Configuración VPN Zyxel USG con IPhone y Android

Hola a todos.

Quería compartir con vosotros esta configuración VPN que he tenido que realizar para conectar un dispositivo IPhone (esta configuración también es válida para dispositivos Android)  con una dispositivo Zyxel USG 100. Pues bien, empezamos....

Lo primero de todo, accedemos a nuestro Firewall USG con usuario y contraseña.

Nos desplazamos hasta el menú Object - Address

Pulsamos ADD

Lo primero que debemos hacer, es dar de alta el rango de IP's para las conexiones VPN que realizaremos con nuestro dispositivo IPhone. Recordar que el rango que creemos, debe ser diferente al rango interno de nuestra red. Le asignaremos un nombre, que en nuestro caso es UsuarioL2TP y el rango para la VPN:

Ahora, en mismo apartado, daremos de alta un nuevo HOST con la IP Pública a la que corresponda nuestra conexión a Internet. A esta conexión le pondremos en este ejemplo L2TPWAN

A continuación, crearemos un nuevo usuario para conectarse a nuestra VPN. Para ello nos dirigimos al menú Object - User/Group:

Pulsamos la opción ADD:

Crearemos el usuario y la contraseña, y dejaremos los datos por defecto:

Ahora vamos a configurar la conexión VPN para dar acceso a nuestro usuario mediante VPN. Para ello nos dirigimos al menú VPN - IPSEC VPN:

Nos vamos a la pestaña VPN Gateway y editamos la conexión por defecto "Default_L2TP_VPN_GW":

Lo primero, habilitamos esta conexión en la opción "Enable", elegimos nuestra conexión WAN hacia Internet a la cual se conectarán los usuarios VPN y definimos una "Pre-Shared Key" para la autentificación. En nuestro caso es "12345678"

Ahora no dirigimos a la pestaña "VPN Connection" y editamos la política por defecto "Default_L2TP_VPN_Connection":

Configuramos los parámetros "VPN Gateway" con la conexión "Default_L2TP_VPN_GW", la política "Local Policy" configuramos la IP Pública de nuestra conexión ya creada anteriormente y finalizamos:

Nos dirigimos al menú VPN - L2TP VPN para configurar los permisos y red al usuario VPN:

Ahora configuramos en "VPN Connection" la conexión por defecto L2TP. En la opción "IP Address Pool" configuraremos nuestra regla de IP's para la conexión VPN que en nuestro caso es "UsuarioL2TP" y por último daremos acceso al usuario creado anteriormente para esta conexión en la opción "Allowed User":

En este momento, ya podemos probar con nuestro cliente VPN de IPhone o Android para la conexión VPN contra nuestra red. Si realizamos PING algunos de nuestro equipos internos, veremos que ya tenemos PING. Lo que si que os encontraréis, es que en el dispositivo IPhone o Android, no tenéis acceso a Internet. Pues bien, para dar permisos a esta conexión VPN para que utilice los recursos de nuestra red para navegar, vamos a tener que realicer el Routing de esta conexión para que las peticiones que venga de esta red VPN, puede viajar en las dos direcciones, tanto de salida como de entrada.

Lo primero iremos al menú Network - Routing y pulsaremos en ADD:

Lo primero será crear la regla de salida para que el tráfico que venga por la VPN, pueda salir por nuestro acceso a Internet. Para ellos, los parámetros a modificar serán: "Incoming" definos la opción "Tunnel". Luego seleccionamos la regla por defecto "Default-L2TP_VPN_Connection", el rango que tendrá acceso a Internet "Source Address" lo definimos como "L2TPWAN" que es la IP Pública que hemos creado anteriormente para la conexión VPN y en las opciones "Next-hop" definimos nuestro "Trunk" de salida. Recordar, el "Trunk" es la conexón hacia Internet que nos permite dirigir los paquetes. En nuestro caso dejamos el de por defecto "SYSTEM_DEFAULT_WAN_TRUNK". Pulsamos OK y listo.

Ahora crearemos la regla para que los paquetes de entrada, lleguen a la nueva red VPN. Creamos una nueva regla en "Routing" con estos sencillos pasos:  En "Destination Address" elegimos el rango de IP's de la VPN "UsuarioL2TP". Luego en "Next-hop" elegiremos la opción "VPN Tunnel" y la conexión que utilizamos para esta conexión VPN "Default_L2TP_VPN_Connection":

Bueno, esto es todo.

Espero os sea de ayuda.

Un saludo a tod@s.

Como cambiar el puerto por defecto SMTP de un Zyxel USG

Hola a todos.

Me he encontrado en un cliente, con el siguiente inconveniente.

En los Zywall USG de Zyxel, podemos enviar "reports" de los log's del Firewall mediante una cuenta de correo. Por defecto, esta cuenta de correo se conecta al puerto 25 del servidor SMTP. El problema que me he encontrado en este cliente, es que no nos era posible acceder a la cuenta de correo por el puerto 25 y debía ser por el puerto 587. Buscando por el entorno WEB, no he visto la posibilidad de cambiar esta opción.

Buscando en Internet, he encontrado la siguiente documentación para cambiar esta opción por la línea de comandos "CLI" que lleva este firewall. Este cambio los he realizado con el cliente SSH gratuito PUTTY. Si no tenéis activado el acceso mediante SSH en el Firewall, recordar activarlo para poder realizar este cambio --> SYSTEM - SSH - Marcar la casilla "Enable" y aplicar.

