VPN a través de router Mitrastar GPT-2541GNAC
Buenas Tardes Tengo un servidor interno empleando el VPN integrado (protocolo PPTP) que trae el Windows , se que es un protocolo antiguo y bajo de seguridad sin embargo solo logro conectarme inte...
Foro
Buenas jsrodriguezf
Tal como te dicen, para el soporte de otros países debes de dirigirte a los soportes correspondientes de cada país. Con independencia de otros motivos importantes, tienes que entender que existen importantes diferencias en ciertos aspectos. Por ejemplo a nivel de las redes de aquí y de allí, así como los equipos y firmwares instaladas.
No obstante a veces sí podemos contestar ciertas pregutnas que pueden ser relativamente universales.
Usar PPTP a día de hoy es un suicidio en cuanto a seguridad se refiere, cada uno sabrá que que quiere hacer en su red, pero si no quieres que se te cuelen en casa... no lo usaría jamás. Pero además existe otro problema añadido.
Por un lado, y como es obvio, dado que el equipo está actuando como servidor, requiere su apertura de puertos en el Router como cualquier otro servicio del estilo. Esto no es nada raro, para eso se requiere un mapeo a través de PortForwarding/VirtualServer, enviándolo a la IP correcta de la red local, dado que PPTP usa el puerto 1723, pues hay que mapearlo en el Router.
Hasta aquí sin mayores problemas de nada, pero el protocolo PPTP por desgracia tiene más problemas, porque PPTP es un protocolo no amigable con NAT. Esto hace que los Router tienen que implementar "trampas" especiales para que puedan usarse, y dichas trampas pueden no funcionar siempre, según cada escenario. Algunos Router pueden habilitarlas, otros no. En este caso tendrías que buscar por una opción que puede llamarse de muchas maneras diferentes, como ayudantes, passthrough, ALG...
Como digo, dado que las firmware pueden ser totalmente diferentes, poco más te podemos ayudar salvo con los datos que te hemos dado. Sí, se requiere mapear un puerto como con montones de otros servicios, y además el Router debe de implementar el ayudante o passthrough especial para el protocolo PPTP, dado que este protocolo específico no puede funcionar bajo NAT así como así.
Saludos.
Buen día
Muchas Gracias por la información y sobre todo el tema de seguridad, por otro lado tengo otro inconveniente y lo voy a expresarlo al pie de la letra para dar un poco con la ayuda de ustedes y lograr entender el porque sucede esa situación y como lo puedo resolver.
Mi router en mi microempresa que tengo es un ( Router Movistar) GPT-2541GNAC tengo la red dividida en dos Segmento ( la que sale del router GPT-2541GNAC ) - 192.168.1.xx - 255.255.255.0 que es la del Hogar y la red (192.168.10.xx - 255.255.255.0) el cual esta configurada por medio de un router HUAWEI WiFi WS5200 conectado desde el router principal GPT por me dio de un cable utp al puerto WAN DEL HUAWEI WiFi WS5200. Todo Funciona a la perfección sin embargo al momento de realizar una prueba de envio de paquetes dentro de las dos rede encuentro la siguiente novedad. Desde la red 192.168.10.xx hacia la red 192.168.1.xx al realizar un ping a una maquina con segmento 1.xx esta responde sin novedad, sin embargo al realizarlo desde la forma inversas desde el segmento 192.168.1.xx a la 192.168.10.xx no se tiene respuesta de paquetes.
Agradezco me puedan colaborar como puedo resolver este inconveniente.
Por otro lado si me confirman si es posible ya que el protocolo PPTP es tan inseguro si es posible realizarlo por medio de openVPN
Buenas jsrodriguezf
En lo que respectas a que no puedes comunicarte entre las diferentes redes no es ningún problema, de echo es lo normal y esperable en tu esquema. Tienes un segundo Router interpuesto, tienes dos redes, la segunda con un dispositivo NAT por encima de ella. Obviamente la red superior no puede acceder a la red inferior por su cara bonita.
Para que la red 1.0/24 pudiese alcanzar la red 10.0/24 serían necesario dos cosas. La primera una ruta en la red del HGU que indique a que destino enviar el tráfico para la 10.0/24, o de lo contrario el HGU no va a tener idea de pro donde enviar el tráfico. Análogamente es como si intentas hacer un ping a 10.9.21.5... ¿por donde lo envía a quien?
El segundo requerimiento es que el segundo Router, en este caso el Router personal, se le añada una regla interna que permita todo el tráfico de tipo reenviado de la red del HGU, o como es natural el Router lo va a bloquear. También es adecuado en este punto al Router propio añadir un enmascaramiento para el tráfico que vaya en dirección a la red del HGU.
Al contrario no es necesario porque no se cumplen ninguna de las dos medidas. La primera no es necesaria porque doy por sentado que el segundo Router tiene configurada una IP en su interfaz WAN dentro de la red del HGU, con una puerta de enlace que sería el HGU, por eso Internet funciona, y por eso puede enviar algo a un equipo de arriba, porque lo envía a su vez al Router que sí sabe quien es cada dispositivo. Lo segundo no hace falta porque el tráfico le entra al HGU por el bridge principal, donde por lo general no existe ningún tipo de filtro. Es más, pudiese pasar incluso que el Router propio ya hubiese creado de forma automática un enmascaramiento, con lo que además el HGU vería igualmente el tráfico de cualquier dispositivo de la segunda red como uno propio.
--------------
Respecto a la cuestión del servidor VPN, la cuestión es usar un protocolo que no tenga problemas de base con NAT. Ya no se trata únicamente de que sea más seguro o menos seguro. OpenVPN o WireGuard (mejor el segundo que el primero), se pueden configurar para requerir tan solo un puerto UDP, sin más. Con lo que el único cuidado que se debe de tener es en configurar un MTU que sea correcto para el servidor y cliente. Ambas VPN, tanto OpenVPN como WireGuard, además son mucho más sencillas, robustas, seguras... y en el caso de WireGuard con un plus enorme en velocidad.
Saludos.
- Hola ThelielMuchas Gracias por la informacion, voy a realizar los ajustes en el HGU y te informo si fue solucionado con respecto a tu respuesta en cuando a la ruta en la red
