No puedo teletrabajar con Forticlient VPN

Buenas tardes nalimodanepi

No hemos recibido respuesta por tu parte. Nos puedes indicar  ¿ya puedes teletrabajar a través de la  VPN, de forma correcta, por favor? 

Un saludo.  Silvia 

Hola nalimodanepi.

¿Podrías confirmarnos si la información facilitada por Theliel, al que agradecemos su aportación, ha servido de ayuda para tu consulta y si ahora funcionase, por favor? 

Un saludo.

Angela.

Buenas nalimodanepi 

Entiendo que las cuestiones técnicas a veces son tediosas/complicadas de entender, y en VPN no es menos, demasiada terminología.

Respuesta sencilla y corta a la pregunta: ¿Hay que habilitar algo en el Router para poder usar un cliente VPN?

Depende de que tipo de VPN sea.

Es que ese es el problema. Existen en la actualidad montones de protocolos diferentes para crear VPN, y cada uno tiene sus peculiaridades bien diferentes. El propio cliente de Fortinet soporta diferentes protocolos.

Actualmente para cualquier protocolo VPN moderno (OpenVPN ó WireGuard por ejemplo) NO SE REQUIERE absolutamente nada por parte del Router para que funcione perfectamente. No se requieren abrir puertos, no se requiere modificar nada.

Para protocolos VPN propietarios (fortinet por ejemplo también tiene uno propio, FortigateSSL), puede ser necesario diferentes acciones en el Router, como abrir un puerto quizás. Pero esto no podemos saberlo, ya que requiere saber de antemano que tipo de tunel VPN se está tratando de establecer.

Para protocolos VPN arcaicos y problemáticos (PPTP, IPSec, L2TP...) y que NO FUERON CREADOS para usarse en entornos donde existe un Router haciendo NAT (como el Router del 99% de la población), se requiere obligatoriamente que el Router implemente una serie de "ayudantes" especiales para intentar hacerlos funcionar. Estos "ayudantes" son específicos a cada protocolo problemático que se use, y pueden funcionar bien o tener problemas, ya que como digo, repito, son "trucos" para poder dar soluciones a este tipo de túneles que aun se usan por desgracia. En este caso sería necesario acceder al Router y habilitar los ayudantes para el protocolo que el túnel esté usando, en caso de que no lo estén. Y estos ayudantes pueden funcionar o no, correctamente.

----------

A parte de todo lo anterior:

Si el túnel se establece correctamente, cosa que puede comprobarse de forma sencilla, y el servidor VPN de la empresa le asigna los datos correctos, es un problema de configuración o del equipo o del cliente VPN como ya he dicho por alguna causa ya comentada. En este caso sería necesario muchos más datos para ver que puede estar fallando en el equipo, desde la tabla de enrutado, los datos recibidos por la conexión VPN por el servidor, el estado del cortafuegos de Windows (en caso de usar Windows), el estado de la detección de red del equipo... ya que especificas que el cliente sí establece la conexión, y que el problema está en acceder a los recursos compartidos de la red. Si este realmente es el caso, el Router aquí no tiene nada que ver ni que hacer.

Hola Soraya.

Creo que no me he explicado bien.

El informático de mi empresa me ha comentado que no funciona el Forticlient VPN porque vosotros, Movistar, debéis configurar algo del router para que no bloquee el VPN. Pero desconozco si esto es así o no.

La respuesta dada por el compañero Theliel  demuestra que tiene muchos más conocimientos que yo del tema. Y por lo que entiendo de lo que dice supongo que el problema viene por una mala configuración y que no me esté asignando la IP correcta.

Pero mi duda iba sobre el comentario del informático de mi empresa. Y es sobre si Movistar debe configurar algo del router para que funcione el VPN y poder teletrabajar.

Ya que con el mismo equipo y el router de ADSL funcionaba correctamente. Y con el mismo equipo y compartiendo los datos del móvil también. El fallo viene al usar el nuevo router de Fibra. Y desconozco si hay que hacer algo, como abrir algún puerto o algo parecido.

