Foro

Yo probé el VDSL

26-01-2024

Resuelto

Fallo al abrir el puerto 1194 para OpenVpn

Al intentar abrir el puerto 1194 UDP, para usar el servicio OpenVPN, una vez ya está creado, aparece que está cerrado, y el servicio no funciona, el servidor VPN, es una Raspberry5, en la que el serv...

Theliel
29-01-2024
Buenas Recio_Xd

Me temo que estás bastante confundido en lo tocante a puertos, compañero. Y esto lo digo porque el escáner que realizas al Router no tiene absolutamente el menor sentido. Obviamente, si lo lanzas contra la IP del Router, saldrá cerrado... SIEMPRE VA A SALIR CERRADO.

Hablamos de "abrir" puertos en el Router como término, pero esto no tiene ningún sentido realmente, es un término coloquial. Realmente lo que se hace es una redirección de puertos, se añaden entradas para que el Router realice DNAT al tráfico que le llega al Router por un puerto concreto. Esto no "abre" ningún puerto en el Router. Los puertos que el Router tenga "abierto" (en uso), son todos aquellos en los que internamente tenga a la escucha algún servicio concreto, por ejemplo el puerto 80 para el servidor Web, o el 22 para el servidor SSH. A menos que el Router tenga ejecutando un servicio en el puerto 1194 (como un servidor OpenVPN por ejemplo), siempre saldrá cerrado. Y dado que los HGU no tienen ni mucho menos ningún servicio/demonio/aplicación levantado en dicho puerto, siempre saldrá cerrado en un escáner de puertos

De forma análoga, si lo lanzas contra un servidor propio VPN que tenga levantado el servicio en dicho puerto, ese puerto saldrá "abierto" porque está en uso. Por cierto, nota adicional, el escáner que mandas a tu propio servidor, también lo has interpretado mal, nmap muestra abierto/filtrado, es decir, tal como lo has realizado no puede determinar si dicho puerto está abierto o está filtrado. Esto sucede porque en principio no se puede determinar si un puerto UDP está en uno de esos dos estados. O dicho de otro modo, con el escáner que has realizado a tu propio servidor, tampoco estás demostrando que el servidor esté levantado y funcionando. De hacerlo, pondría claramente "open" simplemente.

Voy un paso más allá. Para ver realmente si un puerto en un Router está correctamente mapeado, no tiene ningún valor lanzar un escáner a la IP local del Router, tendrías que lanzarlo desde la interfaz WAN, es decir, desde Internet a su IP pública. Y si así lo hicieses, tal y como lo has realizado a tu propio servidor, saldría exactamente lo mismo. Más aun, en el escáner que realizas, incluso si realizases del mismo modo el escáner desde WAN eliminando previamente la redirección, también saldría lo mismo, "Open/Filtered". ¿Por qué? Ya lo he dicho, porque no se puede determinar en principio si un puerto UDP está abierto o filtrado.

---------------------

Así que con todo eso, no podemos ayudarte demasiado.

-En primer lugar, porque el escáner que lanzas a tu propio servidor no nos está diciendo realmente si el servidor VPN funciona o no funciona. Si quieres asegurarte de esto, es tan sencillo como configurar un cliente VPN DENTRO de tu red local, y ver si se le asigna una IP dentro del rango configurado del servidor VPN que has creado para tal efecto. Una vez te aseguras que funciona en red local, haces los ajustes necesarios para que funcione por WAN.

-En segundo lugar, el Router no se le "abre" ningún puerto, solo aparecerán abiertos los puertos que use el propio Router, y obviamente el Router no hace uso de ningún servidor VPN... El mapeo de puertos está bien configurado, y no hacen falta dos puertos por cierto, tan solo uno. El Router está funcionando de forma correcta.

Dicho todo ello, tienes un problema, el que sea, en tu servidor VPN o en la configuración del cliente VPN. Primero hazlo funcionar en tu red local, donde el Router no tiene nada que decir al respecto. Y cuando esté terminado, cambias la configuración del cliente VPN para usar la IP/puerto público del Router, realizando si es necesario tb ajustes en el servidor VPN.

Nota: También es una idea malísima usar los puertos por defectos conocidos, es un peligro usar el mismo puerto 1194 como puerto externo en el Router.

Saludos.

Técnico-Movistar

Responsable Técnico

28-01-2024

Hola Recio_Xd

No nos carga de forma correcta la información del router, ¿estas usando el equipo de Movistar o estas usando uno propio?

Un saludo.

Fernando.

Recio_Xd

Yo probé el VDSL

28-01-2024

Estoy usando el HGU de Movistar

Theliel
Yo probé el VDSL
29-01-2024
Buenas Recio_Xd

Me temo que estás bastante confundido en lo tocante a puertos, compañero. Y esto lo digo porque el escáner que realizas al Router no tiene absolutamente el menor sentido. Obviamente, si lo lanzas contra la IP del Router, saldrá cerrado... SIEMPRE VA A SALIR CERRADO.

