cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
3003
Visitas
45
ÚTIL
15
Respuestas

VPN de acceso remoto

Cdaniel.rios
Level 1
Level 1

Hola! espero estén muy bien.
Tengo una duda y espero puedan ayudarme a entender.
Estoy desarrollando una topología para practicar un poco de Security, y he configurado una DMZ para un servidor público que tengo dentro de la empresa y un VPN de acceso remoto entre otas cosas, pero el tema principal es que, puedo acceder al Web Server (en la DMZ) desde el PC remoto SIN conectarme al VPN de manera satisfactoria ya que configuré el static NAT para eso, la página web abre sin problemas, pero, cuando inicio la conexión VPN, esta se establece sin problemas, recibo la dirección IP del pool que configuré en el Router de la empresa tal como se espera, puedo hacer PING a todos los dispositivos internos pero, cuando intento entrar al mismo servidor Web desde el web browser del PC remoto este ya no abre, sin embargo si puedo hacer PING a todos los dispositivos internos. 
Agradezco la ayuda que puedan brindarme para entender esto y si debo hacer algún cambio para poder resolverlo! 

Topología de práctica.png

 

Acá les comparto la topología en Packet Tracer 7.3.1.
Todas las contraseñas de los dispositivos es "cisco".

15 RESPUESTAS 15

Javier Acuña
Spotlight
Spotlight

Saludos @Cdaniel.rios Gracias por comunicarte con la comunidad de cisco, excelente la practica que haz ejecutado, de casualidad configuraste la ruta que hace falta en el Router par que puedas conocer a la red interna ?

 

Recuerda calificar esta y respuesta ya que esto motiva a continuar la contribución en la comunidad de cisco.

Hola @Javier Acuña 
Si, tengo un par de rutas configuradas en el router principal, también cambié el pool del VPN a un conjunto de direcciones dentro del rango donde se encuentra el servidor público, sin embargo sigo igual, puedo hacer PING pero no puedo abrir las páginas WEB de ninguno de los servidores.

 

Acá comparto la configuración del Router principal

!

hostname MAIN-RT

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!aaa new-model

!

aaa authentication login VPN-USERS local

!

aaa authorization network GROUP-VPN local

!

username Hans-PC secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

!

license udi pid CISCO1941/K9 sn FTX1524KZJN-

license boot module c1900 technology-package securityk9

!

crypto isakmp policy 1

encr aes 256

authentication pre-share

group 5

lifetime 3600

!

crypto isakmp client configuration group GROUP-VPN

key cisco-group

pool VPN-POOL

!

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

!

crypto dynamic-map DYNAMIC-VPN 100

set transform-set VPN-SET

reverse-route

!

crypto map STATIC client authentication list VPN-USERS

crypto map STATIC isakmp authorization list GROUP-VPN

crypto map STATIC client configuration address respond

crypto map STATIC 20 ipsec-isakmp dynamic DYNAMIC-VPN

!

no ip domain-lookup

!

spanning-tree mode pvst

!

interface GigabitEthernet0/0

ip address 192.168.100.1 255.255.255.0

ip nat inside

duplex auto

speed auto

!

interface GigabitEthernet0/1

ip address 192.168.99.254 255.255.255.0

ip nat inside

duplex auto

speed auto

!

interface Serial0/0/0

ip address 200.10.10.2 255.255.255.248

ip nat outside

clock rate 2000000

crypto map STATIC

!

interface Serial0/0/1

no ip address

clock rate 2000000

shutdown

!

interface Vlan1

no ip address

shutdown

!

ip local pool VPN-POOL 192.168.100.240 192.168.100.250

ip nat inside source list 10 interface Serial0/0/0 overload

ip nat inside source static tcp 192.168.100.254 80 200.10.10.2 80

ip nat inside source static tcp 192.168.100.254 443 200.10.10.2 443

ip classless

ip route 0.0.0.0 0.0.0.0 Serial0/0/0

ip route 192.168.0.0 255.255.0.0 GigabitEthernet0/1

!

ip flow-export version 9

!

access-list 10 permit 192.168.0.0 0.0.0.255

!

perfecto @Cdaniel.rios en este caso se debe verificar que el Servidor permita la comunicación por el puerto correspondiente, valida que el puerto este habilitado en el server para que le puedas acceder por browser.

