el 03-24-2021 07:38 PM
Hola! espero estén muy bien.
Tengo una duda y espero puedan ayudarme a entender.
Estoy desarrollando una topología para practicar un poco de Security, y he configurado una DMZ para un servidor público que tengo dentro de la empresa y un VPN de acceso remoto entre otas cosas, pero el tema principal es que, puedo acceder al Web Server (en la DMZ) desde el PC remoto SIN conectarme al VPN de manera satisfactoria ya que configuré el static NAT para eso, la página web abre sin problemas, pero, cuando inicio la conexión VPN, esta se establece sin problemas, recibo la dirección IP del pool que configuré en el Router de la empresa tal como se espera, puedo hacer PING a todos los dispositivos internos pero, cuando intento entrar al mismo servidor Web desde el web browser del PC remoto este ya no abre, sin embargo si puedo hacer PING a todos los dispositivos internos.
Agradezco la ayuda que puedan brindarme para entender esto y si debo hacer algún cambio para poder resolverlo!
.
Acá les comparto la topología en Packet Tracer 7.3.1.
Todas las contraseñas de los dispositivos es "cisco".
el 03-25-2021 04:15 PM
Saludos @Cdaniel.rios Gracias por comunicarte con la comunidad de cisco, excelente la practica que haz ejecutado, de casualidad configuraste la ruta que hace falta en el Router par que puedas conocer a la red interna ?
Recuerda calificar esta y respuesta ya que esto motiva a continuar la contribución en la comunidad de cisco.
el 03-26-2021 06:19 AM
Hola @Javier Acuña
Si, tengo un par de rutas configuradas en el router principal, también cambié el pool del VPN a un conjunto de direcciones dentro del rango donde se encuentra el servidor público, sin embargo sigo igual, puedo hacer PING pero no puedo abrir las páginas WEB de ninguno de los servidores.
Acá comparto la configuración del Router principal
!
hostname MAIN-RT
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!aaa new-model
!
aaa authentication login VPN-USERS local
!
aaa authorization network GROUP-VPN local
!
username Hans-PC secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
license udi pid CISCO1941/K9 sn FTX1524KZJN-
license boot module c1900 technology-package securityk9
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp client configuration group GROUP-VPN
key cisco-group
pool VPN-POOL
!
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
!
crypto dynamic-map DYNAMIC-VPN 100
set transform-set VPN-SET
reverse-route
!
crypto map STATIC client authentication list VPN-USERS
crypto map STATIC isakmp authorization list GROUP-VPN
crypto map STATIC client configuration address respond
crypto map STATIC 20 ipsec-isakmp dynamic DYNAMIC-VPN
!
no ip domain-lookup
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.100.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.99.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 200.10.10.2 255.255.255.248
ip nat outside
clock rate 2000000
crypto map STATIC
!
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip local pool VPN-POOL 192.168.100.240 192.168.100.250
ip nat inside source list 10 interface Serial0/0/0 overload
ip nat inside source static tcp 192.168.100.254 80 200.10.10.2 80
ip nat inside source static tcp 192.168.100.254 443 200.10.10.2 443
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 192.168.0.0 255.255.0.0 GigabitEthernet0/1
!
ip flow-export version 9
!
access-list 10 permit 192.168.0.0 0.0.0.255
!
el 03-26-2021 06:48 AM
perfecto @Cdaniel.rios en este caso se debe verificar que el Servidor permita la comunicación por el puerto correspondiente, valida que el puerto este habilitado en el server para que le puedas acceder por browser.
el 03-27-2021 07:06 AM
La configuración en el Server está correcta según entiendo, porque puedo acceder desde fuera de la red al servidor en la DMZ porque utilizo un Servidor DNS Público para traducir esa dirección.
El problema que tengo es que cuando activo la VPN en el PC remoto e intento abrir la misma página web que está en el servidor en la DMZ ya no puedo, solo se abre si ingreso la dirección IP pública del servidor, por lo que el problema es que no tengo un servidor DNS en la VPN que resuelva ese nombre.
Este es el comando que uso para asignar las direcciones a las PCs que se conecten por la VPN
ip local pool VPN-POOL 192.168.100.240 192.168.100.250
Pero cómo agrego el DNS a ese pool? Esto sobrepasa mi básico nivel!
el 03-27-2021 10:02 AM
La verdad efectivamente has llegado al origen del problema, estas declarando una dirección publica en tu server que se encuentra en la DMZ el cual va a responder sin ningún problema desde la red externa(Direcciones IP publicas), sin embargo al conectarte a la VPN tu direccionamiento se cambia a un pool de direcciones internas y esta direccion ip interna (Ip privada) no esta declarada en el server, el problema radica en tu server que esta entregando servicio web solo por la dirección ip publica. EL DNS (domain Name Server) solo conoce la Ip publica.
Para hacer la prueba, valida la direccion ip privada interna en la que estas publicando el servicio web, y declara esta dirección en el C:\Windows\System32\drivers\host del endpoint con el que deseas comunicarte al servicio WEB.
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
<Direccion Ip de tu server> Nombre que responde el server.
03-27-2021 01:17 PM - editado 03-27-2021 04:11 PM
Cuando activas la VPN procedes a tener un pool de direcciones la cual suministras tu, es decir ahora estas en un pool interno en una inside, ahora necesitas que el trafico ubique el servidor sin salir a internet nuestro colega @Julio E. Moisa te indica el procedimiento para un asa, veo que utilizas un Router para este caso crea un ACL que permita el trafico hacia el server, a continuación te envió un ejemplo:
permit host 192.168.0.5 eq 8080 network x.x.x.x (mask)
el 03-29-2021 08:09 AM
Si, estuve leyendo lo que envió @Julio E. Moisa, voy a intentar configurar a ver si soluciono! gracias por el interés en ayudarme a entender esto!
el 03-29-2021 10:25 AM
Perfecto @Cdaniel.rios estaremos atentos recuerda que tu usas un router la configuración es un poco diferente a los dispositivos Firewall Asa,
cualquier inquietud no dudes en consultarnos.
Y recuerda que es necesario que nos apoyes con helpful esto nos mantiene motivados en continuar las contribuciones en la comunidad.
el 03-30-2021 05:41 AM
Hola, quedo al pendiente.
Saludos.
03-27-2021 10:28 AM - editado 03-27-2021 10:33 AM
Hola
Es muy probable que sea porque tu trafico se esta yendo hacia Internet y no utilizando el tunel VPN, para eso te recomiendo que si estas utilizando un PAT hagas lo siguiente:
Asumiendo que la red 192.168.0.0/24 es la asignada a los usuarios de la VPN, entonces:
no access-list 10 permit 192.168.0.0 0.0.0.255
access-list 100 deny ip 192.168.0.0 0.0.0.255 <ip del servidor remoto>
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
** cuando usas un ASA, el procedimiento es crear un NAT manual estatico. **
Con esto lo que haces es indicar que el trafico de la red interna no deba buscar el servidor a traves de Internet sino que a traves del tunel VPN, prueba solo dejando el PAT.
Saludos.
el 03-29-2021 08:08 AM
Entiendo, voy a intentar configurarlo a ver si soluciono! Gracias por la idea!!
el 03-30-2021 12:06 PM
hola a todos
Gracias por su asistencia para aclarar la duda
el 03-30-2021 12:39 PM
Hola, sigo con el problema, no he dado con la solución. Sin embargo tengo una idea de cómo posiblemente se podría solucionar!
el 03-31-2021 01:00 PM
Disculpen pero tendrán algún ejercicio con un ASA para ver la configuración? En caso de no poder utilizar un Router Cambiaré a un ASA, pero la idea es aprender a hacerlo de varias formas.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad