Ayuda con vpn entre 2 sedes

K.D.S · 30 Julio 2015

Estimados necesito que me tiren una manito ya que estoy medio mareado ya con esto, cabe mencionar que esta red no la arme yo asi que estoy tratando de hacer cambios con mis pocos conocimientos jeje

La cosa es esta, en el colegio tengo la LAN A en una sede y la LAN B en otra sede unidas por una vpn con movistar, como lo muestro en el bosquejo, hasta ahi todo anda impeque, como estamos implementando telefonia ip me surgio este problema, en la LAN A donde esta la central telefonica todo funciona bien puedo ver por ping todos los anexos como por ejemplo el 192.168.2.31, pero en el caso de la LAN B no logro llegar a ese telefono con ip 192.168.2.33.

En la LAN B ingrese una ruta estatica al proxy debian donde le digo que si quiere llegar a la red 192.168.2.0 que se vaya por la vpn, hasta ahi todo bien puedo ver por ping la central 192.168.2.30 pero a la inversa no puedo, ademas ese tenefono en el visor aparece el mensaje "No tftp response"

En la LAN A intente hacer lo mismo de meterle una ruta estatica al proxy que si quiere llegar a la ip 192.168.2.253 que se vaya por la vpn pero se me cayo todo el acceso a la central jajaj, asi que reverti el cambio

Que me estara faltando, alguna ruta, habilitar algo en el iptables de los proxy?

Destruktor · 30 Julio 2015

Tienes los mismos segmentos para telefonía en ambos sitios.

En la vpn se declararon los nuevos segmentos? Si la administra Movistar tienes que pedir que los agreguen, dependiendo del tipo de VPN, pero primero tienes que definir bien el segmento.

Saludos,

Enviado desde mi iPhone utilizando Tapatalk

Cosme · 30 Julio 2015

deberias poner a los telefonos ip de un extremo en otra subred y rutear trafico.

por ejemplo:

K.D.S · 30 Julio 2015

Hoy hable con uno de los tecnicos que esta instalando la central telefonica y me recomendo ponerle una ip 10.0.4.x al anexo pq esa red se ve en ambas direcciones y como le agregue la ruta estatica y llego por ping a la central deberia funcionar, para asi evitar la lata de entrar a modificar firewall y rutas en el proxy, esa prueba tendre que hacerla mañana pq hoy no estube fisicamente en la sede de la LAN B.

sr_meck · 31 Julio 2015

Tu problema esta en que tiene la misma red o segmento en ambos lados como dice cosme y con un capa 3 entre medio. Eso no va a funcionar nunca. En la Lan B debes crear otro segmento para telefonía distinto al 192.168.2.x definirlo como tráfico interesante de la VPN y con su routing en cada sitio.

Saludos

Miguelwill · 31 Julio 2015

Exacto
Lo mejor es usar rangos diferentes y que puedan rutearse en los fw por la VPN.
Si manejas equipos con el mismo rango, mejor no usar para ese tipo de comunicación, ya que apuntar a una ip del segmento local, no enviara el tráfico al fw, sino que tratara de encontrarlo el mismo a través del switch

Saludos

Enviado desde mi XT1058 mediante Tapatalk

Destruktor · 31 Julio 2015

miguelwill dijo:
Exacto
Lo mejor es usar rangos diferentes y que puedan rutearse en los fw por la VPN.
Si manejas equipos con el mismo rango, mejor no usar para ese tipo de comunicación, ya que apuntar a una ip del segmento local, no enviara el tráfico al fw, sino que tratara de encontrarlo el mismo a través del switch

Saludos

Enviado desde mi XT1058 mediante Tapatalk

Me imagino que quisiste decir ..."de encontrarlo el mismo a través de la misma puerta del router" :je

Enviado desde mi iPhone utilizando Tapatalk

Miguelwill · 31 Julio 2015

Destruktor dijo:
Me imagino que quisiste decir ..."de encontrarlo el mismo a través de la misma puerta del router" :je

Enviado desde mi iPhone utilizando Tapatalk

no, quise decir lo que dije

me referia a que, un host al tener una ip de destino del mismo rango que la tarjeta, no enviara su trafico al gateway, sino que buscara primero la mac en el switch, y despues dirigira todo el trafico a ese destino, sin pasar por el router o gateway que comunique con otras redes (viendolo desde el punto de vista de un host cliente, PC o telefono IP

)

saludos

K3rnelpanic · 31 Julio 2015

Me sumo a la recomendación de manejar todo en subredes distintas y jugar con el ruteo. Sino el switch buscará al destino dentro de la red local y el día del peco va a funcionar :zippyte

Destruktor · 31 Julio 2015

miguelwill dijo:
no, quise decir lo que dije

me referia a que, un host al tener una ip de destino del mismo rango que la tarjeta, no enviara su trafico al gateway, sino que buscara primero la mac en el switch, y despues dirigira todo el trafico a ese destino, sin pasar por el router o gateway que comunique con otras redes (viendolo desde el punto de vista de un host cliente, PC o telefono IP )

saludos

Ehhh, no sé si me quede en los tiempos de los hubs de piedra :xd

, pero lo que hacen los switch es buscar en su tabla las mac address de los equipos directamente conectados y no buscan IPs, a no ser que sea un equipo de servicios integrados que incluya administración de layer 3. Por lo que si el paquete o la solicitud contiene una mac desconocida, el switch hace una consulta a sus puertas tipo "broadcast" y si ningún equipo responde, lo envía al gateway definido por el dhcp o la ip estática en los equipos.

Saludos,

Enviado desde mi iPhone utilizando Tapatalk

sr_meck · 31 Julio 2015

Destruktor dijo:
Ehhh, no sé si me quede en los tiempos de los hubs de piedra , pero lo que hacen los switch es buscar en su tabla las mac address de los equipos directamente conectados y no buscan IPs, a no ser que sea un equipo de servicios integrados que incluya administración de layer 3. Por lo que si el paquete o la solicitud contiene una mac desconocida, el switch hace una consulta a sus puertas tipo "broadcast" y si ningún equipo responde, lo envía al gateway definido por el dhcp o la ip estática en los equipos.

Saludos,

Enviado desde mi iPhone utilizando Tapatalk

Ehhhhh nop si el swtich no conoce la mac no hace nada solo es L2 no toma ninguna decision de envio a nivel de L3 (IP)

Destruktor · 31 Julio 2015

Eso es justamente lo que dije, que no toma desiciones de capa 3 y solo pregunta o almacena mac address...

Enviado desde mi iPhone utilizando Tapatalk

sr_meck · 31 Julio 2015

Destruktor dijo:
Eso es justamente lo que dije, que no toma desiciones de capa 3 y solo pregunta o almacena mac address...

Enviado desde mi iPhone utilizando Tapatalk

Si, de primera lei que el swtich lo enviaba al default-gateway :sconf

Miguelwill · 31 Julio 2015

ah obvio,
solo hacia mencion a "buscar en el switch" cuando el host hace la busqueda ARP para obtener la mac del equipo en el mismo rango local
no es que le pida la ip al switch, ya que solo lo usa como "un medio"
era para decir porque el trafico a una red externa no seria enviada al router/gateway si esta en el mismo rango local, solo eso :xd

Destruktor · 31 Julio 2015

miguelwill dijo:
ah obvio,
solo hacia mencion a "buscar en el switch" cuando el host hace la busqueda ARP para obtener la mac del equipo en el mismo rango local
no es que le pida la ip al switch, ya que solo lo usa como "un medio"
era para decir porque el trafico a una red externa no seria enviada al router/gateway si esta en el mismo rango local, solo eso

Ahhhhh, ahora entendí, pienso que independientemente si están en el mismo switch o no, el router no va a saber si enviar el tráfico por una puerta u otra, ya que están en el mismo segmento de red.

Miguelwill · 31 Julio 2015

Destruktor dijo:
Ahhhhh, ahora entendí, pienso que independientemente si están en el mismo switch o no, el router no va a saber si enviar el tráfico por una puerta u otra, ya que están en el mismo segmento de red.

claro, digamos que lo va a mantener en la misma red/puerto/tarjeta que mantiene dicha red
la idea tambien era graficar que esos datos o conexiones casi no van a pasar por el gateway, ya que la conexion la haria desde el host al otro host (telefono a central, cliente a servidor interno, cuando usan la misma red)

Mr.Kind_Regards · 4 Agosto 2015

Exacto. O le cambias el segmento a los nodos, o los subneteas, agregando rutas en los L3 para los segmentos específicos.

Ayuda con vpn entre 2 sedes

K.D.S

Pro

Destruktor

Drinking-Swimming Mastah

Cosme

Gold Member

K.D.S

Pro

sr_meck

a.k.a chikogollo

Miguelwill

I am online

Destruktor

Drinking-Swimming Mastah

Miguelwill

I am online

K3rnelpanic

non serviam

Destruktor

Drinking-Swimming Mastah

sr_meck

a.k.a chikogollo

Destruktor

Drinking-Swimming Mastah

sr_meck

a.k.a chikogollo

Miguelwill

I am online

Destruktor

Drinking-Swimming Mastah

Miguelwill

I am online

Mr.Kind_Regards

Romántico Bohemio