dsllibre.org

Solo por curiosidad... alquien ha tenido experiencias creando un VPN entre routers detras del Zyxel o 2Wire?

Saludos,

Es viable establecer un VPN a sistemas detrás de un modem 2Wire usando la opción DMZPlus de ese modem. Con DMZPlus, todos los puertos TCP y UDP del IP de la conexión DSL son redireccionados a la computadora designada como DMZ.

El 2Wire también tiene una opción de bridge que debería poder usarse para esto. Desafortunadamente no está bien documentada y no está respaldada por el fabricante.

Hola! Muchas gracias por tu amable ayuda como siempre...

El 2Wire puede funcionar como bridge? O sea que la IP publica es asignada al WAN port de mi Router? Aunque se que me indicas que no esta bien documentada (o supported) tienes algun dato que me puedas de como hacerlo.

El problema es que quisiera correr el cliente de Dynamic DNS (DDNS) desde el router... pero esto no se puede hacer si estoy detras de un NAT (y no lo puedo correr el cliente de DDNS en una computadora dentro del lan).

Otra pregunta-> Uno puede usar otro ADSL modem en PR? Se podria conseguir uno que haga lo que quiero? Sugerencias y/o recomendaciones son bienvenidas

Creo que me has alegrado mucho el dia!

Gracias,

¿ Se puede hacer lo mismo con un Zyxel 623-41...?
¿ Como ?

JAGomez wrote:El problema es que quisiera correr el cliente de Dynamic DNS (DDNS) desde el router... pero esto no se puede hacer si estoy detras de un NAT (y no lo puedo correr el cliente de DDNS en una computadora dentro del lan).

Yo he corrido un cliente de DDNS con un ZyXEL 623 sin problemas. Dio un poco de trabajo de configurar pero funcionó. El único detalle es que necesitas el password del modem. El cliente DDNS saca una página específica del setup del modem y busca el IP público en un sitio específico de esa página. Lo que dio un poco de trabajo fue configurar eso pero siguió trabajando sin problemas. Lo configuré para que verificara el IP cada 15 minutos. Si no tienes el password del modem esto no es opción. Con el 2Wire no creo que haya ese problema.

Lumar,

Creo que lei en algun lado sobre esto... pero creo que el problema es que el cliente de DDNS en mi caso tiene que correr desde el Router (y la unica forma que el router obtiene la IP es del puerto WAN). No tengo ninguna PC detras del router en la cual pueda instalar el cliente (todas las estaciones son ThinClients).

Yo pienso que para lo que mencionas el cliente de DDNS debe estar corriendo en una PC (lo cual yo no puedo hacer). Si me equivoco... te pido disculpas y me interesaria que me dieras mas detalles al respecto.

Gracias!

Lo que sugerí, en efecto, requiere una PC tras el router pues el cliente DDNS corre en Windows. No me percaté de la parte que decías "desde el router". Ya en ese aspecto no tengo la más mínima idea pues conozco muy poco sobre networking como para opinar al respecto.

JAGomez wrote:El 2Wire puede funcionar como bridge? O sea que la IP publica es asignada al WAN port de mi Router? Aunque se que me indicas que no esta bien documentada (o supported) tienes algun dato que me puedas de como hacerlo.

En la opción de "Advanced", "Configure Services" del área de configuración hay un checkbox que determina si el 2Wire se usa como router o bridge. Pueden ver un demo del área de configuración en http://shastademo.2wire.com/ haciendo clic en "MDC UI". Sin embargo, la opción de bridge requiere configurar manualmente otras áreas y esto no está documentado ni está respaldado por el fabricante del modem. Parece ser una opción que está en desarrollo.

La opción de DMZPlus del 2Wire le asigna el IP del router via DHCP a la computadora designada. Todas las transacciones de TCP y UDP se redireccionan del router a la computadora designada (no ICMP). Esta opción sí está documentada y respaldada y debería ser compatible con la mayoría de los VPNs. No debe ser necesario que el cliente de DDNS corra en el router ya que el IP de la computadora es el mismo que el de la conexión DSL.

JAGomez wrote:Otra pregunta-> Uno puede usar otro ADSL modem en PR?

Al usar una línea de PRT, el servicio de la línea requiere que el modem sea provisto por ellos. Técnicamente es posible usar otro modem pero si ocurre un problema que no pueda reproducirse con el modem provisto por ellos (2Wire, Paradyne o Zyxel), no tendrían servicio de línea de PRT. Esto cambiará en un futuro pero actualmente esos son los términos.

Gracias nuevamente por la informacion!

La opción de DMZPlus del 2Wire le asigna el IP del router via DHCP a la computadora designada.

