Uma VPN da Cisco exige que as portas do lado do cliente sejam abertas?

Navegue suas respostas
0

Meu local de trabalho oferece uma VPN Cicso que estou tentando usar em casa (via ADSL) para trabalhar remotamente. Acredito que a VPN do local de trabalho seja IPSec, já que exige que eu tenha um ID de IPSec e um segredo de IPSec para se conectar.

Conectar o túnel VPN funciona bem, mas ele interrompe a transmissão de bytes logo depois, tornando impossível fazer qualquer coisa útil.

O interessante é que posso trabalhar muito bem usando meu celular (4G) como um ponto de acesso sem fio e conecto meu laptop àquele em vez do roteador WiFi da minha casa conectado ao modem ADSL.

Entrei em contato com meu provedor sobre esse problema e recebi uma resposta por e-mail em que o seguinte (entre outras coisas) foi sugerido:

  1. Enable Port Forwarding for the VPN port 500, ( for IPSec VPN's), port 1723 for PPTP VPN's, and port 1701 for L2tp- L2tp routing and remote access. Port 500 may be listed under the list of services. [...] Note: Check if the WAN IP is Public or Private. Ports can be opened on Public IP addresses only.

O encaminhamento de porta é tecnicamente realmente necessário no lado do cliente? Se isso fosse verdade, isso também não impediria que outras pessoas na minha rede doméstica fizessem a mesma coisa com seus laptops (digamos, se um dos meus colegas de trabalho visitasse minha casa e também quisesse se conectar à VPN do escritório)? / p>

  1. By default the router's firewall is configured to drop (delete) ICMP packets sent from outside your network to the WAN port. Your VPN may require the ICMP packets.

Novamente, isso é necessário para obter uma VPN da Cisco operacional no lado do cliente?

Ou, em outras palavras: alguém usando uma VPN da Cisco teve que abrir portas em seu modem / roteador de onde deseja se conectar ao ponto de extremidade VPN?

    
por FriendFX 31.07.2017 / 05:41

1 resposta

1

O encaminhamento de porta geralmente não é necessário - uma vez que o cliente VPN faz uma conexão de saída, o firewall do roteador o mantém na "tabela de estados" por um determinado período de tempo. (A tabela de estado informa onde enviar pacotes de entrada através do NAT também.)

Para TCP, a entrada de estado corresponde à conexão TCP em si - SYN estabelece ambos, FIN destrói os dois.

No entanto, para UDP (Cisco VPN e IPsec NAT-T padrão), alguns modelos de roteador usam muito entradas de estado de vida curta - por exemplo, expirando após 30 ou até 15 segundos de inatividade. Isso explicaria os problemas que você está tendo.

Tente usar vpnc --dpd-idle 10 para conectar-se (se no Linux) ou deixe um ping -t <some_corp_server> em execução durante o uso da VPN para que não fique ocioso por um longo período.

    
por 31.07.2017 / 08:18

Tags

Criando uma Tarefa do Windows que é executada quando ativada e periodicamente a partir de então, até que seja desativada por que configurar o glibc recente que reclama que o nptl não está lá?