, es comprar un par de firewalls que tengan posibilidad de VPN para ambas oficinas y crear un tunel VPN entre ellas, de esa forma te quitas el anywhere de la oficina principal y lo dejas accesible para los clientes.

Ahora, lo que te voy a pasar no lo he puesto en práctica y ni siquiera sé si podria funcionar, aun que teoricamente sí:

Lo hice y lo entendi | Creando tuneles TCP/IP (port forwarding) con SSH: Los 8 escenarios posibles usando OpenSSH

Samba File Share Over SSH Tunnel * Simon Holywell

A ver, básicamente lo que podrías intentar con esto es crear un tunel en SSH entre ambos sites redirigiendo el protocolo SMB. Para ello necesitarias una máquina en la oficina donde no está el servidor para ser el "esclavo", y debería ser linux (o no necesariamente). Voy a crear una red ficticia:

IP externa servidor: 13.13.13.13
Puerto externo a usar: 9876
IP externa oficina: 56.56.56.56
Puerto externo a usar: 6789
IP servidor: 192.168.0.100
IP esclavo Linux: 192.168.1.250

Entonces, en los routers rediriges el tráfico al puerto SMB de ambas máquinas:
1º- En la IP 13.13.13.13, rediriges el 9876 al 192.168.0.100:139
2º- En la IP 56.56.56.56, rediriges el 6789 al 192.168.1.250:139

Entonces, básicamente, lo que haces es levantar un tunel SSH entre ambas oficinas (desconozco el comando exacto a utilizar, el artículo en español debería explicarte como poder hacerlo, pero yo ahora mismo no tengo más tiempo), concretamente entre el servidor y la maquina linux, por lo que si intentas acceder a los archivos de la máquina linux desde \\192.168.1.250 verás realmente los archivos del servidor.

Problema que acarrea esto: Seguridad

Hay miles de bots escaneando IPS ajenas y el protocolo SMB no es seguro, podrian joderte bien, o nunca pasar nada, por eso siempre es util utilizar puertos no conocidos para este tipo de servicios.

Mi recomendacion principal en cualquier caso son un par de firewalls, quizás sea algo caro, pero es lo más seguro, creo que hay unos modelos de cisco por 200€ que son suficientes para esa carga de trabajo. Desconozco si los hay más baratos. Sé configurarlos, pero no me encargo de comprarlos xD

 

[Morato]

Entiendo que si, podrías utilizar un equipo para hacer de "puente" entre ambas redes y que ese equipo estuviese conectado a la VPN

Exactamente es esto.

Tocar el servidor esta complicado ya que este se encuentra en otro país y no es propiedad de la empresa para la que soy becario. Por lo que la opción del firewall no me seria factible. Si de alguna manera, ya sea con algun hardware/software adicional se pudiera hacer se exploraría esa opción ya que esto daría más libertad a la empresa a la hora de trabajar. Si consigo conectar aunque sea una red ( la cableada mismo) de manera que consiga que mediante un enrutamiento o algo así tenga accesibilidad al contenido de la VPN sin necesidad de tener más de una conexión al uso, creo que podría ser factible, pero no estoy seguro de que pasos seguir para ello. Actualmente empleo un W10, aunque tengo la opción de usar el sistema que sea conveniente para poder realizar esto ( No estoy seguro de si este parrafo sirve de algo para entender algo más lo que quiero hacer)

De las otras dos opciones, lo único que no estoy seguro es lo del tunel tcp.

Samba lo descarto puesto que dentro de la VPN tengo unas IPs las cuales deben ser accesibles no solo para descargar archivos, por ejemplo hay un software de monitorización dentro que debe estar activo en el lugar donde esta

Si puede servir de algo te lo dejo escrito como me lo dejaron:

[FONT=&quot]Tenemos que probar la configuración de un servidor como punto de acceso a la VPN del cliente para poder compartir una única conexión entre toda la oficina.(Esto es lo que me proponen)

[/FONT]Gracias por las respuestas

Miré de aclararlo con un dibujo pero como dije antes tengo tal lío que no se bien como expresarlo[FONT=&quot]
[/FONT]

 

[Morato]

Actualizo, hoy haciendo unas pruebas.