 Abrimos el cliente PUTTY e introducimos el Usuarios y Contraseña para acceder a nuestro Firewall:

Lo primero que haremos, es comprobar en que puerto esta trabajando actulamente nuestro Firewall contra el servidor SMTP. Para ello, dentro de la consola de PUTTY escribimos el comando:

• show daily-report status

Veremos que nos sale la opción "smtp port: 25"

Este es el puerto por el que esta enviado los correos actualmente. Para cambiar este puerto seguiremos los siguientes pasos:

• Router# configure terminal
• Router (config)# daily-report
• Router (config-daily-report)# smtp-port 587
• Router (config-daily-report)# exit
• Router(config)# exit
• Router# write
• Router# exit

 Si volvemos a mirar el puerto por defecto, ahora nos mostrará lo siguiente:

Ahora ya podemos realizar una prueba para enviar un correo de pruebas desde el propio sistema USG en --> Log & Report - Email Daily Report - Send Report Now



Espero que os sea de ayuda.

Un saludo a tod@s

Instalar controladores x86 para impresoras en Windows 2008 Server 64 bit

Hola a tod@s.

Hoy explicaré como instalar drivers de impresoras de 32 Bits, cuando tenemos un servidor Windows en 64 Bits.

Cuando tenemos un servidor Windows 2008 64 bits y clientes con XP o Vista 32bits en donde compartimos impresoras desde el servidor cada vez que instalamos una de estas impresoras en los clientes, bien por el asistente o dándole doble click a la impresora que queremos instalar cuando exploramos el servidor desde el botón de Inicio y luego Ejecutar: \\nombre-de-nuestro-servidor o si no tienes a la vista el comando Ejecutar puedes abrirlo presionan a la vez las teclas de “Windows” + R

Como decía, cada vez que instalamos la impresora compartida de nuestro servidor 64 bits en uno de nuestro equipos cliente 32 bits no solicita el lugar donde se encuentra controlador 32 bits para dicha impresora, claro el servidor solo tiene instalado el de 64 bits.

Bien, podemos tener instalados en el servidor los dos controladores, el de 64 bits y el de 32 bits, así los instalará automáticamente cuando configuremos la impresora en los equipos clientes y nos ahorrará mucho tiempo.

Solo tenemos que ir en nuestro servidor a las propiedades de la impresora y a la pestaña de “Compartir”, en la parte de abajo tenemos un botón de “Controladores adicionales…” le damos y luego seleccionamos la casilla donde pone x86, como en esta imagen de la derecha:

Si le damos aceptar no solicita la ubicación del controlador 32 bits de la impresora, una vez que se lo indicamos no solicita otro archivo otra vez, pero ahora nos pide el disco de instalación del sistema operativo 32 bits:

“Instalando componentes para contenido Windows
Por favor indique la ruta del contenido Windows (procesador x86).
Escriba la ruta donde se encuentran los archivos y haga click en Aceptar.”

Si le damos examinar nos pide el archivo NTPRINT.INF. Si probamos con todos nuestros discos 32 bits de Windows 2008 Server, 2003, Vista y hasta XP, en ninguno conseguimos encontrar nada sobre el archivo dichoso.

La solución es ir a un equipo que tengamos con Windows Vista 32 bits (x86), en el nos dirigimos a la siguiente carpeta:

C:\Windows\System32\DriverStore\FileRepository\

Allí podemos tener una o varias carpetas ntprint.inf_xxxxx donde las xxx son números y letras aleatorios, si tenemos varias carpetas elegimos la ultima que ha sido creada ya que contendrá los archivos con las versiones más nuevas. Bien, en esa carpeta tenemos el archivo ntprint.inf y los demás necesarios, así que le decimos en la instalación del controlador en nuestro Windows 2008 que se dirija a esa carpeta, bueno, mejor copiamos la carpeta a nuestro servidor.

Así ya nos lo pedirá más y podremos instalar las impresoras mucho más rápido que antes.

Espero que os ayude!

Un saludo.

Fuente: http://www.fullcustom.es/noticias/instalar-controladores-x86-impresoras-windows-2008-server-64-bit

Configuración VPN Básica Cisco 1841 con IP Dinámica

Hola a tod@s.

Hoy os mostraré como configurar un escenario con varias delegaciones. La delegación principal tendrá IP Fija y las otras 2 delegaciones serán con IP Dinámica. Esto es útil para ahorrar costos con las delegaciones remotas. Todo esto gracias al artículo de Claudio Magagnotti.

Algo importante que tenes que acordarte cuando realices este tipo de implementaciones, es que en una VPN site-to-site con ip publica dinámica remota solo puede levantarse generando tráfico desde la red remota.
ISAKMP (Internet Security Association and Key Management Protocol) and IPSec  son esenciales para construir y encriptar el tunel de la VPN. ISAKMP, también llamado IKE (Internet Key Exchange), es el protocolo que negocia y permite a dos host ponerse de acuerdo en cómo construirá la IPsec sa. La negociación de ISAKMP consiste en dos fases: Fase 1 y fase 2.

Fase 1 crear un túnel, el cual protegerá los mensajes de negociación ISAKMP. Fase 2 crear el túnel que protegerá los dato.  IPSec entonces entra en juego para encriptar los datos usando algoritmos de codificación criptográfica y autentificación.

• TOPOLOGIA LÓGICA

• TOPOLOGIA FÍSICA

VPN Site-To-Site con IPs públicas dinámicas en router remotos

Ahora veremos un ejemplo práctico a fin de complementar el know-how.

Los pasos son:

1.0 Configurar ISAKMP (fase 1)
2.0 Configurar IPSec
2.1 Configurar ACLs extendidas
2.2 Configurar IPsec Transform (ISAKMP fase 2)
2.3 Configurar Crypto Map


#Configuración para el router principal R1-La Plata.

1. Configurar ISAKMP (IKE) -(fase 1)

IKE existe solo con el fin de establecer SAs (Security Association) para IPsec. Antes de ésto, IKE debe negociar una relación entre las SA (ISAKMP SA) con los peers.

• laplata(config)# crypto isakmp enable
• laplata(config)# crypto isakmp policy 1
• laplata(config-isakmp)# encryption 3des
• laplata(config-isakmp)# hash md5
• laplata(config-isakmp)# authentication pre-share
• laplata(config-isakmp)# group 2
• laplata(config-isakmp)# lifetime 86400
• laplata(config-isakmp)# exit

3DES – algoritmo de codificación criptográfica
MD5 – Algoritmo de hashing
Pre-share – Método de autenticación
Group 2 – DH (Diffie-Hellman) que utilizaremos
86400 – Session key lifetime.

Nota: Si tuviéramos  3 sitios remotos y 3 ISAKMP policies configuradas, cuando nuestro router tratara de negociar un túnel VPN con cada sitio, éste enviaría la 3 ISAKMP policies y usaría la primera que sea aceptada por ambos sitios. En cambio si sólo tenemos una sola ISAKMP policy configurada el router usaría la misma para todas las  VPN en los routers remotos.

Configuramos la clave para el método de autenticación Pre-Share

• laplata(config)# crypto isakmp key redprincipal address 0.0.0.0 0.0.0.0

2.0     Configurar IPsec
         2.1 Configurar ACLs extendidas

Definimos que tráfico pasará a través de cada VPN.

• laplata(config)# ip access-list extended vpn1-traffic
• laplata(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
• laplata(config-ext-nacl)# exit

• laplata(config)# ip access-list extended vpn2-traffic
• laplata(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 30.30.30.0 0.0.0.255
• laplata(config-ext-nacl)# exit

2.2 Configurar IPsec Transform (ISAKMP fase 2)

Creamos el “transform-set” usado para proteger los datos. Lo llamaremos “tunel”, especificaremos el método de encripción y el algoritmo de hashing.

• laplata(config)# crypto ipsec transform-set tunel esp-3des esp-md5-hmac

2.3 Configurar Crypto Map

Crypto Map es el último paso para conectar la configuración ISAKMP y IPSec. Necesitaremos crear una crypto map dinámica por cada router remoto.

Primero vamos a crear una crypto map llamada VPN, el cual conectaremos con las crypto maps dinámicas.

# Crypto Map:

• laplata(config)# crypto map vpn 1 ipsec-isakmp dynamic sucursal-vpn

# Crypto maps dinámicas:

• laplata(config)# crypto dynamic-map sucursal-vpn 10
• laplata(config-crypto-map)# set crysecurity-association lifetime seconds 86400
• laplata(config-crypto-map)# set transform-set tunel
• laplata(config-crypto-map)# match address vpn1-traffic
• laplata(config-crypto-map)# exit
• laplata(config)# crypto dynamic-map sucursal-vpn 11
• laplata(config-crypto-map)# set security-association lifetime seconds 86400
• laplata(config-crypto-map)# set security-association lifetime seconds 86400
• laplata(config-crypto-map)# set transform-set tunel
• laplata(config-crypto-map)# match address vpn2-traffic
• laplata(config-crypto-map)# exit

#Aplicamos Crypto Map a una interfaz:

• laplata(config)# int s1/1
• laplata(config-if)# crypto map vpn
  *Mar 1 00:27:47.659: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
• laplata(config-if)# exit

listo!

ROUTER REMOTO “R2 – MAR DEL PLATA” 

• MardelPlata(config)# crypto isakmp policy 1
• MardelPlata(config-isakmp)# encryption 3des
• MardelPlata(config-isakmp)# hash md5
• MardelPlata(config-isakmp)# authentication pre-share
• MardelPlata(config-isakmp)# group 2
• MardelPlata(config-isakmp)# lifetime 86400
• MardelPlata(config-isakmp)# exit

• laplata(config)# crypto isakmp key redprincipal address 200.10.10.1 

2.0  Configurar IPSec

 2.1  Configuramos las ACLs

• MardelPlata(config)# ip access-list extended vpn1-traffic
• MardelPlata(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

2.2 Configurar IPsec Transform (ISAKMP fase 2)

• MardelPlata(config)# crypto ipsec transform-set tunel esp-3des esp-md5-hmac
• MardelPlata(cfg-crypto-trans)# exit

2.3 Configurar Crypto Map

•  MardelPlata(config)# crypto map vpn1-to-principal 10 ipsec-isakmp
  % NOTE: This new crypto map will remain disabled until a peer
  and a valid access list have been configured.
• MardelPlata(config-crypto-map)# set peer 200.10.10.1
• MardelPlata(config-crypto-map)# set transform-set tunel
• MardelPlata(config-crypto-map)# match address vpn1-traffic
• MardelPlata(config-crypto-map)# exit 

• MardelPlata(config)# int s1/0
• MardelPlata(config-if)# crypto map vpn1-to-principal
  *Mar 1 00:35:23.055: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
• MardelPlata(config-if)# exit

Listo!


Ahora faltaría realizar esta última configuración en el Router PALERMO y ya estaría todo configurado.

Muchas gracias a Claudio Magagnotti por la información brindada.

Os dejo sus vídeos para que veáis esto plasmado en Videotutoriales que siempre es mucho mejor que el "tostón" de estar leyendo tantas línas.

• Parte 1:

• Parte 2:

• Parte 3:

Fuente: https://iproot.wordpress.com/2013/05/29/vpn-site-to-site-con-direcciones-remotas-dinamicas/

Configuración Básica VPN Cisco 1841

Hola a tod@s.

Hoy vamos a ver los comandos básicos para el funcionamiento de una VPN con Cisco.

Lo primero que debemos saber son las IP's Fijas de cada delegación. En este ejemplo, la IP de la delegación CENTRAL será 1.2.3.4 y la IP de la delegación REMOTA será 4.3.2.1.

Entramos en programación de la consola:

• R1-CENTRAL# configure terminal

Para configurar los parametros de la Fase I, establecer una politica de ISAKMP y fijar los parametros para usar una pre-shared key, usaremos 3des/sha para la integridad de la encriptacion, especificaremos el uso de Diffie-Hellman Group 2 (1024-bit). Por defecto ya tiene Autenticar y generar una nueva clave cada 86400 segundos, en caso de que pongamos el comando "lifetime 86400" cuando hagamos un "sh run" no nos aparecera reflejado en la configuracion:

• R1-CENTRAL(config)#crypto isakmp policy 1
• R1-CENTRAL(config-isakmp)# encryption 3des
• R1-CENTRAL(config-isakmp)# authentication pre-share
• R1-CENTRAL(config-isakmp)# group 2
• R1-CENTRAL(config-isakmp)# hash sha
• R1-CENTRAL(config-isakmp)# lifetime 86400
• R1-CENTRAL(config-isakmp)# exit

Cuando mostremos la configuración del Router(con el comentado "show running-config"), no nos mostrará la configuración "hash sha" ni "lifetime 86400". Esto es así, no asustarse.

Ahora configuramos la pre-shared key y el destino del tunel. En este caso estamos configurando la delegación CENTRAL para que se conecte a la delegación REMOTA. La clave "pre-share" será en este caso algo sencillo "123456". La IP a la que nos conectaremos es la delegación REMOTA "4.3.2.1":

• R1-CENTRAL(config)# crypto isakmp key 123456 address 4.3.2.1

Ahora configuramos el "transform" del Ipsec que sera combinado posteriormente con el resto de la politica de Ipsec con el comando crypto-map. En este caso "CONEXIONHACIAREMOTA" es simplemente un nombre que luego nos servira para asociarlo a un crypto-map.

• R1-CENTRAL(config)# crypto ipsec transform-set CONEXIONHACIAREMOTA esp-3des esp-sha-hmac

Ahora crearemos el crypto-map, donde lo relacionaremos con el Transoform-set, el destino del tunel y le pondremos el nombre "CENTRAL" que utilizaremos luego para activarlo en la interfaz Wan del router.

• R1-CENTRAL(config)# crypto map CENTRAL 11 ipsec-isakmp
• R1-CENTRAL(config-crypto-map)# set peer 4.3.2.1
• R1-CENTRAL(config-crypto-map)# set transform-set CONEXIONHACIAREMOTA
• R1-CENTRAL(config-crypto-map)# set pfs group2
• R1-CENTRAL(config-crypto-map)# match address 120
• R1-CENTRAL(config-crypto-map)# exit

Ahora creamos la access-list 120 que es la que pusimos en el crypto-map y nos indica que todo el trafico desde la red 192.168.2.0/24 (CENTRAL) y con destino a la red 192.168.0.0/24 (REMOTA) lo enviara a traves del tunel.

• R1-CENTRAL(config)# access-list 120 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255

En nuestro caso tenemos la salida a internet con NAT, asi que crearemos un route-map para evitar que nos intente natear lo que va hacia la VPN de la siguiente manera:

• R1-CENTRAL(config)# route-map nonat permit 10
• R1-CENTRAL((config-route-map)# match ip address 100
• R1-CENTRAL((config-route-map)# exit

Ahora creamos la access-list 100 en la cual denegamos el trafico que va hacia la red 192.168.0.0/24 que es el otro extremo de la VPN y el resto lo permitimos:

• R1-CENTRAL(config)# access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
• R1-CENTRAL(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 any

Una vez realizado esto, lo aplicamos sobre nuestra interfaz WAN. Ojo, si ya tenéis crear esta entrada en vuestro router, deberéis borrarla y dejar únicamente la entrada "overload" como os indico a continuación ya que sino, os cogerá la entrada que tengáis y os enviará el tráfico de la VPN hacia Internet sin obtener respuesta:

• R1-CENTRAL(config)# ip nat inside source route-map nonat interface FastEthernet0/0 overload 

Ahora ya podemos aplicar el crypto-map a la interfaz wan:

• R1-CENTRAL(config)# interface FastEthernet0/0
• R1-CENTRAL(config-if)# ip address dhcp
• R1-CENTRAL(config-if)# ip nat outside
• R1-CENTRAL(config-if)# ip virtual-reassembly
• R1-CENTRAL(config-if)# duplex auto
• R1-CENTRAL(config-if)# speed auto
• R1-CENTRAL(config-if)# crypto map CENTRAL
• R1-CENTRAL(config-if)# exit

Ahora con un simple ping a una ip del otro extremo de la VPN deberia levantarnos el tunel sin problemas, podeis ver si el tunel se ha levantado o no con el comando:

• R1-CENTRAL# sh crypto isakmp sa

Si ocurriese algun problema en la negociacion del tunel, podeis debugearlo con el comando:

• R1-CENTRAL# debug crypto isakmp

Aquí os dejo la configuración ya resumida de la sede REMOTA

• R1-REMOTA# configure terminal
• R1-REMOTA(config)#crypto isakmp policy 1
• R1-REMOTA(config-isakmp)# encryption 3des
• R1-REMOTA(config-isakmp)# authentication pre-share
• R1-REMOTA(config-isakmp)# group 2
• R1-REMOTA(config-isakmp)# hash sha
• R1-REMOTA(config-isakmp)# exit
• R1-REMOTA(config)# crypto isakmp key 123456 address 1.2.3.4 
• R1-REMOTA(config)# crypto ipsec transform-set CONEXIONHACIACENTRAL esp-3des esp-sha-hmac
• R1-REMOTA(config)# crypto map CENTRAL 11 ipsec-isakmp
• R1-REMOTA(config-crypto-map)# set peer 1.2.3.4
• R1-REMOTA(config-crypto-map)# set transform-set CONEXIONHACIAREMOTA
• R1-REMOTA(config-crypto-map)# set pfs group2
• R1-REMOTA(config-crypto-map)# match address 120
• R1-REMOTA(config-crypto-map)# exit
• R1-REMOTA(config)# access-list 120 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
• R1-REMOTA(config)# route-map nonat permit 10
• R1-REMOTA((config-route-map)# match ip address 100
• R1-REMOTA((config-route-map)# exit
• R1-REMOTA(config)# access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
• R1-REMOTA(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any 
• R1-REMOTA(config)# ip nat inside source route-map nonat interface FastEthernet0/0 overload
• R1-REMOTA(config)# interface FastEthernet0/0
• R1-REMOTA(config-if)# ip address dhcp
• R1-REMOTA(config-if)# ip nat outside
• R1-REMOTA(config-if)# ip virtual-reassembly
• R1-REMOTA(config-if)# duplex auto
• R1-REMOTA(config-if)# speed auto
• R1-REMOTA(config-if)# crypto map CENTRAL
• R1-REMOTA(config-if)# exit

Espero que os haya servido de ayuda

Fuente: http://undercan.blogspot.com.es/2012/02/vpn-de-tmg-2010-cisco-ios.html?m=1

Asociar IP Dinámica y dominio DNS Gratuito con NO-IP.COM y Cisco 1841

Hola a todos.

Trasteando con mi Cisco 1841 y la nueva Fibra de Movistar instalada, se me ha ocurrido montar algo "bonito" en casa y que pueda conectarme desde cualquier sitio (Web, FTP, etc). Para llevar a cabo esto, necesito disponer de una IP Fija y también estaría bien disponer de un DOMINIO para que sea más fácil de recordar. Ejemplo: es más fácil recordar www.google.es que las diferentes IP's -->   173.194.41.215, 173.194.41.216, 173.194.41.223.

El problema que me encuentro para llevar a cabo esto, son los costes. La IP Fija se cobra a 14€/mes aprox. y luego el DOMINIO que oscilan entre los 20€/anuales aprox. 

Como por aquí andamos justos de presupuesto se me ha ocurrido buscar una solución alternativa a ver si hay algún "alma caritativa" que me permita crear mi DOMINIO  Gratis y que se asocie a mi IP Dinámica que me ofrece mi ISP. Pues, "manos a la obra" y vamos a buscar en Google a ver que nos dice la gente que ya se ha encontrado con este problema.

Yo el que he probado para realizar mis pruebas y ha funcionado, es --> http://www.noip.com/

Es fácil de utilizar y tiene un manual de como configurarlo para Cisco y otros fabricantes. Aquí tenéis la página de soporte:

• http://www.noip.com/support/knowledgebase/using-your-cisco-router-with-no-ip-dynamic-dns-services/

 También otra página que me ha ayudado es:

• http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/811-cisco-router-ddns.html

Pues bien, os explico un poco como me ha funcionado a mí siguiendo los pasos que nos indican:

• Accedemos a la programación del router he introducimos los datos para que funcione el servicio DNS en el router y empezamos con la configuración. La función "PRUEBA" es un nombre identificativo el cual irá relacionado con el último punto en la configuración del Interface de salida hacia Internet.

• R1# configure terminal 
• R1(config)# ip dns server  
• R1(config)# ip domain-lookup 
• R1(config)# ip name-server 8.8.8.8 
• R1(config)# ip name-server 8.8.4.4 
• R1(config)# ip ddns update method PRUEBA 
• R1(DDNS-update-method)# HTTP

Ahora explicaré un poco el siguiente paso:

• R1(DDNS-update-method)# add http://USUARIO:PASSWORD@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>

 Este es el paso que más "dolor de cabeza" me dió.... Os explico como a mi me ha quedado claro, si hay sugerencias a mi manera de entender, serán bienvenidas:

• Donde pone "USUARIO" lo sustituimos por el usuario dado de alta en NO-IP.COM. Ejemplo: usuario@hotmail.com
• Donde pone "PASSWORD", lo sustituimos por el password dado de alta con el usuario de NO-IP.COM
• Para poder introducir el "'?" entre update y hostname hay que mantener pulsadas las teclas CTRL + V y la manera que he encontrado es "pegar" desde Hyperterminal.
• Después en hostname=<h>   sustituimos "<h>" por el nombre de nuestro DOMINIO creado. Ejemplo: hostname=dominio.no-ip.org
• Y ya para acabar, donde indica  myip=<a>,  sustituimos "<a>" por la IP Pública Fija que tengamos, si es que tenemos y sino (como es mi caso) no ponemos nada. Con esto quiero decir, ya que esto último no se pondría en la línea de configuración.