Hablamos de "abrir" puertos en el Router como término, pero esto no tiene ningún sentido realmente, es un término coloquial. Realmente lo que se hace es una redirección de puertos, se añaden entradas para que el Router realice DNAT al tráfico que le llega al Router por un puerto concreto. Esto no "abre" ningún puerto en el Router. Los puertos que el Router tenga "abierto" (en uso), son todos aquellos en los que internamente tenga a la escucha algún servicio concreto, por ejemplo el puerto 80 para el servidor Web, o el 22 para el servidor SSH. A menos que el Router tenga ejecutando un servicio en el puerto 1194 (como un servidor OpenVPN por ejemplo), siempre saldrá cerrado. Y dado que los HGU no tienen ni mucho menos ningún servicio/demonio/aplicación levantado en dicho puerto, siempre saldrá cerrado en un escáner de puertos

De forma análoga, si lo lanzas contra un servidor propio VPN que tenga levantado el servicio en dicho puerto, ese puerto saldrá "abierto" porque está en uso. Por cierto, nota adicional, el escáner que mandas a tu propio servidor, también lo has interpretado mal, nmap muestra abierto/filtrado, es decir, tal como lo has realizado no puede determinar si dicho puerto está abierto o está filtrado. Esto sucede porque en principio no se puede determinar si un puerto UDP está en uno de esos dos estados. O dicho de otro modo, con el escáner que has realizado a tu propio servidor, tampoco estás demostrando que el servidor esté levantado y funcionando. De hacerlo, pondría claramente "open" simplemente.

Voy un paso más allá. Para ver realmente si un puerto en un Router está correctamente mapeado, no tiene ningún valor lanzar un escáner a la IP local del Router, tendrías que lanzarlo desde la interfaz WAN, es decir, desde Internet a su IP pública. Y si así lo hicieses, tal y como lo has realizado a tu propio servidor, saldría exactamente lo mismo. Más aun, en el escáner que realizas, incluso si realizases del mismo modo el escáner desde WAN eliminando previamente la redirección, también saldría lo mismo, "Open/Filtered". ¿Por qué? Ya lo he dicho, porque no se puede determinar en principio si un puerto UDP está abierto o filtrado.

---------------------

Así que con todo eso, no podemos ayudarte demasiado.

-En primer lugar, porque el escáner que lanzas a tu propio servidor no nos está diciendo realmente si el servidor VPN funciona o no funciona. Si quieres asegurarte de esto, es tan sencillo como configurar un cliente VPN DENTRO de tu red local, y ver si se le asigna una IP dentro del rango configurado del servidor VPN que has creado para tal efecto. Una vez te aseguras que funciona en red local, haces los ajustes necesarios para que funcione por WAN.

-En segundo lugar, el Router no se le "abre" ningún puerto, solo aparecerán abiertos los puertos que use el propio Router, y obviamente el Router no hace uso de ningún servidor VPN... El mapeo de puertos está bien configurado, y no hacen falta dos puertos por cierto, tan solo uno. El Router está funcionando de forma correcta.

Dicho todo ello, tienes un problema, el que sea, en tu servidor VPN o en la configuración del cliente VPN. Primero hazlo funcionar en tu red local, donde el Router no tiene nada que decir al respecto. Y cuando esté terminado, cambias la configuración del cliente VPN para usar la IP/puerto público del Router, realizando si es necesario tb ajustes en el servidor VPN.

Nota: También es una idea malísima usar los puertos por defectos conocidos, es un peligro usar el mismo puerto 1194 como puerto externo en el Router.

Saludos.
- Técnico-Movistar
  Responsable Técnico
  29-01-2024
  Hola Recio_Xd
  
  Nos alegramos de que se haya resuelto tu consulta y agradecemos Theliel la información facilitada.
  
  Comprobamos que has aceptado la solución, te lo agradecemos mucho, es importante para nosotros que vuestras consultas queden resueltas. Por nuestra parte cerramos el hilo y quedamos a tu disposición ante cualquier duda o consulta que te pueda surgir. Ya sabes donde estamos, solo tienes que volver a publicar en la Comunidad.
  
  Un saludo
  
  Lidia
- Recio_Xd
  Yo probé el VDSL
  29-01-2024
  Hola, ya he encontrado el problema, era que no estaba funcionando bien el DDNS que estaba usando, NoIP, por otro lado el puerto que tiene OpenVpn tenía pensado cambiarlo, pero primero quería probar con el puerto por defecto y luego ya cambiarlo e intentar poner la máxima seguridad posible. Ya he comprobado y si me asigna direcciones IP, del rango 10.65.0.0/24, estando conectado a la VPN desde fuera y dentro de la LAN, que es la red que crea la VPN.
  Gracias por las aclaraciones Theliel
  - Marta110289
    Más integrado que la RDSI
    11-07-2024
    Hola! ¿Cómo solucionaste el problema? Me estoy enfrentando al mismo problema y no sé cómo solucionarlo.
    
    Gracias!

Foro

Fallo al abrir el puerto 1194 para OpenVpn

Contenido relacionado

Problemas Cliente OpenVPN

Router - fallo puertos ethernet

OpenVPN mac