Bienvenido a la Comunidad UBNT

Problema al hacer routing


Buenos dias,

Recientemente he adquirido un router EdgeRouter X SFP. Y me
encuento con un problema a la hora de hacer routing.

Para que sepáis como tengo montada la red, os dejo un
diagrama.diagrama

Lo que quiero hacer es que los clientes de red LAN
172.16.0.0/24, pueden acceder a los clientes de la red VPN 10.8.0.0/24. El
servidor VPN es el 172.16.0.2, que es un NAS Synology.

 

Antes tenia un router tp-link R470T, y para hacerlo, solo tube
que añadir la siguiente linia en el apartado de routing:

 

 IMG_20171220_211723

 

Ahora el el nuevo router edgerouter x SFP, que echo exactamente
lo mismo, y este no funciona:

 

routing


Si hago un ping desde el cliente VPN (10.8.0.6) a cualquier equipo de la LAN (172.16.0.0/24), todo funciona correctamente

ping

Si hago un traceroute desde un pc cliente ( 172.16.0.0/24) hacia el equipo de la VPN (10.8.0.10), obtengo que no
sale por la 172.16.0.2, sino que sale por la 172.16.0.1

 tracert

Por otro lado, si hago el traceroute desde el router (172.16.0.1) mediante el CLI, este
enruta bien hacia la 172.16.0.2, pero no llega al ciente de VPN, cuando con el
router antiguo no he tenido nunca ningún problema. Sabeis que es lo que puede
pasar?


traceroute

Os dejo la configuración que tengo ahora mismo:

ubnt@ubnt# show                                                                  firewall {                                                                          all-ping enable                                                                 broadcast-ping disable                                                          ipv6-receive-redirects disable                                                  ipv6-src-route disable                                                          ip-src-route disable                                                            log-martians disable                                                            modify balance {                                                                    rule 1 {                                                                            action modify                                                                   modify {                                                                            lb-group G                                                                  }                                                                           }                                                                           }                                                                               name 10.8.0.0_permit {                                                              default-action accept                                                           description ""                                                                  rule 1 {                                                                            action accept                                                                   description vpn                                                                 destination {                                                                       address 10.8.0.0/24                                                             port 1-65000             }             log disable             protocol tcp_udp         }     }     name WAN_IN {         default-action drop         description "WAN to internal"         rule 10 {             action accept             description "Allow established/related"             state {                 established enable                 related enable             }         }         rule 20 {             action drop             description "Drop invalid state"             state {                 invalid enable             }         }     }     name WAN_LOCAL {         default-action drop         description "WAN to router"         rule 10 {             action accept             description "Allow established/related"             state {                 established enable                 related enable             }         }         rule 20 {             action drop             description "Drop invalid state"             state {                 invalid enable             }         }     }     receive-redirects disable     send-redirects enable     source-validation disable     syn-cookies enable } interfaces {     ethernet eth0 {         address 172.16.2.254/24         description "Internet - WAN"         duplex auto         firewall {             in {                 name WAN_IN             }             local {                 name WAN_LOCAL             }         }         speed auto     }     ethernet eth1 {         address 10.10.10.6/28         description "Internet - WAN 2"         duplex auto         firewall {             in {                 name WAN_IN             }             local {                 name WAN_LOCAL             }         }         speed auto     }     ethernet eth2 {         description Local         duplex auto         speed auto     }     ethernet eth3 {         description Local         duplex auto         speed auto     }     ethernet eth4 {         description Local         duplex auto         speed auto     }     ethernet eth5 {         duplex auto         speed auto     }     loopback lo {     }     switch switch0 {         address 172.16.0.1/24         description Local         firewall {             in {                 modify balance             }             out {                 name 10.8.0.0_permit             }         }         mtu 1500         switch-port {             interface eth2             interface eth3             interface eth4         }     } } load-balance {     
    group G {         interface eth0 {         }         interface eth1 {             failover-only         }     } } port-forward {     auto-firewall enable     hairpin-nat enable     lan-interface switch0     rule 1 {         description ""         forward-to {             address 172.16.0.2             port 5000-5001         }         original-port 5000-5001         protocol tcp     }     rule 2 {         description ""         forward-to {             address 172.16.0.2             port 9997-9999         }         original-port 9997-9999         protocol tcp_udp     }     rule 3 {         description ""         forward-to {             address 172.16.0.2             port 6881-6889         }         original-port 6881-6889         protocol tcp_udp     }     rule 4 {         description ""         forward-to {             address 172.16.0.2             port 80         }         original-port 80         protocol tcp     }     rule 5 {         description ""         forward-to {             address 172.16.0.2             port 443         }         original-port 443         protocol tcp     }     rule 6 {         description ""         forward-to {             address 172.16.0.2             port 7000-7001         }         original-port 7000-7001         protocol tcp     }     rule 7 {         description ""         forward-to {             address 172.16.0.2             port 9001-9900         }         original-port 9001-9900         protocol tcp     }     rule 8 {         description ""         forward-to {             address 172.16.0.2             port 5005-5006         }         original-port 5005-5006         protocol tcp     }     rule 9 {         description ""         forward-to {             address 172.16.0.2             port 6690         }         original-port 6690         protocol tcp_udp     }     rule 10 {         description ""         forward-to {             address 172.16.0.2             port 4662         }         original-port 4662         protocol tcp     }     rule 11 {         description ""         forward-to {             address 172.16.0.2             port 4672         }         original-port 4672         protocol udp     }     rule 12 {         description ""         forward-to {             address 172.16.0.2             port 6999         }         original-port 6890         protocol tcp_udp     }     rule 13 {         description ""         forward-to {             address 172.16.0.2             port 110         }         original-port 110         protocol tcp     }     rule 14 {         description ""         forward-to {             address 172.16.0.2             port 143         }         original-port 143         protocol tcp     }     rule 15 {         description ""         forward-to {             address 172.16.0.2             port 993         }         original-port 993         protocol tcp     }     rule 16 {         description ""         forward-to {             address 172.16.0.2             port 995         }         original-port 995         protocol tcp     }     rule 17 {         description ""         forward-to {             address 172.16.0.2             port 55536-55663         }         original-port 55536-55663         protocol tcp     }     rule 18 {         description ""         forward-to {             address 172.16.0.2             port 548         }         original-port 548         protocol tcp     }     rule 19 {         description ""         forward-to {             address 172.16.0.2             port 139         }         original-port 139         protocol tcp_udp     }     rule 20 {         description ""         forward-to {             address 172.16.0.2             port 445         }         original-port 445         protocol tcp_udp     }     rule 21 {         description ""         forward-to {             address 172.16.0.2             port 137-138         }         original-port 137-138         protocol udp     }     rule 22 {         description ""         forward-to {             address 172.16.0.2             port 111         }         original-port 111         protocol tcp_udp     }     rule 23 {         description ""         forward-to {             address 172.16.0.2             port 892         }         original-port 892         protocol tcp_udp     }     rule 24 {         description ""         forward-to {             address 172.16.0.2             port 1194         }         original-port 1194         protocol udp     }     rule 25 {         description ""         forward-to {             address 172.16.0.2             port 1723         }         original-port 1723         protocol tcp     }     rule 26 {         description ""         forward-to {             address 172.16.0.2             port 70         }         original-port 70         protocol tcp_udp     }     rule 27 {         description ""         forward-to {             address 172.16.0.2             port 514         }         original-port 514         protocol tcp_udp     }     rule 28 {         description ""         forward-to {             address 172.16.0.2             port 1701         }         original-port 1701         protocol tcp_udp     }     rule 29 {         description ""         forward-to {             address 172.16.0.2             port 500         }         original-port 500         protocol tcp_udp     }     rule 30 {         description ""         forward-to {             address 172.16.0.2             port 4500         }         original-port 4500         protocol tcp_udp     }     rule 31 {         description ""         forward-to {             address 172.16.0.11             port 1234         }         original-port 1234         protocol tcp_udp     }     rule 32 {         description ""         forward-to {             address 172.16.0.10             port 12345         }         original-port 12345         protocol tcp_udp     }     wan-interface eth0 } protocols {     static {         route 0.0.0.0/0 {             next-hop 10.10.10.1 {             }             next-hop 172.16.2.1 {             }         }         route 10.8.0.0/24 {             next-hop 172.16.0.2 {                 distance 1             }         }     } } service {     dhcp-server {         disabled false         hostfile-update disable         shared-network-name DHCP_LAN {             authoritative disable             subnet 172.16.0.0/24 {                 default-router 172.16.0.1                 dns-server 172.16.0.1                 dns-server 8.8.8.8                 lease 86400                 start 172.16.0.20 {                     stop 172.16.0.243                 }             }         }     }     dns {         forwarding {             cache-size 150             listen-on switch0         }     }     gui {         https-port 443     }     nat {         rule 5000 {             description "masquerade for WAN"             outbound-interface eth0             type masquerade         }         rule 5002 {             description "masquerade for WAN 2"             outbound-interface eth1             type masquerade         }     }     ssh {         port 22         protocol-version v2     } } system {     conntrack {         expect-table-size 4096         hash-size 4096         table-size 32768         tcp {             half-open-connections 512             loose enable             max-retrans 3         }     }     host-name ubnt     login {         user ubnt {             authentication {                 encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.             }             level admin         }     }     name-server 8.8.8.8     ntp {         server 0.ubnt.pool.ntp.org {         }         server 1.ubnt.pool.ntp.org {         }         server 2.ubnt.pool.ntp.org {         }         server 3.ubnt.pool.ntp.org {         }     }     syslog {         global {             facility all {                 level notice             }             facility protocols {                 level debug             }         }     }     time-zone UTC }[edit]ubnt@ubnt# 

Espero que me podais ayudar.
Muchas gracias






Etiquetado:

Comentarios

  • He conectado el router viejo, y aqui podeis ver que funciona sin problema:


    router viejo

    Seguro que es una chorrada. Espero que me podais ayudar.

    Gracias

  • La estructura es exactamente la misma que la que tenias antes ?

    En este caso , el trafico de las PCs que quieran ir hacia la red de la VPN 10.8.0.x , siempre se va a enrutar primero hacia su ruta por defecto que en este caso será el 172.16.0.1 y despues intentará ir hacia el host especificado en la ruta que diste de alta, en este caso 172.16.0.2.

    Muy probablemente como tienes balanceo el trafico esté intentando encontrar los hosts de la VPN por las interfaces de internet. 

    Podrias intentar esto para asegurar que ese trafico se vaya por la interface switch0 que es la de la LAN.

    set protocols static table 1 interface-route 10.8.0.0/24 next-hop-interface switch0
    set firewall modify OPENVPN_ROUTE rule 10 description 'trafico hacia la VPN'
    set firewall modify OPENVPN_ROUTE rule 10 source address 172.16.0.0/24
    set firewall modify OPENVPN_ROUTE rule 10 modify table 1


  • Buenas noches,

    la estructura es exactamente la misma que tenia antes. De echo al ver que no funcionava, he vuelto a conectar el router viejo, i esto me ha ido a la primera.

    Voy a intentar hacer lo que comettas i te digo a ver que tal a ido

    A ver que tal va, porque soy un poco novato en router ubiquiti (de momentoooo) :)
    Gracias

  • Hola,

    lo acabo de provar, i a través de CLI no reconoce ninguno de los comnadons que me has puestoo :(
    ruben@ubnt:~$ set protocols static table 1 interface-route 10.8.0.0/24 next-hop-interface switch0                                                               Invalid command    

    Que puede ser?
    Gracias
  • Hola,

    perdon, no sabia como se hacia, ya he visto que antes tenias que hacer un "configuration" para poder editar.

    e echo lo que me dices y algo ha mejorado. Si hago un ping desde la CLI del router, ya me contestan los equipos VPN :)

    En cambio, si lo hago desde un cliente de la red 172.16.0-X, los equipos VPN no contestan


    C:\Users\Ruben>tracert 10.8.0.6

    Traza a 10.8.0.6 sobre caminos de 30 saltos como máximo.

      1     3 ms     1 ms     1 ms  172.16.0.1
      2     *        *        *     Tiempo de espera agotado para esta solicitud.
      3     *        *        *     Tiempo de espera agotado para esta solicitud.


    Resumiendo. Desde la CLI del router funciona. Desde los equipos clientes no.

    Alguna idea mas?

    Gracias


    :D
  • Hola,

    lo siento, pero no me aclaro. Tengo muy claro que lo que tengo que hacer un un lan to lan exclusion. Pero no acabo de saber muy bien como hacerlo.

    Si solo tengo una LAN, he de hacer igualmente un grupo de red?

    no tengo muy claro que parametros poner. Con el diagrama de red que os he puesto, alguien me puede ayudar?

    Segun la teoria deberia de ser fàcil y rapido, es una simple ruta, pero a la practica se ve que no es tan facil.

    Gracias por la ayuda

  • Hola, nadie me puede ayudarme?

    Gracias
Accede o Regístrate para comentar.