En resumen, con IP Dinámica como es mi caso, quedaría de la siguiente manera:

• R1(DDNS-update-method)# add http://usuario@hotmail.com:password@dynupdate.no-ip.com/nic/update?hostname=dominio.no-ip.org
• R1(DDNS-update-method)# exit

Si tuviéramos IP Fija contratada quedaría de la siguiente manera:

• R1(DDNS-update-method)# add http://usuario@hotmail.com:password@dynupdate.no-ip.com/nic/update?hostname=dominio.no-ip.org&myip=1.2.3.4
• R1(DDNS-update-method)# exit

Ahora introducimos los intervalos de tiempo para que refresque nuestro router con NO-IP.ORG para que sea actualizado nuestro DOMINIO con la IP Pública que tengamos:

• R1(DDNS-HTTP)# interval maximum 1 0 0 0
• R1(DDNS-HTTP)#interval minimum 0 6 0 0
• R1(DDNS-HTTP)# exit 

Ahora nos dirigimos a la Interface que nos permite el acceso a Internet. En mi caso será el Dialer 6 e introducirmos los siguientes parámetros:

• R1(config)# interface dialer6
• R1(config-if)#  ip ddns update hostname dominio.no-ip.org
• R1(config-if)#  ip ddns update PRUEBA
• R1(config-if)# exit
• R1(config-if)# do wr  (grabamos)

Para visualizar los "debug's" de "ip ddns" ejecutaremos:

• R1(config-if)# debug ip ddns update

Para pararlo:

• R1(config-if)# no debug ip ddns update

Para visualizar los estos de IP DDNS:

• R1(config-if)#show ip ddns update method PRUEBA

Bueno y esto es todo.

Espero que os ayude y no os paséis tantas horas como he tenido que dedicar....

Un saludo.

Configuración FTTH de Movistar con Cisco 1841

Me acaban de poner la nueva oferta de fibra óptica de Telefónica que promete dar 100 Mbps de bajada y 10 Mbps de subida (aunque no cumple del todo ya que con mi Cisco 1841 se queda sobre los 75 Mbps como mucho, cosa que con el Comtrend que te entregan "de regalo", sí que llega cerca de los 100 Mbps)

Naturalmente lo primero que quise hacer nada más irse el instalador de Telefónica es cambiar el router Comtrend que ponen ellos por mi Cisco (que ya explique como configurar con Jazztel).

Al final lo he logrado, no sin muchas pruebas e investigaciones. Para las personas que quieran hacerlo les doy la información más importante y una copia de la parte relevante de la configuración de mi Cisco. Si vas a poner un Cisco se supone que sabes de que va esto de la "interné" así que no bajare a contar como funcionan las máscaras y otras gaitas.

Notas importantes:

- Necesitas un router Cisco con dos puertos FastEthernet. Se podría hacer con un solo puerto y un switch que soportara VLAN pero eso se deja a la imaginación del lector.

- En Telefónica debe trabajar uno de los inventores del protocolo PPPoE, porque lo aplican en todo, incluso en situaciones como estas en la que no ofrece nada, sólo fastidia (porque entre otras cosas reduce la MTU).

- El usuario de PPPoE es adslppp@telefonicanetpa y la contraseña adslppp.

- SIEMPRE te montan dos VLAN. Si tienes Imagenio (yo no) creo que la de Imagenio es la VLAN 2 (corregido, antes indicaba que era la VLAN 3. La VLAN por lo que me han dicho es la de VoIP), si no lo tienes ignórala. La de datos es la VLAN 6.

- La MTU de la conexión PPPoE hay que reducirla a 1492 y OJO el Maximum Segment Size negociado de TCP a 1452, sino hacemos esto último te funcionarán los ping pero no podrás ver páginas web descargar correos, etc.

- Cuando lo configuras lo primero que intentas es hacerle un ping al otro extremo de la conexión. El problema es que algún "genio" de Telefónica (primo de el del PPPoE supongo) ha decidido que los ping son muy malos y los tienen bloqueados, por los que no ten funcionará. Para probar mejor haz un ping a 8.8.8.8, uno de los servidores DNS de Google y luego escribe una carta al director de Telefónica solicitando que cambien a los ingenieros lumbreras que tienen.

- Si tienes IP fija (un lujo, cuesta 14 euros. Ladrones, a ellos no les cuesta nada) tienes cambiar en Dialer6 la línea ip address negotiated por ip address x.x.x.x m.m.m.m, siendo x.x.x.x la IP que te han asignado y m.m.m.m la máscara de red.

- La red interior de mi casa es la 192.168.128.0/24, cambia la IP de la interfaz FastEthernet0/0 por la adecuada.

- La versión de IOS que se utiliza, es esta: ADVIPSERVICESK9-M, Version 12.4(24)T5, RELEASE SOFTWARE (fc3)

Aquí los extractos de configuración que te pueden interesar:

interface FastEthernet0/0
description Interfaz interno
ip address 192.168.128.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description FTTH
no ip address
no ip redirects
no ip proxy-arp
duplex auto
speed auto
!
interface FastEthernet0/1.6
encapsulation dot1Q 6
pppoe enable group global
pppoe-client dial-pool-number 6
no cdp enable
!
interface Dialer6
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 6
no cdp enable
ppp authentication chap callin
ppp chap hostname adslppp@telefonicanetpa
ppp chap password adslppp
!
ip route 0.0.0.0 0.0.0.0 Dialer6
!
ip nat inside source list 1 interface Dialer6 overload
!
access-list 1 permit 192.168.128.0 0.0.0.255


La verdad que funciona a la perfección. Ya queda acabar de configurar el Router 1841 al gusto de cada unos para securizar la red.

Espero os sea de ayuda.

Fuente: http://www.cutre.org/2011/11/me-acaban-de-poner-la-nueva-oferta-de.html

Cómo restaurar el password Administrador en Windows Server 2008 R2

Esta solución de emergencia puede ayudarte a recuperar el acceso al usuario Administrador en casos que por alguna razón lo hayas extraviado. Ten en cuenta que solo aplica para recuperaciones en las que se tiene acceso directo al hardware ya que requiere que puedas colocar un DVD y resetear el equipo.

Atención! Esta solución aplica para usuarios y administradores que poseen copias originales y no pudieron preparar o extraviaron el medio de recuperación. Este site no alienta de ninguna forma la piratería.

Esta solución que probada Windows Server 2008 R2, y los pasos de recuperación son:

1. Coloca el DVD de Windows Server 2008 R2 en la lectora y reinicia el servidor.
2. Bootea desde el DVD.
3. Elije "Repair your computer"
4. Elije "Start command prompt", se iniciara una consola de comandos en la unidad X:, ejecuta lo siguiente, teniendo en cuenta los cambios de unidad según donde tengas windows:

1. c: <enter>
2. cd c:\windows\system32 <enter>
3. move utilman.exe utilman.exe.bak <enter>
4. copy cmd.exe utilman.exe <enter>
5. net user administrator /active:yes <enter>

1. Quita el DVD y reinicia el equipo. Elije iniciar normalmente, si te lo pide.
2. Una vez que inicie, presiona las teclas Windows + U, se iniciará una consola. Coloca lo que sigue:

 

1. net user administrator nuevaclave <enter>

 

1. Pon el DVD y reinicia el equipo desde esa unidad. 
2. Elije "Repair your computer".
3. Elije "Start command prompt", ejecuta lo siguiente, nuevamente teniendo en cuenta los cambios de unidad según donde tengas windows:

1. c: <enter>
2. cd c:\windows\system32 <enter>
3. del utilman.exe <enter>
4. move utilman.exe.bak utilman.exe <enter>

1. Quita el DVD y reinicia el equipo normalmente. 

Listo, ahora puedes iniciar sesión con el password nuevaclave.

Fuente:  http://davidg-tech.blogspot.com.es/2012/10/como-restaurar-password-win-server-2008-r2.html

Sustituir el Router de Movistar FTTH con Netgear

Hola a todos.

Ya me he encontrado con la situación de sustituir el Router de Movistar de Fibra por una Firewall de Netgear. En este caso he utilizado estos dos productos:

• Switch Netgear GS108T-200GES  (creará la VLAN 6)
• Firewall Netgear FVS318N

La configuración que muestro a continuación, es para configurar el Switch para poder "emular" la VLAN6 que nos genera Movistar con esta "nueva" Fibra Optica que empieza ha instalarse.

Lo primero de todo, es saber los datos que tenemos para la conexión a Internet. En este caso, nos encontramos IP Estática que es asignada mediante autentificación PPPoE.

1.- Empezamos. El Switch de fábrica viene con la IP 192.168.0.239. Su contraseña por defecto es "password". Accedemos entonces con un explorador a esta IP.

2.- Accedemos a la pestaña "Switching"

3.- Accedemos a la opción "Vlan Configuration" y creamos una nueva VLAN ID con el nº 6 y le ponemos un nombre para identificarla. En este caso Telefonica. Muy importante ponerle el nº 6 ya que es la VLAN por la que funcionan los datos con Fibra. Pulsamos "Apply"

4.- Ahora accedemos a la penstaña "Advanced".

5.- Accedemos a la opción "Vlan Membership"

 

6.- Ahora hacemos "click" justamente al lado de la fecha azulita que sale justamente en la parte naranja para que salga el desplegable con los puertos del Switch. Señalamos los puertos como están los puertos 1 y 2 en este caso. Se podrían seleccionar los puertos que queráis, pero uno de los puertos tiene que estar marcado como "tagged" para que VLAN6 y el otro como "unttaged". Pulsamos "Apply"

7.- Ahora vamos a la opción "Port PVID Configuration" y marcaremos el puerto que tenemos marcado como "unttaged" (en nuestro caso el puerto 2 "g2" del Switch) y le cambiaremos en la casilla "PVID (1 to 4093)" por el nº 6 que corresponde a la VLAN creada anteriormente. Pulsamos "Apply"

Bien, con esto ya hemos acabado de configurar el Switch. Ahora ya podemos conectar de la siguiente manera al Switch:

• La ONT de Movistar, la conectamos al puerto 1 de nuestro ejemplo
• El Firewall de Netgear, lo conectaremos en el puerto 2 del Switch.
• Configuraremos el Firewall con los parámetros con nos proporciona Movistar (Usuario: adslppp@telefonicanetpa  y  Password: adslppp) que corresponda y la conexión tiene que funcionar sin problemas. También podrías conectar un sistema Linux, un cliente de ADSL con conexión PPPoE que lleva el propio Windows XP en adelante.

Ya que llevaba mucho tiempo buscando información para poder sustituir el Router de Movistar por otra solución y siempre hablaban de los Switch's Mikrotik, quería compartir con vosotros otra solución, no sé si más barata o no, pero mostrar otra solución.


Espero os sirva.

Un saludo,

Servidor NTP en España

Hola a todos.

Siempre me toca estar buscando servidor NTP para algunos teléfonos IP, centralitas y router's y la verdad que nunca recuerdo cuales son. He probado algunos y los que de momento me han funcionando correctamente son los siguientes. Aquí los dejo por si os sirve alguno de estos:

• 0.es.pool.ntp.org
• 1.es.pool.ntp.org
• 2.es.pool.ntp.org

Espero os sirva esta información.

Un saludo a todos.