Con el compartir conexión de windows desde el que quiero usar de puente( conectado a la VPN), desde un cliente (de pruebas dentro de la oficina) una raspberry me ha pasado de inaccesible a "Time to live excided", supongo que puedo tirar por allí si arreglara este problema, alguno sabría como?


Gracias por las respuestas pasadas y futuras

 

[Armadval]

Que conexion estas compartiendo? cualquier VPN por software debería crear un adaptador de red virtual que deberias poder ver desde las conexiones de red del equipo. Ese adaptador es el que tienes que compartir

Luego, tienes que ver que IP tiene el servidor a través del cisco anyconnect (algunas VPNs crean una red virtual con rangos diferentes a los rangos físicos reales), y por último crear una ruta estática para los equipos cliente.

Es decir, por ejemplo
El equipo puente es: 192.168.1.250
El servidor tiene de ip: 200.0.1.100

Entonces en una máquina windows debes lanzar este comando desde una consola elevada:

ROUTE ADD 200.0.1.100 MASK 255.255.255.255 192.168.1.250

Si quisieras agregar toda la subred de la VPN, sería:

ROUTE ADD 200.0.1.0 MASK 255.255.255.0 192.168.1.250

Y... con eso debería funcionar... Teoricamente

Desde linux desconozco el comando para agregar una ruta de red de este estilo, tendrias que buscarlo

 

[Morato]

Gracias por la respuesta, cada vez lo veo mas cercano.

Quiero compartir la conexión de cisco que efectivamente me crea un adaptador de red virtual, en las propiedades de este le doy a uso compartido y lo junto con una de red, la cableada ( la wi-fi es la que uso yo para conectar a los otros equipos de la oficina( para tener una IP interna) ) Pongamos que esta es 192.168.100.23

El servidor tiene 2 IPs, a la que me conecto con las credenciales, 202.34.255.23 y una vez estoy dentro me asigna una ip tipo (192.168.108.88) al hacer las rutas aun no consigo que se vean en el cliente, estoy en windows por lo que el comando de linux no me es necesario en ningun pc de momento.

Es decir al probar lo que me dijiste se siguen viendo los pcs de la red interna mediante ping pero desde otro pc si intento hacer el ping a la VPN del servidor aun no llega.


Pd: Como mascara de la subred me sale que es 255.255.254.0 no entiendo muy bien porque

Gracias por la paciencia también

 

[Armadval]

Olvidate de las IPs externas del servidor, entiendo que la 202.x.x.x es la IP externa del proveedor.

A partir de aqui, te recomiendo que no pongas IPs reales en un foro público, por seguridad y privacidad, asi que sería buena idea que editases el mensaje borrando esa IP

La pregunta esencial es:

Tu, desde tu oficina donde estás actualmente, si quieres hacer un ping al servidor, a que IP haces ping?

Esa es la IP que debes añadir en el route add

En cualquier caso, acabo de hacer una prueba en mi equipo y puedo asegurarte que SI se puede hacer

Tengo una máquina virtual en mi equipo. He compartido la conexion de red que crea la VPN con la máquina virtual y he puesto la máquina virtual en "host only", para que no vea nada más alla de mi propio host

He configurado la red tal que asi:

Maestro: 192.168.137.1
VM: 192.168.137.2

A la VM no he podido añadirle una ruta estática con el ROUTE ADD por un error en el cual no he podido indagar, así que a las bravas le he puesto como puerta de enlace el equipo host (192.168.137.1)

He probado a hacer ping a una IP que está en mi VPN y ha hecho ping

Sin quitar absolutamente ninguna configuración en la máquina virtual, he dejado de compartir la conexion de red de la VPN en el adaptador, y la máquina virtual ha dejado de hacer ping

Asi que... sí, se puede redirigir el tráfico por la VPN de una red local a través del equipo que está conectado en la VPN, pero no he podido hacer una prueba de verdad con una máquina de verdad por que no puedo deshabilitar uno de los firewalls que tengo en mi equipo actualmente, así que te toca indagar, pero andas cerca de la solución.

