VPN CLIENT - No conectividad desde fuera

unoqueva80 · #1 (**permalink**) 06/09/2011, 02:53

Buenas,

Soy nuevo en esto e intentaré explicar lo mejor posible mi problema. Dispongo de un cliente VPN (CISCO) bajo un Windows XP en un equipo (llamemosle cmp1). Este equipo está en una red local y el cliente VPN lo uso para conectarme a otra red remota diferente. Cuando me conecto con la VPN, todo va bien y puedo acceder a todos los recursos tanto de la red local como a la red remota desde el equipo.

Ahora bien, si intento conectarme a este equipo (cmp1) desde otro equipo de la red local (cmp2) no puedo mientras tenga la VPN levantada. He intentado hacer PING, acceder por telnet o por escritorio remoto, pero no da ninguna respuesta. Cuando dejo de estar conectado por VPN si puedo acceder, en el momento que la levanto no.

¿Alguien ha tenido un problema similar o puede guiarme para tratar de entenderlo?

Muchas gracias,
Un saludo

rid501 · #2 (**permalink**) 07/09/2011, 08:05

Probablemente cmp1 al estar conectado por VPN a esa otra red ,llamémosla RED2, tenga una IP de RED2 por lo que los equipos de su propia red (RED1) no saben llegar hasta él.

moeb · #3 (**permalink**) 12/09/2011, 03:05

Umm... Para ser exactos, es posible que tu problema sea de rutas.

Obviamente deberías tener una IP dentro de la VPN y orta dentro de la LAN, pero ambas en INTERFACES dirferentes (el cliente CISCO te crea un interfaz virtual, igual que openVPN o la mayoría de los softwares de VPN).

Eso no debería interferir...

Sin embargo, si tu LAN y tu VPN están en el mismo segmento de subred, y el CISCO está configurado para que la puerta de enlace por defecto sea para toda la red (en lugar de meter IPs concretas con una ruta concreta), es posible que genere un problema...

Joder, que mal me explico... Estoy aun espeso tras las vacaciones, sorry... Veamos:

Supongamos que tu LAN es una 192.168.1.0/24
Supongamos que la red remota a la que vas por VPN sea uan 192.168.1.0/24 (mismo segmento de subred)

Si cuando te conectas, el Cisco te dice que alcanzarás la 192.168.1.0/24 a través de SU interfaz virtual, no podrás ver los equipos de tu LAN a través de tu NIC (esto lo puedes verificar con un route print)...

Lo que debería hacer es decir que DETERMINADAS IPs se alcanzan por su interfaz y poner una ruta para cada una de esas IPs, y no para toda la subred... Aun así, esas IPs no podrían conectarse desde tu LAN.

Lo mejor es que tengas tu ordenador en un segmento de red diferente al de la LAN remota alcanzable via VPN (es decir, cambiando tu LAN de 192.168.1.0 a 192.168.2.0, por ejemplo)...

Esa sería la mejor solución, suponiendo que tu problema fuese éste, claro (que es a lo que suena, al menos en principio).