Foro de elhacker.net

Hola, les comento, tengo mi conexión, que en uso normal, necesito acceder a un puerto determinado (1621), lo tengo abierto en el router, y puedo acceder normalmente...
pero, ahora, necesito tener operativa una VPN, entonces, al tener abierta la VPN, ese puerto no está accesible (el firewall me pide permiso de todas maneras, para aceptar la conexión, se acepta, pero no pasa nada.... ni bien desactivo la vpn, se puede acceder)

entonces, hay manera posible de usar vpn, pero que desde la wan, se pueda acceder a mi ordenador al puerto 1621?
gracias!

que servicio utilizas en el puerto 1621?

y que configuración tienes en el servidor vpn?

Hola, gracias por responder...

en el 1621 uso un software propio, que se comunica via winsock (está hecho en vb6)

mi router de casa, tiene abierto ese puerto, tengo asignada una ip fija en mi pc, y ese puerto está abierto...

en el cliente de la vpn, tengo habilitado varios metodos de conexión, PPTP, ikeV2 eap, ipsec tunnel, ssl vpn tunnel

en el router, como dial-in user tengo:

PPTP
 IPsec Tunnel
    IKEv1/IKEv2   IKEv2 EAP  IPsec XAuth
 L2TP with IPsec Policy
Must
 SSL Tunnel
 OpenVPN Tunnel

pero, obviamente, al conectarme a la vpn, se me asigna otra ip de lan....

ya en lugar de ser 192.168.1.xx paso a ser 192.168.25.xx

si hago conexión a mi ip publica (no vpn) el firewall me pide permiso para el ingreso, se lo doy, pero el software, nunca conecta...
si cierrro vpn, conecta normalmente...

para las conexiones salientes, yo he usado anteriormente, el tunel dividido, y ahí elegí cuales programas conectan con vpn y cuales no...

pero en lo que es entrante, no se como poder hacerlo....
gracias nuevamente

Hola, prueba a ejecutar la vpn con permisos de Administrador.



Saludos

Hola, si, está hecho eso...
pero no... no va.... :/

gracias

ok creo que ya lo pille.

cuando no hay vpn te conectas ip-publica:1621, y en el router tendrás hecho el fordwarding a ip-privada puerto 1621 (si es otro puerto, en la explicación de mas abajo tendrás que poner ese otro puerto)

cuando hay vpn la ip-plubica:1621 no funciona, lógico

En principio es obvio, ya que una vez que tu utilizas la vpn, el router lo dejas atras, ya que una vez conectado al server, es como si el server te hiciera de router.

por tanto para poder utilizar tu servicio winsock, via vpn, tienes que indicarle a tu servicio que busque el sock en el puerto 1621 pero con la ip local 192.168.1.x, NO CON LA IP PUBLICA o con la ip asignada por el server  vpn si el host tambien hace de cliente contra el servidor vpn que por lo que has puesto en el ejemplo seria del tipo 192.168.25.x

Hola, sí, así es, exactamente....
por eso preguntaba si es posible hacer tunel dividido, y poner que esa app no use vpn... pero no encuentro como....

en este caso, es una vpn con una empresa, mediante un router draytek, estoy usando el smart vpn client...
pero a su vez, también he usado express vpn, que me permitía hacer tunel dividido, y al conectarme a internet via vpn, había posibilidad de conectar mediante ip publica:1621

en este momento, a hacer eso, el firewall detecta conexion entrante, pero la app no conecta...


correcto, lo que me decís, si, funciona... desde cualquier otra pc en mi lan, poniendo ip privada:1621 conecta... incluso con vpn abierta...

pero como hago para acceder por fuera de mi lan?

esa es la gran duda :D

muchas gracias

Para servir un puerto sin utilizar la red vpn, si usas android, linux (gnu) o mac (osx/unix) debes crear una red virtual, recuerda que tu red vpn levanta una interfaz nueva por debajo de eth0 o enps0 asi que solo basta con crear una nueva interfaz y poner a escucha tu servicio en esa interfaz ya que por defecto si usas 0.0.0.0 usará la interfaz activa que es la vpn que por lo general se llama tun0, en este caso según tu tipo de servidor que quieras levantar debes indicarle que use específicamente tu interfaz virtual y listo, esa interfaz obtendrá su propia dirección via dhcp a traves de tu router y tendrá salida directa por nat entre tu router y tu pc hacia internet.

En caso inverso si necesitas salir a la capa del router o internet debes hacer una exclusión en tu configuración vpn, en openvpn es "route-nopull", esto dirá a tu red que en ves de que todo pase por la vpn entonces pasará solo lo que indiques, en este caso las direcciones ip a las que necesitas llegar por tu dirección vpn (ojo, eso también incluye la dirección ip del servidor dns), por ejemplo:


Si usas un cliente VPN propietario entonces tendrás que solicitar ayuda con el soporte oficial de la marca. Desde windows no me preguntes como se hace.

Saludos.

Dado que utilizas una vpn de un tercero (inseguro) y tanto el origen como el destino son clientes del servidor VPN (por el que pasa todo tu trafico) y lo gestiona una empresa, en windows sería tan fácil como

ejecutas un cmd con privilegios de administrador y tecleas


ejemplo


la ip 138.201.65.67 del ejemplo pertenece a cualesmiip.com, asi que si la puerta predeterminada coincide con la de tu router, puedes encender la vpn, y activar la ruta del ejemplo en un cmd con privilegios de administrador y cuando accedas a cualesmiip.com con el navegador veras que no te saldrá la ip publica de la vpn, te saldrá la ip publica de tu casa.

OJO, TE ESTAS SALTANDO LA VPN, POR LO QUE LA CONEXIÓN DE TU SERVICIO WINSOCK NO VA CIFRADA POR LA VPN

Así que si quieres cifrar la transmisión tendrás que implementarlo en tu servicio winsock, o bien como te he explicado antes utilizar la ip-privada:1621 y que la vpn cifre tu conexión.

Hola, muchas gracias!
lamentablemente, si, es para windows todo esto....
me imaginé que con linux hubiera sido muchisimo más facil :D




hola, me refiera a entre empresas, que es una sucursal, no que sea una vpn privada jejeje
no me importa el trafico cifrado, solo que se pueda acceder desde la wan hacia ese puerto de mi lan, con la vpn activa (saltando vpn la conexión)

así que voy a probar eso que me comentas, y luego comento

muchas gracias!

Bueno, he intentado lo que me han dicho, para windows, y sirve


al ingresar a cualesmiip.com, sale mi ip publica, sin vpn (incluso estando la vpn activa) en el navegador

para poder recibir, debo agregar la ip desde donde van a ingresar....

solo pregunto, si es posible hacerlo desde cualquier ip, o sea, que no tenga que agregar cada ip que va a ingresar, sino, que todo trafico al puerto 1621 pueda pasar?

muchisimas gracias!
con esto ya al menos puedo hacerlo, pero si es posible lo otro, sería genial!

No entiendo que quieres decir.

entiendo que en algún momento cuando tu inicias tu programa, el usuario le tiene que decirle a ese programa donde se tiene que conectar, bien por url, bien por direccionamiento ip, por tanto tendrás que programar tu software de tal manera que si es por url haga una resolución dns, recoja el resultado y agregue la ruta estática con route.exe, y si es por direccionamiento ip, coja esa ip introducida por el usuario y la agregue.

creo que confundes puertos, con ip,s, el puerto es nivel 4 y el direccionamiento ip es nivel 3, es como decir que quiero que todo lo que vaya por el puerto 1621 vaya por una linea de cobre y no vaya por la linea de fibra óptica que es lo que tengo en mi casa, pues para que exista alguna comunicación por linea de cobre, primero tu isp tendrá que poner un cable de cobre hasta tu casa.

pues en este caso lo mismo, primero tiene que existir una comunicación punto a punto, ip origen y ip destino antes de que las aplicaciones puedan hablar a través de los puertos.

Hola nuevamente, perdón si no me se explicar, voy a ir de cero, para explicar detalladamente todo :D

Hice una app cliente y server en vb6, que se conecta a una ip que le indique en un cuadro de texto. La app cliente, busca la ip ingresada y por defecto, intenta conectar al puerto 1621.

en mi pc, tengo montada la app server, y en mi router, tengo abierto el puerto 1621, así que cualquiera que se conecte puede acceder sin problemas... siempre funcionó bien...

la cuestión vino, cuando se instaló el acceso vpn, ya que mi pc, pasó a tener la ip del router de vpn, por tanto, si intentan conectar a mi ip publica habitual (no vpn), al puerto 1621, no sirve...

con el ejemplo que vos me diste, me sirvió, para permitir acceso por fuera de la vpn (no me importa el tema del cifrado, ni nada, ya que no es info sensible la que viaja)

pero ahora, la cuestión es esta:

si fuera 1 solo cliente el que se conecta a la app, no hay problemas, porque haría


por ejemplo, entonces la persona que intenta conectarse desde esa ip, puede acceder....

pero si son 50-100 clientes que quieren acceder, se hace dificil estar agregando cada ip que vamos a permitir acceder, por eso la pregunta, si no hay alguna manera más generica, que indique que si alguien se quiere conectar a mi ip habitual (no vpn) al puerto 1621, que lo deje conectar? O si se te ocurre alguna otra manera...



espero haberme expresado bien esta vez jejeje, sino, puedo subir un video breve mostrando lo que comento.

te agradezco muchisimo por tu ayuda

saludos

vamos a ver que sigues sin explicarte nada bien.

1 ordenador = 1 cliente

1 servidor = permite conexion de muchos clientes

1 ordenador + vpn + winsock cliente (con route.exe configurado) = todo ok

Entiendo que ahora tienes el problema del lado del servidor

1 servidor + vpn + winsock server = no conecta con mas de un cliente, si no le agregas una ruta para route.exe para cada cliente

Es correcto el planteamiento, o me estoy perdiendo algo?

Hola nuevamente :D

es como decís... si...

1 ordenador = 1 cliente (correcto)

1 servidor = permite conexion de muchos clientes (correcto)

1 ordenador + vpn + winsock cliente (con route.exe configurado) = todo ok (correcto, con route exe configurado desde lado server, lado cliente he tocado nada)

 
1 servidor + vpn + winsock server = no conecta con mas de un cliente, si no le agregas una ruta para route.exe para cada cliente (exacto, solo permite conectar a los que voy agregando a route ADD)

pero a veces pueden llegar a ser 50 - 100 clientes en el día, entonces no es tan viable agregar a cada uno.

lo unico que me interesa es que la vpn esté activa, y que pueda aceptar conexiones entrantes a la app server winsock, pero no usando la ip de vpn, sino la ip publica de mi router.

con el ejemplo que me diste, va muy bien, puedo hacerlo, pero como te comento, tengo que agregar a cada conexión entrante, a route ADD.

muchas gracias nuevamente por tu ayuda y paciencia.

Así a bote pronto se me ocurren dos opciones.

1. La mas "sencilla", como tu eres el creador de la app, lo mas lógico seria modificar el programa para que el servidor detectara la conexión entrante y automáticamente generara un route.exe ADD con la ip del cliente, quedando así el proceso totalmente automatizado.

2. crear una maquina virtual, con las apps que necesiten la vpn, y dejando el servidor en el host principal

y una tercera, que puede ser una chorrada, pero como no se para que utilizas la VPN, pues lo comento.

Si la vpn es solo para navegar por Internet puedes montar en el equipo del servidor un tunel SSH y deshabilitar en el servidor la VPN.

Edito: Y la opción mas lógica, utilizar el direccionamiento privado y pasar el trafico por la VPN

Hola, tal vez podrías usar un rango o varios de IPs a agregar, ahí estarías agregando un montón de IPs, hay rangos por país, por ISP, por bloques.

(https://fotos.subefotos.com/a8c221a1b73f76d5a4a5d5973426e85ao.jpg)

Ahora, debes tener en cuenta que al hacer lo que deseas, podes dejar un bug vigente en tu PC... ya que vas a abrir un puerto por lo que va a tener una conexión no cifrada/segura, también no hay que olvidar que todo programa que salga de tus manos (que lo usen otras personas) puede ser inspeccionado por alguna persona mediante un Sniffer y ver a qué IP y puerto apunta, comprobar que no pasan los datos cifrados ni por SSL ni por algún sistema o tipo de cifrado.

Nos comentas que no te importa que los datos no estén cifrados, pero tú software tiene algo de seguridad programada?, nos comentas lo siguiente:


Qué pasaría si alguien te conecta en vez de 100, 20.000 IPS floodeando? enviando comandos o instrucciones a tu servidor? Tú servidor respondería las 20 mil peticiones en por ejemplo, unos segundos?, que pasa si por ejemplo te conectan muchas IPS sin que hagan nada? es decir que estén conectadas en stand by, te estarían usando tu ancho de banda y recursos...

Lo primero es lograr lo que deseas y después tenés que aplicarle algún sistema de seguridad o límite porque alguno te puede analizar el comportamiento de tu software e incluso decompilarlo y mirar el código fuente para saber que hace tú programa.

Todo servidor tiene que tener un sistema de seguridad por el simple hecho de aceptar conexiones entrantes/remotas y mucho más si no van cifradas, nunca podes saber si alguien puede conectarse con un script o un programa diseñado para atacarte por ese puerto y saturarte el sistema/servidor/servicio.
Además nos comentas que es para Windows....



Saludos

Hola, sí, así es... es lo primero que pensé, pero no es viable, ya que la app, nunca llega a notar una conexión a socket.
Si fuera acceso normal, sin vpn activa, no sería problema, ya que al evento de winsock pondría que me registre la ip y así al tener esa variable, la agregaría sin problemas al route....
pero, como te digo, la app server, jamas se entera que se estan queriendo conectar cuando la vpn está conectada...


eso podría intentarlo, lo de la maquina virtual, no se si servirá en mi caso, pero intentaremos....
y la vpn, solo se usa para validación, via https, que para tener acceso a la pagina de validación, solo se puede acceder desde una ip previamente en lista blanca... por eso, uso la vpn...
el resto del trafico, no me importa por donde entre o donde salga.....




Hola, gracias por responder...
el software en cuestión, no necesita seguridad, ya que no tranporta data sensible, tampoco tiene hecho nada de seguridad, ya que es tipo un simple chat via winsock, hecho en visual basic 6
así que por el tema ataques, no me preocupo.

las ip, son variadas, el ejemplo dado, no me serviría, ya que se pueden conectar de cualquier lugar del mundo, por tanto, agregar tantas ip o rango, sería dificil....

Buenas, después de unos días, he probado, y no va del todo bien, ya que el soft en cuestión, interactua con otra app para procesar, entonces, enviar desde la vm a la app, se complica un poco... estoy casi en lo mismo...
lo que hice, de momento, hasta estudiar otra alternativa, es una app, para ingresar las ip a "lista blanca"
con eso, me está ayudando bastante....
en algún momento se ocurrira alguna otra manera, no lo se...
mientras tanto, usamos esto.
muchas gracias a todos los que nos ayudaron con el tema.