Acceso desde wan hacia mi pc (con vpn activa) es posible?

Iniciado por Fucko, 16 Octubre 2020, 01:31 AM

0 Miembros y 1 Visitante están viendo este tema.

Fucko

Hola, les comento, tengo mi conexión, que en uso normal, necesito acceder a un puerto determinado (1621), lo tengo abierto en el router, y puedo acceder normalmente...
pero, ahora, necesito tener operativa una VPN, entonces, al tener abierta la VPN, ese puerto no está accesible (el firewall me pide permiso de todas maneras, para aceptar la conexión, se acepta, pero no pasa nada.... ni bien desactivo la vpn, se puede acceder)

entonces, hay manera posible de usar vpn, pero que desde la wan, se pueda acceder a mi ordenador al puerto 1621?
gracias!
Cree en los que buscan la verdad, duda de los que la han encontrado...

warcry.

que servicio utilizas en el puerto 1621?

y que configuración tienes en el servidor vpn?
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Fucko

#2
Hola, gracias por responder...

en el 1621 uso un software propio, que se comunica via winsock (está hecho en vb6)

mi router de casa, tiene abierto ese puerto, tengo asignada una ip fija en mi pc, y ese puerto está abierto...

en el cliente de la vpn, tengo habilitado varios metodos de conexión, PPTP, ikeV2 eap, ipsec tunnel, ssl vpn tunnel

en el router, como dial-in user tengo:

PPTP
IPsec Tunnel
    IKEv1/IKEv2   IKEv2 EAP  IPsec XAuth
L2TP with IPsec Policy
Must
SSL Tunnel
OpenVPN Tunnel

pero, obviamente, al conectarme a la vpn, se me asigna otra ip de lan....

ya en lugar de ser 192.168.1.xx paso a ser 192.168.25.xx

si hago conexión a mi ip publica (no vpn) el firewall me pide permiso para el ingreso, se lo doy, pero el software, nunca conecta...
si cierrro vpn, conecta normalmente...

para las conexiones salientes, yo he usado anteriormente, el tunel dividido, y ahí elegí cuales programas conectan con vpn y cuales no...

pero en lo que es entrante, no se como poder hacerlo....
gracias nuevamente

Cree en los que buscan la verdad, duda de los que la han encontrado...

Danielㅤ

Hola, prueba a ejecutar la vpn con permisos de Administrador.



Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Fucko

Hola, si, está hecho eso...
pero no... no va.... :/

gracias
Cree en los que buscan la verdad, duda de los que la han encontrado...

warcry.

Cita de: Fucko en 17 Octubre 2020, 21:17 PM
Hola, gracias por responder...

en el 1621 uso un software propio, que se comunica via winsock (está hecho en vb6)



pero, obviamente, al conectarme a la vpn, se me asigna otra ip de lan....

ya en lugar de ser 192.168.1.xx paso a ser 192.168.25.xx



ok creo que ya lo pille.

cuando no hay vpn te conectas ip-publica:1621, y en el router tendrás hecho el fordwarding a ip-privada puerto 1621 (si es otro puerto, en la explicación de mas abajo tendrás que poner ese otro puerto)

cuando hay vpn la ip-plubica:1621 no funciona, lógico

En principio es obvio, ya que una vez que tu utilizas la vpn, el router lo dejas atras, ya que una vez conectado al server, es como si el server te hiciera de router.

por tanto para poder utilizar tu servicio winsock, via vpn, tienes que indicarle a tu servicio que busque el sock en el puerto 1621 pero con la ip local 192.168.1.x, NO CON LA IP PUBLICA o con la ip asignada por el server  vpn si el host tambien hace de cliente contra el servidor vpn que por lo que has puesto en el ejemplo seria del tipo 192.168.25.x
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Fucko

Hola, sí, así es, exactamente....
por eso preguntaba si es posible hacer tunel dividido, y poner que esa app no use vpn... pero no encuentro como....

en este caso, es una vpn con una empresa, mediante un router draytek, estoy usando el smart vpn client...
pero a su vez, también he usado express vpn, que me permitía hacer tunel dividido, y al conectarme a internet via vpn, había posibilidad de conectar mediante ip publica:1621

en este momento, a hacer eso, el firewall detecta conexion entrante, pero la app no conecta...


correcto, lo que me decís, si, funciona... desde cualquier otra pc en mi lan, poniendo ip privada:1621 conecta... incluso con vpn abierta...

pero como hago para acceder por fuera de mi lan?

esa es la gran duda :D

muchas gracias
Cree en los que buscan la verdad, duda de los que la han encontrado...

WHK

#7
Para servir un puerto sin utilizar la red vpn, si usas android, linux (gnu) o mac (osx/unix) debes crear una red virtual, recuerda que tu red vpn levanta una interfaz nueva por debajo de eth0 o enps0 asi que solo basta con crear una nueva interfaz y poner a escucha tu servicio en esa interfaz ya que por defecto si usas 0.0.0.0 usará la interfaz activa que es la vpn que por lo general se llama tun0, en este caso según tu tipo de servidor que quieras levantar debes indicarle que use específicamente tu interfaz virtual y listo, esa interfaz obtendrá su propia dirección via dhcp a traves de tu router y tendrá salida directa por nat entre tu router y tu pc hacia internet.

