[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: vpn netbios

Estoy de acuerdo contigo en que un ejemplo especifico clarificara las cosas. Ahora 
mismo explicare como se soluciona el problema que tu planteas con un tunel 
Lan-to-Lan y, si encuentro algun link en alguna web lo posteare. 
De momento me gustaria dejar claro una cosa. Las conexiones VPN son realmente 
"tuneles VPN" y estos tuneles VPN se realizan desde el Concentrador VPN hasta el 
Cliente VPN. Donde quiera que estos esten y haya lo que haya entre medias, todo el 
trafico pasara (mientras haya una regla que lo permita), puesto que todos los 
paquetes que van por el tunel es trafico IPSEC, ya no es NetBios ni nada por el 
estilo, el NetBios va por debajo, encapsulado dentro del IPSEC. 
Ahora bien, si detras del Concentrador VPN -entendiendo "detras" como en la red 
remota a donde queremos conectar- tenemos un router que divide la red en varias 
subredes, como pueden ser la subred de Ventas, la subred de Comunicaciones y la 
subred de VPN, el trafico NetBios solo podra acceder a la subred de VPN, porque 
NetBios, efectivamente, no es enrutable. Tendriamos que usar Wins o DNS. Al resto 
de las subredes podremos acceder si asi lo tenemos configurado en el VPN por ip. Y 
si en la red remota no tenemos un router dividiendola, si es una red plana, 
podremos usar NetBios sin mas. 
Buff.... ahora me queda la segunda parte (este post va a ser denso) 
Para solucionar lo que tu has dicho, una solucion es usar NAT en un LAN-to-LAN. 
Segun el ejemplo que tu propones voy a hacer un dibujo para clarificarlo. 
 
[Red Privada] 192.168.1.0/24 [VPN]  Internet   [VPN] 192.168.1.0/24 [Red Privada] 
[	    ]----------------[ 1 ]-------------[ 2 ]----------------[		] 
[    1      ]		     [   ]	       [   ]		    [  2	] 
			       |		 | 
			  10.1.1.0/24	    20.1.1.0/24 
 
Como ves, se soluciona con 2 VPNs. 
Bien. En el dibujo, para comunicar desde la Red Privada 1 a la 2, nosotros salimos 
con una ip, pongamos, 192.168.1.13 al VPN. El VPN traduce esta red a otra que 
tenemos configurada y que el administrador de la red privada 2 conoce. Esto es la 
"translated network". La ip que nos asigne de la red trasladada puede ser 
preasignada o podemos dejar al VPN que nos la asigne. Pongamos que nos da la ip 
10.1.1.5. El administrador de la Red Privada 2, cuando configuro su VPN nos dijo 
que su "translated network" era la 20.1.1.0/24. Asi que este paquete viajara por 
internet con destino esta red. Cuando el paquete llega al VPN2, este realiza la 
traduccion inversa para que sea localmente entendible esa ip.  
Cuando los usuarios de la Red Privada 2 quieran comunicarse con la Red Privada 1, 
es igual. 
Este mismo problema que me comentabas lo tuve yo tambien, y al final no me hizo 
falta aplicar esta solucion NAT Lan-to-Lan, porque aunque la red remota y la local 
eran las mismas (10.x...), solo iban a acceder a un par de servidores de nuestra 
red, y la comunicacion iba a ser unidireccional (de red remota a red local), asi 
que en el VPN le configure para que tunelizara solamente las ips de los servidores 
mios locales, y a el le dije que esas ips no las usara para nada (tampoco las iba a 
necesitar). 
En fin, creo que esto se ha salido un poco de madre, no?  
Si quieres, busca en google o en linux NAT over lan-to-lan y a lo mejor sale algo 
de esto. Y si no, en Cisco seguro que algo viene. 
Un saludo velkrox 
 
 
On Fri Dec 17  6:10 , <velkrox@yahoo.com.ar> sent: 
 