Definitivamente de esta forma es mejor... simplemente pongo el router en el DMZPlus del 2wire. Nunca habia visto un router que le asignara la IP publica al DMZ de esta forma (con DHCP y que siga haciendo NAT).

No debe ser necesario que el cliente de DDNS corra en el router ya que el IP de la computadora es el mismo que el de la conexión DSL.

En mi caso es necesario... ya que la IP publica es dinamica y si quiero hacer algun cambio voy a usar el FQDN (del DDNS). Tambien no tengo ninguna computadora que pueda correr el cliente de DDNS detras del router, por lo tanto el router va a tener que hacerlo. Me imagino que cuando cambia la IP publica el DHCP del 2wire le cambiara la IP al router (y eso es basicamente todo lo que quiero).

Gracias!

JAGomez wrote:con DHCP y que siga haciendo NAT

Usualmente se coloca la computadora designada para DMZPlus del 2Wire como proxy de la red local. No sé si el NAT a otras computadoras continúa al usar DMZPlus. En teoría si todos los puertos TCP y UDP se redireccionan a la computadora designada, no deben quedar puertos disponibles para hacer NAT (PAT).

Esa era mas o menos lo que yo estaba pensando... pero en mi caso no debe importar por que el router es el unico equipo detras del 2Wire (los terminales estan detras del router).

Como bien dices no deberia funcionar NAT no solo por que no tiene los puertos, pero tambien las otras PCs estarian en diferentes subnets. Anyway, cuando llegue a PR a hacer las instalaciones voy a ver que pasa y les cuento.

Muchas gracias nuevamente por tu ayuda! Me has ahorrado mucho tiempo... me siento mucho mas preparado para "bregar" con el 2Wire cuando finalmente lo tenga de frente.

Te debo un par de cervezas

Ok... tengo un update y un problema

Cuando uno pone algo en el DMZ plus el 2wire sigue haciendo NAT (parece que obtiene 2 IPs publicas, una para el DMZ y otra para los demas).

De todos modos hacer el VPN no funciono cuando el router estaba en el DMZPlus (se conectaba y el tunel se establecia pero no podia hacer nada con el)... tube que cambiar el 2wire a brigde y usar PPPoE en el router. Lleva todo un dia corriendo y le pido a Dios que siga funcionando!

A mi me gustaria no dejarlo de esta manera... asi que si a alguien se le ocurre algo no duden en dejarme saber

De todos modos muchas gracias por toda la ayuda brindada!!!

JAGomez wrote:Cuando uno pone algo en el DMZ plus el 2wire sigue haciendo NAT (parece que obtiene 2 IPs publicas, una para el DMZ y otra para los demas).

El modo DMZPlus usa la dirección de IP y netmask provisto al negociar la conexión. Normalmente en DSL se provee un sólo IP en la conexión y ese IP pasa a la computadora designada con DMZPlus.

JAGomez wrote:De todos modos hacer el VPN no funciono cuando el router estaba en el DMZPlus (se conectaba y el tunel se establecia pero no podia hacer nada con el)...

Esto no es un problema inherente en el 2Wire. Tenemos varios clientes usando VPNs para accesar sistemas detrás del 2Wire usando DMZPlus. Posiblemente el problema está relacionado a los dos IPs mencionados anteriormente, e.g. el enrutamiento no va al IP donde está el equipo procesando el VPN.

Cuando tratamos de usar el modo bridge no era muy confiable y no estaba documentado ni respaldado. Sugeriría usarlo con cuidado.

Eso es lo mismo que yo pienso... pero si uno ve las conexiones del DMZ plus yo veo que el router recibe una IP publica (i.e 123.123.123.25) y usa el netmask 255.255.255.254. El gateway que recibe es 123.123.123.24 que aparenta ser otra IP del mismo 2Wire.

Yo no quiero usar el 2wire en bridge... pero no veo por que no funciona. Acaso hay un setting para activar IPSec passthrough que yo no veo?

Saludos,

JAGomez wrote:el router recibe una IP publica (i.e 123.123.123.25) y usa el netmask 255.255.255.254

En una conexión DSL normalmente se asigna un IP y el netmask es 255.255.255.255. La opción DMZPlus permite operación de un VPN con ese esquema. Cuando el proveedor asigna un subnet en lugar de una direccón sencilla es posible que haya que cambiar otras opciones. No lo hemos usado de esa forma. Sin embargo, esperaría que siguiera la lógica de asignar la dirección del router a la computadora designada usando DHCP. Es peculiar que el router y la computadora designada terminen con diferentes direcciones cuando la opción de DMZPlus está activa.