Pregunta
Quisiera hacerles una consulta en relación al comportamiento del Linksys WRV210 en relación a una VPN IPSEC.
Tengo el siguiente esquema:
Lado A:
Gateway: Juniper SSG 520
Subred: 192.168.40.0/24
Lado B:
Gateway: Linksys WRV210
Subred: 192.168.2.0/24
Como les comentaba antes, tengo armado un túnel IPSEC entre ambos extremos, el cual está funcionando OK.
Adicionalmente, en el Juniper generé las políticas para que todo tráfico que venga desde la Subred Remota, hacia la Subred Local, esté permitido y viceversa tambien.
En el Linksys, no tengo una forma similar de permitir políticas, solo el reenvío de puertos o la redirección de puertos.
A raíz de esto, me doy cuenta que puedo entrar desde el LADO B a la Red del Lado A, pero no alreves.
Alguien tiene idea qué puede estar faltando?
Pensé por un momento en publicar los puertos del Linksys, es decir, si desde el Lado A quiero ingresar por RDP a una PC del Lado B, publicar el puerto 3389 y que me lleve a una IP, pero la idea es tener acceso a todos los recursos de dicha red, y no tener que especificar por IP.
Les agradezco de antemano por cualquier comentario que puedan aportar, saludos.
Respuesta
Hace un par de años instale un red y implemente VPNs contra un router juniper, para eso me consegui unos clientes vpn de juniper para instalar en las PC remotas, no es lo mismo que tu escenario pero te puede sacar del apuro hasta que le encontres la vuelta
Aclaración de la pregunta
Entiendo lo que me decís, pero fijate que la cuestión no es el impedimento de acceso hacia el Juniper, si no que el problema es que desde el Juniper no puedo entrar a los equipos que están detrás del Linksys.
Debido a que el Juniper es un equipo más caro, funcional y sofisticado, como era de esperarse, te permite establecer políticas que determinen permitir o denegar según se requiera, todo tráfico que se genere en un determinado orígen (puede ser una IP o una Subred completa) hacia X destino (idem anterior), y eso es lo que está faltando en el Linksys.
En resumen, desde el Linksys puedo salir, lo que sucede es que el ingreso desde Internet hacia el Linksys, ese es el problema y a nivel políticas, no hay ninguna que me permita decir que todo lo que venga desde la LAN 192.168.40.0/24 (va a entender esa subred porque estamos conectados mediante el túnel ipsec) y que se dirija hacia la subred 192.168.2.0/24, lisa y llanamente se permita, tal como lo tengo configurado en el Juniper pero con las subredes invertidas obviamente.