 

[Morato]

En todo momento me las estoy inventando, no son las reales, jajaja.

Yo desde la oficina me conecto mediante el cisco y me da una IP que no esta en ningun rango por lo que unicamente puedo hacer ping en el mismo equipo que quiero poner de puente.

Actualmente tengo una estructura como esta:

Pc_Pruebas: 192.168.1.1

Pc_Puente: 192.168.1.2, con este me conecto a la VPN 202.243.12.53(por ejemplo) y una vez meto mi usuario y contraseña me asigna una ip al adaptador de 192.168.7.2, y aqui dentro esta a lo que quiero acceder desde pruebas ( IPs tipo 10.x.x.x)


Que error te ha saltado? Porque los que me suele pasar es de host inaccesible o que el tiempo de espera es demasiado.

Haciendo ping con la VPN conectada desde Pc_Prueba a Pc_Puente si da resultado mientras que si quiero hacer un ping a algo dentro de la VPN 10.255.255.250(por poner algo) pues me sale que el tiempo de respuesta es muy largo.

Tambien desde Pc_Puente a Pc_prueba puedo hacer ping normal, sin importar que este conectada o desconectada la VPN. Lo de que una mascara sea 255.255.254.0 podría ser un problema pero no encuentro nada.

Gracias de nuevo, y si cada vez veo mas conclusiones de que es un follón y bastante complicado para alguien con mis conocimientos :nusenuse:

 

[Armadval]

El error que me daba es que no habia acceso a la red para poder crear la ruta, lo cual es lógico ya que estaba en host only.

Prueba a poner como puerta de enlace en tu pc de pruebas la ip de tu pc puente, solo para probar, e intenta que funcione usandolo como puerta de enlace. Una vez lo consigas, habria que ver como añadir la ruta con el ROUTE ADD

De verdad, no me ha hecho falta hacer nada más, a lo mejor el route add no funciona, pero poniendolo como puerta de enlace sí

Y no te preocupes por los conocimientos, estas cosas las aprendes con el tiempo y con estas cosas, yo he sido becario durante año y medio en una gran empresa y llevo 3 años trabajando como tecnico de sistemas en otra, y todo lo que se ha sido por el dia a dia, preocuparse, buscar y probar, estas cosas no te las enseñan en ningun lado y no te creas que he recibido formacion o mucha ayuda por parte de compañeros.

 

[Morato]

El route add no me funciona de ninguna manera, y sigo sin poder conectarlo aun poniéndolo como puerta de enlace, tanto desde el adaptador como por route add(aunque no me sirve para nada), no se como hacer para que se conecten, tu como haces para ponerlo como puerta de enlace? desde el adaptador? o por un route add 0.0.0.0 mask 0.0.0.0 192.168.1.1.

 

[Armadval]

No no, desde el adaptador, uso la misma ip que me da el dhcp y le pongo de puerta de enlace el equipo puente.

Dudo que ese route add 0.0.0.0 funcione, sería totalmente absurdo xD

A lo mejor con los de cisco no funciona, mi vpn es fortigate y ha funcionado correctamente

 

[Morato]

Vale, asi es como lo tenia.

Ahora puedo hacer ping al pc que uso de puente, aun teniendo la VPN conectada, pero no puedo acceder(mediante navegador o ping) a lo que hay dentro de ella.

Es decir ping puente Si, pero ping 10.223.212.111 (IP inventada que se encuentra en la VPN y es una consola de monitorización)me sale connection time out, y por ping no me llega a ninguna parte. Este es el mayor problema que he tenido ahora, ya se ven entre si los dos pero no me llega hasta donde quiero.

Tendría que poner tambien la IP que me asigna en la VPN(la 192.168.7.x) y las que estan dentro de la VPN (10.223.123.x) ?