 

 

La configuración en el Server está correcta según entiendo, porque puedo acceder desde fuera de la red al servidor en la DMZ porque utilizo un Servidor DNS Público para traducir esa dirección. 

El problema que tengo es que cuando activo la VPN en el PC remoto e intento abrir la misma página web que está en el servidor en la DMZ ya no puedo, solo se abre si ingreso la dirección IP pública del servidor, por lo que el problema es que no tengo un servidor DNS en la VPN que resuelva ese nombre.

Este es el comando que uso para asignar las direcciones a las PCs que se conecten por la VPN

 

ip local pool VPN-POOL 192.168.100.240 192.168.100.250

 

Pero cómo agrego el DNS a ese pool? Esto sobrepasa mi básico nivel!

La verdad efectivamente has llegado al origen del problema, estas declarando una dirección publica en tu server que se encuentra en la DMZ el cual va a responder sin ningún problema desde la red externa(Direcciones IP publicas), sin embargo al conectarte a la VPN tu direccionamiento se cambia a un pool de direcciones internas y esta direccion ip interna (Ip privada) no esta declarada en el server, el problema radica en tu server que esta entregando servicio web solo por la dirección ip publica. EL DNS (domain Name Server) solo conoce la Ip publica.

Para hacer la prueba, valida la direccion ip privada interna en la que estas publicando el servicio web, y declara esta dirección en el C:\Windows\System32\drivers\host del endpoint con el que deseas comunicarte al servicio WEB.

 

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

<Direccion Ip de tu server> Nombre que responde el server.

DMZ SencillaDMZ Sencilla

Cuando activas la VPN procedes a tener un pool de direcciones la cual suministras tu, es decir ahora estas en un pool interno en una inside, ahora necesitas que el trafico ubique el servidor sin salir a internet nuestro colega @Julio E. Moisa te indica el procedimiento para un asa, veo que utilizas un Router para este caso crea un ACL que permita el trafico hacia el server, a continuación te envió un ejemplo:

acl web server.PNG

permit host 192.168.0.5 eq 8080 network x.x.x.x (mask)

 

Si, estuve leyendo lo que envió @Julio E. Moisa, voy a intentar configurar a ver si soluciono! gracias por el interés en ayudarme a entender esto!

Perfecto @Cdaniel.rios estaremos atentos recuerda que tu usas un router la configuración es un poco diferente a los dispositivos Firewall Asa, 

 

cualquier inquietud no dudes en consultarnos.

 

Y recuerda que es necesario que nos apoyes con helpful esto nos mantiene motivados en continuar las contribuciones en la comunidad.

Hola, quedo al pendiente.

Saludos.




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola

Es muy probable que sea porque tu trafico se esta yendo hacia Internet y no utilizando el tunel VPN, para eso te recomiendo que si estas utilizando un PAT hagas lo siguiente:

Asumiendo que la red 192.168.0.0/24 es la asignada a los usuarios de la VPN, entonces:

 

no access-list 10 permit 192.168.0.0 0.0.0.255

access-list 100 deny ip 192.168.0.0 0.0.0.255 <ip del servidor remoto>

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

 

** cuando usas un ASA, el procedimiento es crear un NAT manual estatico. **

 

Con esto lo que haces es indicar que el trafico de la red interna no deba buscar el servidor a traves de Internet sino que a traves del tunel VPN, prueba solo dejando el PAT.

 

Saludos.

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Entiendo, voy a intentar configurarlo a ver si soluciono! Gracias por la idea!!

Hilda Arteaga
Cisco Employee
Cisco Employee

hola a todos

Gracias por su asistencia para aclarar la duda

Hola, sigo con el problema, no he dado con la solución. Sin embargo tengo una idea de cómo posiblemente se podría solucionar!

Cdaniel.rios
Level 1
Level 1

Disculpen pero tendrán algún ejercicio con un ASA para ver la configuración? En caso de no poder utilizar un Router Cambiaré a un ASA, pero la idea es aprender a hacerlo de varias formas.