> 
>Bueno, primero comentar que esto empieza a ser casi un Off Topic... 
> 
> 
>si bien no creo que esta conversacion sea un off-topic, se que estamos en el 
>limite. 
> 
> 
>Y la expresion que utilice en mi otro post de "es como si estuvieras en la 
>red 
>remota" lo digo porque se te asigna una ip de la red remota, y puedes hacer 
>cualquier cosa con la red (resolver nombres netbios, por ejemplo. Yo por lo 
>menos 
>puedo) mientras el VPN tenga una regla que te permita hacerlo. 
> 
> 
> 
>para ver si llegamos a un acuerdo, me gustaria proponer dos ambientes, como 
>lo hice en mi mail anterior, pero esta vez un poco mas especifico, y que nos 
>refiramos respecto a estos como para llegar a un acuerdo. 
> 
>ambiente 1) 
>red a: 192.168.1.0/24 gateway 192.168.1.1 
>red b: 192.168.2.0/24 gateway 192.168.2.1 
> 
>ambiente 2) 
>red a: 192.168.1.0/24 gateway 192.168.1.1 
>red b: 192.168.1.0/24 gateway 192.168.1.2 
> 
>en el ambiente 1 yo no creo que funcione netbios debido a que este no es 
>enruteable. a no ser que forwardees a traves de iptables y quizas 
>combinandolo con un servidor wins, lo cual seria utilizar algo para lo que 
>no fue diseñado, y realmente no se como puede funcionar. 
> 
>con respecto al ambiente 2, lo veo totalmente inviable, a la larga es muy 
>complicado de administrar. 
> 
>vos decis : esto en el ambiente 1 no 
>es verdad. 
>tambien decis : esto no 
>es asi, a no ser que, como dije en un post anterior, utilices el metodo de 
>acceso remoto a la red (ras), lo cual no se aplica a ninguno de los dos 
>ambientes que puse de ejemplo. 
> 
>una duda que me acaba de surgir, a quien te referis cuando decis  
>porque se te asigna una ip de la red remota>? a quien se le asigna? 
> 
> 
>En fin, no se si este debate llevara muy lejos porque Andres Aponte no se si 
>esta 
>leyendo esto. En todo caso, me parece interesante el tema. 
> 
> 
>coincido totalmente, por eso es que sigo escribiendo. me parece un tema 
>sumamente interesante, y al menos yo, tengo varias dudas. 
> 
>saludos, velkro. 
> 
> 
>On Thu Dec 16 14:07 , velkrox@yahoo.com.ar> sent: 
> 
>>yokin: un par de comentarios: 
>> 
>>andres aponte en su mail original dice: 
>>windows se conecten>. 
>> 
>>esto puede tener dos puntos de vista: 
>>1) que ambas redes tengan la misma subnet, teniendo que tener alguna forma 
>>de asignacion de ips para no solapar las de una red fisica con los de la 
>>otra punta. 
>>2) la mas comun, que ambas redes tengan diferentes subredes. 
>> 
>>andres tendria que comentarnos como tiene realmente configurada sus redes, 
>>pero de momento pienso que tiene la opcion 2. respecto a lo que vos decis 
>> es incorrrecto desde 
>>el punto de vista de que se necesitaria que netbios sea enrutable 
>justamente 
>>por tener diferentes subnets. una opcion que nunca probe seria poner uno o 
>>mas servidores wins. 
>> 
>>otra cosa que comentas es: 
>>"virtualmente" una ip de la LAN remota, es como si estuvieras en la LAN 
>>remota.>. esto tampoco se aplica a este caso. porque el ya tiene las redes 
>>montadas, con sus respectivas ips, y lo unico que quiere hacer es 
>>vincularlas. lo que vos comentas se aplica para ras (remote access server). 
>> 
>>que quede claro que no es que te quiera corregir por el solo hecho de 
>>molestar, sino que todo lo contrario, intento dar mi opinion al respecto. 
>>obviamente, si alguien piensa que estoy herrado, que lo comente. 
>> 
>>saludos, velkro. 
>> 
>>----- Original Message -----  
>>From: yokin00@spymac.com 
>>To: debian-user-spanish@lists.debian.org ; velkrox@yahoo.com.ar 
>>Sent: Friday, December 10, 2004 06:48 
>>Subject: Re: vpn netbios 
>> 
>> 
>>Sé que ya ha pasado mucho tiempo desde el inicio de este tema, pero es 
>ahora 
>>cuando me pongo a leer antiguos correos, perdon por la tardanza... 
>>No tiene nada que ver que el netbios no sea enrutable. De hecho, cuando te 
>>conectas por VPN, se te asigna "virtualmente" una ip de la LAN remota, es 
>>como si estuvieras en la LAN remota. 
>>Si no puedes acceder a las maquinas de la LAN por nombres netbios sera 
>>porque el VPN no deja pasar los paquetes de netbios. 
>>Yo utilizo tambien un VPN, que aunque no es sobre linux, no tiene nada que 
>>ver. Esta pregunta es solo sobre teoria de los VPN. Habria que abrir los 
>>puertos de netbios. Estos son 137-139. Y en los viejos Windows (creo que 
>>hasta el 98, o a lo mejor el 2000, ya no me acuerdo) tambien el 445. No te 
>>se decir si UDP o TCP, yo siempre lo compruebo desde los Windows (en el 
>>mundo linux me introduci hace poco y aun no soy muy ducho en ello) con un 
>>netstat -a cuando hago la peticion netbios para comprobar si usa TCP o UDP. 
>> 
>>Y, de todos modos, si los nombres de las maquinas de la LAN los resuelve un 
>>servidor DNS, tambien tendras que crear una regla para que las conexiones 
>>VPN vean el servidor DNS, tanto para la entrada como para la salida. No me 
>>preguntes  la practica, que no la se. Solo te puedo decir la teoria. 
>> 
>>Un saludo. 
>> 
>> 
>>On Sat Nov 27 9:14 , velkrox@yahoo.com.ar> sent: 
>> 
>> 
>>andres: 
>>yo tengo configurado un servidor de vpn para acceso remoto bajo windows 
>>2000 server, y si bien me asigna la direccion ip a traves de dhcp, no logre 
>>utilizar nombres netbios para acceder a las pcs internas. 
>>voy a ver si la semana que viene hago mas pruebas y te comento. 
>> 
>>disculpa por la tardanza, espero que te sirva mi comentario. 
>>saludos, velkro. 
>> 
>>----- Original Message -----  
>>From: "Andres Aponte" andresglinux@yahoo.com> 
>>To: debian-user-spanish@lists.debian.org> 
>>Sent: Friday, November 12, 2004 13:56 
>>Subject: vpn netbios 
>> 
>> 
>>Saludos, necesito configurar en internet dos 
>>servidores linux sarge en distinta ubicacion 
>>geografica, con el objetivo que las dos lan windows se 
>>conecten y se puedan ver los pscs entre si a travez 
>>del entorno de red de windows, pero quiero proteger 
>>esto utilizando una vpn entre los dos linux, por lo 
>>que he averiguado no siempre funciona bien el netbios 
>>en redes wan ya que es un protocolo no enrutable, gracias. 
> 
> 
> 
> 
>--  
>To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org 
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org 
>
Reply to: