ipsec y router adsl

05/12/2003 - 09:05 por B.T. | Informe spam

Hola a todos.

El mundo de las redes y la seguridad me gusta mucho. Lamentablemente no
tengo la experiencia que yo quisiera para el tiempo que estoy trabajando y
lo que voy a plantear aquí lo tenéis superado muchos de los que leáis este
mensaje.

Bien, voy a ir al grano. Ocurre que en un cliente con conexión a internet
por router adsl he puesto un firewall hardware (un watchguard soho 6tc), y
ahora hemos puesto las licencias de acceso por vpn.

La configuración es la siguiente:

* Red local: 192.168.10.0.
* Ip interna del router adsl: 172.16.0.1
* La ip interna del firewall es 192.168.10.200, y la ip externa es
172.16.0.2.

El router tiene todos los puertos abiertos y dirigidos al firewall. Es el
firewall el que sólo tiene ciertos puertos abiertos.

El firewall lo hemos puesto ahora, la conexión a internet ya existía antes.
El router estaba conectado directamente al switch de la red local. A esto
creo que se le llama configuración multipuesto, ¿no? ¿cómo se dice
multipuesto en inglés (para poder buscar en los manuales)?

Así pues, hay dos subredes, una es la red local, y la otra es la que forman
el firewall y el router.

El firewall tiene servicio de vpn, y he estado intentando conectarme por vpn
al firewall, pero al parecer IPSec no funciona si hay un NAT. Preguntas:

1.- ¿Qué configuración debe tener un router si hay un firewall con vpn: mono
o multipuesto?
2.- Si es monopuesto entonces la ip pública la tendrá el firewall, ¿no?

Un saludo,

B.T

Siga el debate

3 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Ivan [MS MVP]

05/12/2003 - 09:35 | Informe spam

Hola B.T.,

1.- ¿Qué configuración debe tener un router si hay un firewall con vpn:

mono

o multipuesto?

Si vas a usar L2TP/IPSec y el firewall no soporta NAT-T debes de configurar
el router en monopuesto y asignar la IP publica a la interface externa del
firewall. Si soporta NAT-T puedes dejar el router en multipuesto (NAT).
Tendras que ver que protocolos emplea y redirigirlos en el router a la IP
externa del firewall: nomalmente son el 500 y 4500 UDP, tambien puede ser el
10000 UDP. Tendras que mirar la documantacion del firewall, aunque creo que
ese firewall no soporta NAT-T, miralo.
Si el firewall soporta PPTP y el router esta en multipuesto tendras que
redirigir a la IP externa del firewall el protocolo 1723 TCP y el Id de
protocolo 47 GRE, OJO, Id de protocolo 47, mucha gente confunde esto con el
puerto 47 TCP o UDP y no es asi, el protocolo GRE es un protocolo distinto
de TCP y UDP.

2.- Si es monopuesto entonces la ip pública la tendrá el firewall, ¿no?

Sip, la IP publica la debes asignar a la IP externa del firewall.

Un saludo.
Ivan
MS MVP ISA Server

Responder a este mensaje

#2 B.T.

05/12/2003 - 19:28 | Informe spam

Muchas gracias Ivan.

Por cierto, alguien sabe como pasar de multi a monopuesto en un router Zyxel
Prestige 643?

O en otro caso, como se dice multipuesto en inglés para buscarlo en el
manual del router?

Un saludo,

B.T.

"Ivan [MS MVP]" escribió en el mensaje
news:

Hola B.T.,

> 1.- ¿Qué configuración debe tener un router si hay un firewall con vpn:
mono
> o multipuesto?

Si vas a usar L2TP/IPSec y el firewall no soporta NAT-T debes de

configurar

el router en monopuesto y asignar la IP publica a la interface externa del
firewall. Si soporta NAT-T puedes dejar el router en multipuesto (NAT).
Tendras que ver que protocolos emplea y redirigirlos en el router a la IP
externa del firewall: nomalmente son el 500 y 4500 UDP, tambien puede ser

10000 UDP. Tendras que mirar la documantacion del firewall, aunque creo

que

ese firewall no soporta NAT-T, miralo.
Si el firewall soporta PPTP y el router esta en multipuesto tendras que
redirigir a la IP externa del firewall el protocolo 1723 TCP y el Id de
protocolo 47 GRE, OJO, Id de protocolo 47, mucha gente confunde esto con

puerto 47 TCP o UDP y no es asi, el protocolo GRE es un protocolo distinto
de TCP y UDP.

> 2.- Si es monopuesto entonces la ip pública la tendrá el firewall, ¿no?

Sip, la IP publica la debes asignar a la IP externa del firewall.

Un saludo.
Ivan
MS MVP ISA Server

Responder a este mensaje

#3 Javier Inglés [MS MVP]

06/12/2003 - 19:39 | Informe spam

Puedes mirar por si acaso en esta web a ver sitienes info de ello:

www.adslnet.ws

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho

"B.T." escribió en el mensaje news:%

Muchas gracias Ivan.

Por cierto, alguien sabe como pasar de multi a monopuesto en un router Zyxel
Prestige 643?

O en otro caso, como se dice multipuesto en inglés para buscarlo en el
manual del router?

Un saludo,

B.T.

"Ivan [MS MVP]" escribió en el mensaje
news:
> Hola B.T.,
>
> > 1.- ¿Qué configuración debe tener un router si hay un firewall con vpn:
> mono
> > o multipuesto?
>
> Si vas a usar L2TP/IPSec y el firewall no soporta NAT-T debes de
configurar
> el router en monopuesto y asignar la IP publica a la interface externa del
> firewall. Si soporta NAT-T puedes dejar el router en multipuesto (NAT).
> Tendras que ver que protocolos emplea y redirigirlos en el router a la IP
> externa del firewall: nomalmente son el 500 y 4500 UDP, tambien puede ser
el
> 10000 UDP. Tendras que mirar la documantacion del firewall, aunque creo
que
> ese firewall no soporta NAT-T, miralo.
> Si el firewall soporta PPTP y el router esta en multipuesto tendras que
> redirigir a la IP externa del firewall el protocolo 1723 TCP y el Id de
> protocolo 47 GRE, OJO, Id de protocolo 47, mucha gente confunde esto con
el
> puerto 47 TCP o UDP y no es asi, el protocolo GRE es un protocolo distinto
> de TCP y UDP.
>
> > 2.- Si es monopuesto entonces la ip pública la tendrá el firewall, ¿no?
>
> Sip, la IP publica la debes asignar a la IP externa del firewall.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

Busqueda sugerida