Principal » Foro » Redes » LAN / Wireless

Acceso subred [Solucionado]

Publicado: 27 Febrero, 2010 - 12:34 Acceso subred [Solucionado]

Hola, ¿qué tal? ¿Cómo va?

Bueno os cuento mi problema:

Estoy configurando una red con los siguientes componentes:

1- PC con Debian que se conecta por wlan0 (192.168.1.15) a un router WIFI y por eth0 (192.168.2.1) a un router WRT54G (192.168.2.2).

2- El WRT54G tiene la Dirección 192.168.2.2 y puerta de enlace 192.168.2.1 (que es la eth0 del pc anterior)

3- Los pcs que se conectan a WRT54G tienen las direcciones 192.168.3.xx y como puerta de enlace 192.168.3.1 para conectarse a WRT54G

Internet

<-->

Router WIFI (192.168.1.1)

<-->

wlan0 (192.168.1.15) PC eth0

<-->

Entrada internet (192.168.2.2) WRT54G (192.168.3.1)

<--->

Demás pc con ips del rango 192.168.3.xx

*Espero que quede clara la explicación, de todas formas si hacen falta más datos o aclaraciones no dudeis en pedirmelas.

Bien, el problema es el siguiente:

1- Si hago ping desde cualquier pc detrás de WRT54G (192.168.3.xx) a otro pc de esa red (192.168.3.xx), a la puerta de enlace (192.168.3.1), al pc (192.168.2.1), al router 192.168.1.1 e Internet, hay respuesta.

2- Si hago ping desde el pc (192.168.2.1) al WRT54G (192.168.2.2) no hay respuesta.

3- Si hago ping desde el pc (192.168.2.1) al WRT54G (192.168.3.1) la respuesta es:

        PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
        From 192.168.153.1 icmp_seq=1 Packet filtered
        From 192.168.153.1 icmp_seq=2 Packet filtered
        From 192.168.153.1 icmp_seq=3 Packet filtered
        From 192.168.153.1 icmp_seq=4 Packet filtered

4- Si hago ping desde el pc (192.168.2.1) a los pc que están detrás de WRT54G (192.168.3.xx) la respueta es:

        PING 192.168.3.10 (192.168.3.10) 56(84) bytes of data.
        From 192.168.153.1 icmp_seq=1 Packet filtered
        From 192.168.153.1 icmp_seq=2 Packet filtered
        From 192.168.153.1 icmp_seq=3 Packet filtered

En resumidas cuentas no tengo acceso a la red después de 192.168.3.1 y no puedo controlar por SSH esos pcs, compartir archivos,etc...

Supongo que tiene algo que ver que el WRT54G está filtrando los paquetes, y si es el caso no tengo ni idea por donde debería coger el tema para solucionarlo.

Pues eso si alguien me puede echar una mano le estaré muy agradecido.

Saludos

Publicado: 27 Febrero, 2010 - 13:53 Re: Acceso subred [Solucionado] #1
crear escribió:

2- Si hago ping desde el pc (192.168.2.1) al WRT54G (192.168.2.2) no hay respuesta.

Como bien has supuesto, el WRT ha de estar bloqueando los paquetes ICMPs procedentes del exterior. De hecho, sería ciertamente arriesgado permitirlos por defecto, ya que posibilitaría bloquear el dispositivo con un DoS (no en tu situación actual, claro).

Te toca mirar la documentación o navegar por su configuración web.

De todos modos, consulta la tabla de rutas de tu PC "principal". Teóricamente, al levantar eth0 se tendría que haber añadido la entrada correspondiente para la red 192.168.2.0/24, pero nunca está de más confirmarlo.

crear escribió:

3- Si hago ping desde el pc (192.168.2.1) al WRT54G (192.168.3.1) la respuesta es:

        PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
        From 192.168.153.1 icmp_seq=1 Packet filtered
        From 192.168.153.1 icmp_seq=2 Packet filtered
        From 192.168.153.1 icmp_seq=3 Packet filtered
        From 192.168.153.1 icmp_seq=4 Packet filtered

4- Si hago ping desde el pc (192.168.2.1) a los pc que están detrás de WRT54G (192.168.3.xx) la respueta es:

        PING 192.168.3.10 (192.168.3.10) 56(84) bytes of data.
        From 192.168.153.1 icmp_seq=1 Packet filtered
        From 192.168.153.1 icmp_seq=2 Packet filtered
        From 192.168.153.1 icmp_seq=3 Packet filtered

Si ya de entrada el WRT no acepta los paquetes ICMP, difícilmente los va a enrutar a otras redes. Deberías revisar también su propia tabla de rutas.

Por cierto, si quieres auditar el estado de los servidores que tienes distribuidos por tus distintas redes, te recomiendo nmap.

P.D.: Solución "cobarde" XD: usar el WRT como switch, en vez de como router.

Publicado: 27 Febrero, 2010 - 14:32 Re: Acceso subred [Solucionado] #2

Para tener acceso a la red LAN configurada en el Linksys, deberás redirigir los puertos utilizados por los diferentes servicios a las direcciones Ip privadas asignadas a los distintos PC's que cuelgan de ese dispositivo.

En cuanto a no obtener respuesta ICMP del lado WAN del WRT54G, puede deberse, como bien apunta mcdes, a una restricción establecida por seguridad (ver web de configuración del router).

Saludos wink

Publicado: 27 Febrero, 2010 - 16:17 Re: Acceso subred [Solucionado] #3

Hola, gracias por vuestras respuestas, mceds y quilloquepasa.

mceds escribió:

De todos modos, consulta la tabla de rutas de tu PC "principal". Teóricamente, al levantar eth0 se tendría que haber añadido la entrada correspondiente para la red 192.168.2.0/24, pero nunca está de más confirmarlo.

Si te refieres a que si en el archivo /etc/networ/interfaces he puesto "network 192.168.2.0/24" así es.

mceds escribió:

P.D.: Solución "cobarde" XD: usar el WRT como switch, en vez de como router.

He estado viendo un poco las opciones de las páginas de configuración del Router WRT54G y por ahora no tengo ni idea de por donde echarle mano. Así que hasta que esté un poco más metido en el tema de redes y tenga más tiempo creo que usarlo sólo como switch va a ser la mejor opción. Al fin y al cabo el pc "principal" quiero que ofrezca los servicios de cache de webs, firewall, apt-cacher y DNS a los pcs de la red 192.168.2.xxx para no saturar la conexión.

Pasos que he seguido para el cambio por si sirve de ayuda a alguien:

1- Resetear a valores por defecto (así empiezo de nuevo)

2- Cambiar el WRT54G desde su pagina de configuración http://192.168.1.1 > Configuración > Configuración básica

Dirección IP local 192.168.2.1
Máscara de subred 255.255.255.0

Guardar configuración
(por lo tanto pierdo la conexión desde el pc en el que estoy.)

3- Configuro el archivo /etc/network/interfaces del pc como sigue:

# eth0
auto eth0
iface eth0 inet static
    address 192.168.2.2
    netmask 255.255.255.0
    broadcast 192.168.2.255
    network 192.168.2.0/24

4- Y los demás pcs los configuro como sigue:

ip: 192.168.2.xxx
máscara de subred: 255.255.255.0
Puerta de enlace predeteminada: 192.168.2.2
Servidor DNS: a gusto del usuario

Otra pregunta, si pongo el tema como SOLUCIONADO alguien puede añadir alguna respuesta más es por si alguien me quiere dar algun consejo sobre el tema.

Salu2 y gracias por vuestro tiempo.

Publicado: 27 Febrero, 2010 - 16:33 Re: Acceso subred [Solucionado] #4

No te aconsejo que marques el hilo como solucionado, pues a todas luces es evidente que no es lo apropiado. No obstante si tienes tiempo y deseas que te ayuden con acierto, te recomendaría que nos postearas un gráfico del diseño de tu red con expresión de tus pretensiones, de tal manera que nos facilitaría en consecuencia la labor de asesorarte correctamente.

Al margen de todo ello, decirte que los Linksys WRT son muy versátiles, toda vez que puedes flashearlos con firmwares de terceros como es el caso de DD-WRT, con numerosas funcionalidades en cuanto a networking se refiere.

Saludos wink

Publicado: 27 Febrero, 2010 - 16:53 Re: Acceso subred [Solucionado] #5
quilloquepasa escribió:

No te aconsejo que marques el hilo como solucionado, pues a todas luces es evidente que no es lo apropiado. No obstante si tienes tiempo y deseas que te ayuden con acierto, te recomendaría que nos postearas un gráfico del diseño de tu red con expresión de tus pretensiones, de tal manera que nos facilitaría en consecuencia la labor de asesorarte correctamente.

Ok, tienes razón en cuando pueda hacer el gráfico de la red que quiero montar lo subo.

quilloquepasa escribió:

Al margen de todo ello, decirte que los Linksys WRT son muy versátiles, toda vez que puedes flashearlos con firmwares de terceros como es el caso de DD-WRT, con numerosas funcionalidades en cuanto a networking se refiere.

Si habia oido algo sobre cambiar el firmware del WRT54G, lo malo es que el mio es la versión 7.00.8 y creo que con ese modelo no se puede, que alguien me corrija si no es así.

Gracias por el interés mostrado.

Salu2

Publicado: 27 Febrero, 2010 - 17:00 Re: Acceso subred [Solucionado] #6
www.dd-wrt.com escribió:

Gv7.0
WARNING The WRT54G v7 uses an Atheros AR2317 chip, has 2MB ROM, 8MB RAM and runs VxWorks. It is not supported by DD-WRT as the WRT54G v7 isn't Broadcom based. The WRT54G v7 will probably never be supported

También es mala suerte haber ido a pillar el malo.

Publicado: 27 Febrero, 2010 - 17:09 Re: Acceso subred [Solucionado] #7
mceds escribió:
www.dd-wrt.com escribió:

Gv7.0
WARNING The WRT54G v7 uses an Atheros AR2317 chip, has 2MB ROM, 8MB RAM and runs VxWorks. It is not supported by DD-WRT as the WRT54G v7 isn't Broadcom based. The WRT54G v7 will probably never be supported

También es mala suerte haber ido a pillar el malo.

Si, la verdad es que es mala suerte, pero como me lo dió un amigo por que se compró otro y este lo tenía tirado por casa. Pero bueno, que vamos a hacerle. wink

Salu2

Publicado: 28 Febrero, 2010 - 12:19 Re: Acceso subred [Solucionado] #8

Vamos al lío, ahora que he tenido un rato.

Si no me equivoco así se encontraba tu red en principio:

Bien, en las opciones de la web de configuración del WRT54G, con firmware original de Linksys, creo que se halla una pestaña llamada Seguridad, que a su vez cuenta con otra subordinada de nombre Firewall y sus distintos apartados, entre otros, Filtros de Internet. Desactiva el Firewall o desmarcas la opción Solicitudes anónimas de filtros de internet. Guardas parámetros.

Luego prueba a realizar ping a 192.168.2.2 desde Debian y nos cuentas.

Saludos wink

Publicado: 1 Marzo, 2010 - 12:16 Re: Acceso subred [Solucionado] #9

Hola, perdón por el retraso en cotestar y gracias por el interés.

quilloquepasa escribió:

Vamos al lío, ahora que he tenido un rato.

Si no me equivoco así se encontraba tu red en principio:...

Correcto, la imagen describe perfectamente el diseño de la red.

1- ¿Qué programa utilizas? ¿Tal vez Dia?

En cuanto al WRT54G, Manual WRT54G v7

La pestaña Configuración > Configuración básica (pág. 287 del manual)

Lo tengo configurado de la siguiente forma:

Configuración de Internet
    Tipo de conexión a Internet: IP fija
    Dirección IP de Internet: 192.168.2.2
    Máscara de subred: 255.255.255.0
    Puerta de enlace: 192.168.2.1
    DNS 1 fijo: xxx.xxx.xxx.xxx
    DNS 2 ...

Configuración de red
    Ip del enrutador: Dirección IP local 192.168.3.1
    Máscara de subred: 255.255.255.0

quilloquepasa escribió:

Bien, en las opciones de la web de configuración del WRT54G, con firmware original de Linksys, creo que se halla una pestaña llamada Seguridad, que a su vez cuenta con otra subordinada de nombre Firewall y sus distintos apartados, entre otros, Filtros de Internet. Desactiva el Firewall o desmarcas la opción Solicitudes anónimas de filtros de internet. Guardas parámetros.

Pestaña Seguridad > Servidor de seguridad (pág. 301 del manual)

- Bloquear solicitudes anónimas de Internet (desactivado)
- Filtrar multidifusión (desactivado)
- Filtrar redirección NAT de Internet (desactivado)
- Filtrar IDENT (puerto 113) (desactivado)

Si hago ping desde pc Debian a 192.168.2.2, hay respuesta.

ping 192.168.2.2
PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
64 bytes from 192.168.2.2: icmp_seq=1 ttl=64 time=1.39 ms
64 bytes from 192.168.2.2: icmp_seq=2 ttl=64 time=1.06 ms
64 bytes from 192.168.2.2: icmp_seq=3 ttl=64 time=1.07 ms

Si hago ping desde pc Debian a 192.168.3.1 o 192.168.3.10 se queda ahí y no hay respuesta

ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.

Si hago ping desde PC01 a 192.168.3.1, 192.168.2.1 o http://www.google.es, no hay problema, si tengo respuesta.

Mirando por el manual creo que puede tener algo que ver esta sección:

Pestaña Configuración > Enrutamiento avanzado (pág. 293 del manual)

Aunque he estado probando varias opciones y lo único que consigo es quedarme sin conexión o que no me permita los cambios.

NOTA: no se si tendrá algo que ver:

1- Ejecuto al inicio:

#!/bin/bash
# Habilitando IPv4 forwarding

echo "Habilitando IPv4 forwarding"
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o wlan0 -j MASQUERADE
iptables -A INPUT -s 192.168.2.0/24 -i eth0 -j ACCEPT

2- Y tengo deshabilitado IPV6

Salu2 y gracias.

Publicado: 1 Marzo, 2010 - 12:51 Re: Acceso subred [Solucionado] #10

Por lo que a mí respecta, no veo que exista problema alguno, salvo tu empeño en querer que la red 192.168.2.0/24 vea a la red 192.168.3.0/24. Eso no es posible en tanto en cuanto en el WRT54G se halle configurado NAT, por pura lógica, de lo contrario mal asunto. Ahora bien, si en ese router corriera un firmware de terceros como DD-WRT otro gallo cantaría, refiriéndome a las peticiones ICMP, en cuyo caso obtendrían respuesta desde 192.168.2.0/24 -casualmente mi red doméstica se parece bastante a la tuya, sólo que monto firmwares DD-WRT sobre sendos Linksys WRT54GL y WRT160N-.

Una vez comprobado que tenemos conexión con la parte WAN del Linksys (192.168.2.2/24), ya podemos acceder a los PC`s de la red 192.168.3.0/24 para administrarlos por SSH. Para ello tan sólo debes abrir los puertos correspondientes en WRT54G y redirigir las peticiones a cada Ip privada (192.168.3.x/24) asignada por ese dispositivo de red. Como no es posible abrir el mismo puerto para varias direcciones Ip's, mi recomendación pasa porque en cada PC se encuentre un servidor SSH iniciado en distinto puerto de escucha. Me explico a modo de ejemplo, has de configurar el servicio SSH en el puerto 22 para PC01, en otro puerto diferente en PC02 y lo propio en PC03. Procura elegir los puertos de escucha por encima del 1024 a partir del segundo PC.

En cuanto al firewall en Debian, creo que lo tienes bien configurado para distribuir internet y por último decirte que es normal que desde las redes subordinadas hacia el exterior obtengas ping. Esto te lo permite NAT.

Saludos wink

123siguiente ›última »