 

[Armadval]

Vale, a lo mejor con tanto route add hemos hecho el lío en el equipo

Intenta reestablecer todas las rutas que hayas podido crear. Para ello, escribe:

 ROUTE PRINT

Ahí verás las rutas que hay creadas. Ten cuidado por qué hay algunas que son creadas por defecto en windows, deberías identificar sin demasiado problema las tuyas

Luego para borrarlas, lo que haces es:

ROUTE DELETE (dirección IP)

 

[Morato]

Me estoy familiarizando bastante con esos comandos, voy a probar poniendo la interfaz de red tambien dentro del comando route, para que no coja otra por defecto, a ver si de esta manera me hace algo, al no crearlas persistentes cada vez que conecto y desconecto la vpn del puente se quitan todas, lo mismo pasa en el de prueba cada vez que reinicio, cuando me funcione algo ya les pondre la opción "-p" para que se queden aun reiniciando el equipo.


Resumiendo, sigo como antes aun sin tener ninguna ruta mas que la puerta de enlace, en la maquina de prueba le he puesto la del puente y ya esta

PD: No era lo de la interfaz, por lo que sigo igual

 

[Armadval]

Pfff, ya te digo que a lo mejor es pura limitación del Cisco, quizás no puedas usar de ninguna forma esa interfaz como puente entre una red sin vpn...

Es que en la teoría el ordenador se transforma en un router cuando aplicas eso, básicamente hace que todo lo que le entra por la interfaz X salga por la interfaz Y, y lo único que tienen que hacer los equipos clientes es saber que si quieren salir a internet tienen que pasar inicialmente por la IP de la máquina de puente

Haz una prueba más sencilla:

Olvídate de enrutar la VPN, si el equipo que tienes de puente tiene red cableada y wifi, comparte la wifi por la red cableada y a algún dispositivo que esté en la wifi ponle como puerta de enlace el equipo puente. Eso, por cojones, debería funcionar

 

[Morato]

Sigue sin ir, debe ser por limitaciones de cisco, supongo, hoy he hecho otra prueba creando una conexión de VPN del de prueba al puente, una vez realizada correctamente la conexión( firewall y todo lo de seguridad necesario para hacerla incluido) resulta que cuando conecto primero a la VPN del de prueba, no me deja acceder por fallo en la gateway, de seguridad a la de cisco, y si la activo despues de conectarme a la VPN (de cisco) pues no me deja activar la VPN del pc de prueba.

Gracias por las respuestas y si se te ocurre alguna prueba más que pudiera realizar, porque lo veo negro la verdad.


PD: lo de tu último post lo que hice fue teniendo los 2 wifis activados ( la red es por la que se comunican y se ven en todo momento) pues puse en el de prueba la gateway del puente, se seguían viendo pero sin acceso a internet ni nada de lo que hubiera dentro cuando tenia activa la VPN de cisco, si no voy mal eso es lo que me querias decir

 

[Armadval]

Emm, no, creo que no me sigues como deberias xD

Tienes el pc de puente con 2 interfaces con salida a internet:

interfaz 1: 192.168.1.40
interfaz 2: 192.168.1.41

Si desconectas la 1, tienes internet, si desconectas la 2 y conectas la 1, deberias seguir teniendo internet.

Ahora, coge la interfaz 1, y en las propiedades del adaptador configurala para que comparta internet con la interfaz 2

Coge el equipo de pruebas, y ponle de puerta de enlace la interfaz 2: 192.168.1.41

Debería navegar por internet, intenta hacer ping a alguna ip externa o entrar en google. Olvidate de la VPN por ahora

 

[Morato]

Ahora miro de asignar IP al cable, aunque me saldra de otra red, aquí tenemos la cableada como 192.168.2.23(Por ejemplo) mientras que el wifi seria 192.168.1.12.

Por el resto si que funciona como dijiste, voy a mirar y actualizo cuando lo tenga

Prueba realizada, efectivamente me deja navegar desde prueba, pero esto no soluciona mi problema inicial que es de quere conectarme a la VPN desde prueba