Crear conexiones WAN en Zyxel Zywall USG 100

Hola a todos.

Quería mostraros como crear diferentes conexiones WAN para separar cada conexión hacia Internet. Así podremos securizar mejor nuestra red y dar permisos tanto de entrada como de salida a los diferentes usuarios por las diferentes conexiones que tengamos en nuestro Firewall. También tendréis que controlar estas conexiones WAN si tenéis conexiones VPN.

Lo primero de todo es crear la conexión WAN en --> Network - Zone  y dentro de "User Configuration" daremos a la opción "Add"

Crearemos el nombre de esta conexión WAN y asociaremos las conexiones que ya tenemos creadas. En este ejemplo asociaremos la conexión VLAN6:

Importante marcar la opción "Block Intra-zone traffic" para bloquear el tráfico exterior. Pulsaremos OK, y ya tendremos creada esta conexión:

Ahora que ya tenemos creada la conexión, realizaremos las modificaciones necesarias en el Firewall para poder permitir el tráfico saliente y entrante, dentro de --> Network - Firewall   .Aquí tenéis un ejemplo de tráfico saliente por esta conexión:

Y aquí os dejo otro ejemplo de tráfico entrante:

Las reglas en el Firewall quedarían de esta manera para que os hagáis una idea.

Y bueno, esto es todo. Espero os sea de ayuda.

Un saludo.

Crear conexión PPPoe para el Zyxel Zywall USG 100

Hola a todos.

Hace poco me he encontrado con la necesidad de montar este Firewall en mi empresa. La conexión que tengo es IP Pseudoestática (mi ISP Telefonica me la otorga por DHCP pero siempre la misma).

La verdad que no me había "peleado" mucho todavía con este Firewall y no entendía su forma de funcionar con las conexiones contra los ISP's. Pensaba que los puertos que lleva de serie WAN1 y WAN2, eran los que recibían estos parámetros, pero no es así. La IP se la otorga a una nueva conexión PPP que tenemos que crear. Os paso una pequeña explicación para que entendáis como funciona.

Los primero que debemos hacer es crear la conexión hacia nuestro ISP. Para ellos iremos a las opciones dentro de configuración --> Object - ISP Account y le añadiremos la conexión con  "Add"

Rellenamos los siguientes datos según la información de nuestro ISP. En este caso es Telefonica.

Una vez creada la conexión a nuestro ISP, nos dirigimos ahora a crear la conexión PPP para poder conectarnos. Para ellos nos dirigimos a --> Network - Interface - PPP

Luego pulsaremos en "Add".

Rellenamos los siguientes datos:

Muy importante poner todos los datos correctamente:

• "Interface Name" --> El nombre de la conexión como queramos llamarla
• "Base Interface" --> El puerto físico al que corresponde la conexión a nuestro ISP
• "Zone" --> La conexión WAN que tenemos por defecto o la que nos hayamos creado. Normalmente os aconsejo crearos conexiones WAN para sí diferenciar y poder dar permisos tanto de salida como de entrada por los diferentes Interface's
• "Description" --> Siempre es aconsejable ponerle una descripción.
• Importante en "Connectivity" marcar la opción "Nailed-Up" ya que, como me imagino que la mayoría de nosotros tenemos en una conexión plana de datos, siempre este encendida esta conexión.
• "ISP Setting" - "Account Profile" --> Marcar la conexión PPP creada anteriormente.
• "IP Address Assignment" --> Poner nuestra IP Fija con su máscara y puerto de enlace o como en mi caso, dejarlo por DHCP ya que es una IP Pseudoestática.
• "Interface Parameters" --> Definir la baja y subida real de nuestra conexión. Esto es muy importante para que el balanceo de carga funcione correctamente si tenemos más de una conexión (por ejemplo Fibra y ADSL)
• Connectivity Check" --> A veces va bien poner una IP en la cual hagamos un PING continuo hacia Internet para que nuestra conexión no caiga y sea más estable.

Luego pulsaremos OK y ya tendremos la conexión PPP creada para nuestro ISP.

Para saber si nuestra conexón funciona o no podéis entrar en ella y ver si nuestro ISP nos ha asignado la dirección IP (en nuestro caso por ser DHCP) o también podemos ver que tenemos activado en "status" el icono "Connect".

 Una vez creada nuestra conexión ISP y conexión PPP, nos dirigimos a la pestaña TRUNK dentro de las opciones --> Network - Interface - Trunk  y pulsamos en "Add" dentro de la opción "User Configuration"

Podemos añadir solamente nuestra conexión PPPoe ó como es mi caso, añadir las dos conexiones que tenemos para realizar el balenceo de salida hacia Internet:

Una vez creado este paso, tendremos que crear la "Policy Route" para que nuestra red interna, salga por el TRUNK creado anteriormente. Para ellos iremos a la pestaña --> Network - Routing  y pulsaremos "Add"

Y rellenaremos los siguientes pasos:

Muy importante los siguientes datos:

• "Description" --> Dar un nombre para esta conexión
• Dar los permisos para que nuestra red LAN1 o las redes que tengamos creadas, tengan acceso a esta conexión PPP. También podríamos especificar que solamente un protocolo o varios puedan salir por esta conexión (por ejemplo HTTP)
• "Next-Hop" --> Importante, seleccionar el TRUNK creado anteriormente
• "Address Translation" --> Dejarlo por defecto como esta, ya que sino no funcionará en SNAT
• Y por último pulsaremos en OK.

Una vez creada, debería quedar en resumente de "Policy Route" de la siguiente manera:

Bueno, pues esto es todo. Espero os sea de ayuda.

Un saludo.