Ahora bien si me comentáis que desde Movistar no tenéis que configurar nada, en ese caso ya consultaría de nuevo con los informáticos de mi empresa.

Pero de momento no he recibido ninguna respuesta por vuestra parte.

Muchas gracias.

Saludos.

Hola @nalimodanepi

Nos gustaría conocer si tras la información facilitada por Theliel (al que agradecemos su colaboración), ¿tienes alguna duda más que te podamos resolver?, quedamos a la espera de tu respuesta.

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Un saludo
Soraya

Buenas nalimodanepi 

El 99% de los problemas que actualmente existen con las conexiones VPN caen en una de estas dos categorías:

1º. Una mala configiración del cliente/servidor

2º. Uso de protocolos VPN arcaicos como PPTP/L2TP/IPSec, que no son amigables con NAT

3º. El servidor VPN usa una red que coincide con el Router propio y tiene conflictos.

Respecto a lo primero, la mayoría de los problemas son debido a que el servidor VPN y por ende los clientes VPN, los administradores que tienen que encargarse de sus configuraciones, no contemplan nunca el uso de conexiones con MTU (un parámetro de la conexión) diferente. Y esto no es un problema en conexiones normales, pero en una VPN esto es esencial, o tendrás muchos y muy variados problemas. También puede el usuario remediar esto, por lo general, forzando a usar su sistema operativo a un MTU adecuado, pero el cliente no tiene por qué respetarlo. Para que nos entendamos, si una conexión PPPOE de Movistar usa un MTU de 1492, y el cliente VPN se configura dando por sentado que el MTU es de 1500, problemas. Muchos paquetes se descartarán por exceso de tamaño.

Respecto a lo segundo, es ya una cuestión del protocolo VPN usado y el Router. Los protocolos "de toda la vida" como puedan ser PPTP/L2TP/IPSec no se crearon para ser usados con dispositivos detrás de NAT... en esencia cualquier Router residencial hace NAT. Eso siempre ha sido un problema enorme... y para solventar esto lo que hicieron fue crear "parches" y "trucos" sucios en los Router, que llamamos "Ayudantes" o "passthrough" o sistemas ALG, para poder permitir a los clientes conectarse a los servidores VPN que usasen estos protocolos. El problema de estos ayudantes, es varios:

a) Primero tiene que implementarlos el fabricante del Router, y son diferentes para cada protocolo. Es decir, que si es un tunel PPTP se requiere que el Router posea ayudantes para PPTP, y lo mismo aplicable al resto

b) Segundo, estos "ayudantes" no son perfectos, es más, son "trucos" que durante años usan los fabricantes, pero no son recomendables, y pueden funcionar bien en algunos escenarios, y muy mal en otros. Por defecto es bueno tenerlos siempre deshabilitados a menos que sea totalmente necesario su uso.

--------------

En cualquier caso, y quitando todo lo anterior como algo "generalista" pero que siempre viene bien recordar, en tu caso particular si el túnel se establece correctamente, el servidor VPN asigna correctamente la IP a tu VPN... es un problema de configuración de tu equipo o del servidor. Una vez el túnel se establece, todo lo que pasa por debajo de él es totalmente transparente al Router o a la línea.

Potenciales causas?

Pues por ejemplo la más sencilla, que al ser una red "nueva" el equipo no tiene habilitados los servicios de detección de red, o tenga configurada la red como "pública" y el OS (Sistema Operativo) no hace "visible" el equipo para el resto de la VPN

Otra opción es el propio Firewall del OS que está denegando el tráfico de la propia red local de la VPN

Otra opción es que la red de la VPN no la pueda alcanzar tu equipo por un problema de rutas, que tendrías que revisar.

Y el problema de MTU también es viable en este punto. Pero yo me decantaría más a un problema de configuración del propio equipo, en este caso particular.

------

Una VPN lo único que hace es crear un "puente" entre un equipo en este caso y una red local remota. La VPN es el puente, pero todo lo que se transfiere es igual con o sin VPN. Si el puente se establece, el resto es el tráfico que se esté enviando. Otra cosa totalmente diferente es que el tunel no se llegase a establecer, o diese un error. Pero no es el caso.