Nat Alias - VPN - Escritorio Remoto



  • Buenas, he posteado esto en el foro en ingles, sin embargo, dada mi lenguaje nativo, opte también por hacerlo aquí.
    He buscado tanto en esto foro como en internet sobre mi problema, sin resultado positivo, por lo que estoy enviando mi consulta

    Así tengo las cosas en mi oficina:

    Modem > Cisco Pix 501 > Router DLink LB-LI605 > Switch > LAN

    Notas:

    • Tengo ip pública estática
    • El pix me provee de vpn con uno de mis clientes (sobre internet) y la misma es mantenida por mi isp, no tiene reglas de inbound o outbound
    • Yo no tengo potestades de administración sobre el pix, todo lo tiene mi isp
    • El router lo uso también como firewall. Dado que no quiero depender de mi isp, es que las reglas de inbound las tengo en el router. También es el gateway de cada máquina de la lan
    • La LAN es como si fueran dos, algunas pc's acceden a la vpn e internet, y otras solo a internet

    La forma en que decido si una pc puede acceder a la vpn es mediante un nat alias en el router, como se ve en el siguiente link:

    http://www.support.dlink.com/emulators/dilb604/nat.htm (set nat alias button).

    192.168.0.40 > 10.10.2.40

    Esto es necesario ya que mi isp me indicó que debería natear mis ip's para poder acceder a la vpn, aparentemente es porque mi cliente tiene las mismas ip's… ahi nose..., de todas formas lo hice y funciona....

    Mi lan es 192.168.0.x y los nat alias son 10.10.2.x.

    Entonces, cuando una pc intenta acceder a una ip de mi cliente, el pix recibe el alias ip (que hizo el router) y redirige el tráfico hacia la vpn, hasta ahí todo bien.

    Mi gran problema (aún habiendo otros):

    """ Solo puedo tener uno de dos, acceder a la vpn o tener escritorio remoto """

    • Cuando seteo un nat alias, en la configuración existe un checkbox "allow inbound" (no se ve en el emulador que puse arriba)
    • Si deschequeo esa opción, tengo vpn sin problemas, pero no puedo hacer escritorio remoto desde afuera de la oficina
    • Si la chequeo, pierdo la conexión vpn, pero puedo hacer escritorio remoto sin problemas
    • Quiero brindar escritorio remoto a los desarrolladores, para que desde su casa, puedan trabajar, también conectándose a la vpn

    (escritorio remoto me funciona sin problemas, salvo el detalle de la vpn)

    y también se suman estos temas:

    • El router solo me permite 16 alias y estoy necesitando más
    • Estoy utilizando un router que si bien no me salió tan barato, no creo que sea lo mejor como firewall y hasta el momento estuve evaluando pfsense y está resultando un excelente producto

    Por lo cual, las preguntas son varias :) :

    • Puedo con pfsense, realizar esas nat alias, cómo?
    • pfSense me permite tener esas dos funcionalidades en simultáneo, vpn con el cliente y remote desktop?
    • Si uso con pfSense, OpenVPN, todavia seguiría teniendo vpn con mi cliente, remote desktop y mi propia vpn?

    Entiendo yo que son muchas las preguntas y que su conocimiento podría darme algo de luz ante esta situación.

    También temo, que mi mayor problema sea de enfoque, es decir, la solución podría ser otra y estoy muy enfocado en la propia problematica
    que tengo hoy con ese router, capaz la solución sea mucho más simple de lo que pienso

    Desde ya, muchas gracias.

    Federico.
    Argentina.



  • Buenas.

    Ya he logrado vía OpenVPN, conectarme con la oficina y directamente hacer un escritorio remoto sobre una de las pc's que tiene un nat alias y pude con escritorio remoto acceder a la vpn de mi cliente sin problemas.

    Es decir, que solo restaría el tema del nat alias que hoy tiene el router y poder reemplazarlo por pfsense directamente.

    Si la respuesta ya ha sido dada o algun aspecto de mi consulta ya fue preguntado, pido mis disculpas por no haberla detectado, solo agradeceré si me indicaran el camino a revisar al menos para orientarme en la búsqueda.

    Alguien me contó que lo que necesito podría estar vinculado al Nat Outbound del pfsense, pero si no ví mal, ahí se ponen subnets, no ip's, por eso es que también me genera dudas este punto.

    Desde ya les agradezco.

    salu2


Log in to reply