En caso inverso si necesitas salir a la capa del router o internet debes hacer una exclusión en tu configuración vpn, en openvpn es "route-nopull", esto dirá a tu red que en ves de que todo pase por la vpn entonces pasará solo lo que indiques, en este caso las direcciones ip a las que necesitas llegar por tu dirección vpn (ojo, eso también incluye la dirección ip del servidor dns), por ejemplo:

$ cat /etc/openvpn/client.conf
client
dev tun
proto tcp
remote ejemplo.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
   
# Conexión parcial: Cuando se quiere unicamente el tráfico
# hacia 10.8.0.x y 192.168.0.* sea pasado por la VPN y no todo el resto.
route-nopull
route 10.8.0.0 255.255.255.0
route 192.168.122.0 255.255.255.0


Si usas un cliente VPN propietario entonces tendrás que solicitar ayuda con el soporte oficial de la marca. Desde windows no me preguntes como se hace.

Saludos.

warcry.

#8
Dado que utilizas una vpn de un tercero (inseguro) y tanto el origen como el destino son clientes del servidor VPN (por el que pasa todo tu trafico) y lo gestiona una empresa, en windows sería tan fácil como

ejecutas un cmd con privilegios de administrador y tecleas

route.exe ADD tu-ip-publica MASK 255.255.255.255 ip-gateway

ejemplo

route.exe ADD 138.201.65.67 MASK 255.255.255.255 192.168.1.1

la ip 138.201.65.67 del ejemplo pertenece a cualesmiip.com, asi que si la puerta predeterminada coincide con la de tu router, puedes encender la vpn, y activar la ruta del ejemplo en un cmd con privilegios de administrador y cuando accedas a cualesmiip.com con el navegador veras que no te saldrá la ip publica de la vpn, te saldrá la ip publica de tu casa.

OJO, TE ESTAS SALTANDO LA VPN, POR LO QUE LA CONEXIÓN DE TU SERVICIO WINSOCK NO VA CIFRADA POR LA VPN

Así que si quieres cifrar la transmisión tendrás que implementarlo en tu servicio winsock, o bien como te he explicado antes utilizar la ip-privada:1621 y que la vpn cifre tu conexión.

HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Fucko

Cita de: WHK en 19 Octubre 2020, 08:18 AM
Para servir un puerto sin utilizar la red vpn, si usas android, linux (gnu) o mac (osx/unix) debes crear una red virtual, recuerda que tu red vpn levanta una interfaz nueva por debajo de eth0 o enps0 asi que solo basta con crear una nueva interfaz y poner a escucha tu servicio en esa interfaz ya que por defecto si usas 0.0.0.0 usará la interfaz activa que es la vpn que por lo general se llama tun0, en este caso según tu tipo de servidor que quieras levantar debes indicarle que use específicamente tu interfaz virtual y listo, esa interfaz obtendrá su propia dirección via dhcp a traves de tu router y tendrá salida directa por nat entre tu router y tu pc hacia internet.

En caso inverso si necesitas salir a la capa del router o internet debes hacer una exclusión en tu configuración vpn, en openvpn es "route-nopull", esto dirá a tu red que en ves de que todo pase por la vpn entonces pasará solo lo que indiques, en este caso las direcciones ip a las que necesitas llegar por tu dirección vpn (ojo, eso también incluye la dirección ip del servidor dns), por ejemplo:

$ cat /etc/openvpn/client.conf
client
dev tun
proto tcp
remote ejemplo.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
   
# Conexión parcial: Cuando se quiere unicamente el tráfico
# hacia 10.8.0.x y 192.168.0.* sea pasado por la VPN y no todo el resto.
route-nopull
route 10.8.0.0 255.255.255.0
route 192.168.122.0 255.255.255.0


Si usas un cliente VPN propietario entonces tendrás que solicitar ayuda con el soporte oficial de la marca. Desde windows no me preguntes como se hace.

Saludos.

Hola, muchas gracias!
lamentablemente, si, es para windows todo esto....
me imaginé que con linux hubiera sido muchisimo más facil :D



Cita de: warcry. en 19 Octubre 2020, 11:30 AM
Dado que utilizas una vpn de un tercero (inseguro) y tanto el origen como el destino son clientes del servidor VPN (por el que pasa todo tu trafico) y lo gestiona una empresa, en windows sería tan fácil como

ejecutas un cmd con privilegios de administrador y tecleas

route.exe ADD tu-ip-publica MASK 255.255.255.255 ip-gateway

ejemplo

route.exe ADD 138.201.65.67 MASK 255.255.255.255 192.168.1.1

la ip 138.201.65.67 del ejemplo pertenece a cualesmiip.com, asi que si la puerta predeterminada coincide con la de tu router, puedes encender la vpn, y activar la ruta del ejemplo en un cmd con privilegios de administrador y cuando accedas a cualesmiip.com con el navegador veras que no te saldrá la ip publica de la vpn, te saldrá la ip publica de tu casa.

OJO, TE ESTAS SALTANDO LA VPN, POR LO QUE LA CONEXIÓN DE TU SERVICIO WINSOCK NO VA CIFRADA POR LA VPN

Así que si quieres cifrar la transmisión tendrás que implementarlo en tu servicio winsock, o bien como te he explicado antes utilizar la ip-privada:1621 y que la vpn cifre tu conexión.



hola, me refiera a entre empresas, que es una sucursal, no que sea una vpn privada jejeje
no me importa el trafico cifrado, solo que se pueda acceder desde la wan hacia ese puerto de mi lan, con la vpn activa (saltando vpn la conexión)

así que voy a probar eso que me comentas, y luego comento

muchas gracias!
Cree en los que buscan la verdad, duda de los que la han encontrado...