Inicio » Blog » Troubleshooting RMS VPN

Troubleshooting RMS VPN

¿Has creado un HUB VPN y no te funciona la conexión con tus dispositivos remotos? En este artículo te explicamos qué puedes revisar y qué acciones puedes llevar a cabo para tratar de solventarlo.

Comprobaciones iniciales

Antes que nada comprueba lo siguiente:

  1. ¿Está el dispositivo Teltonika ONLINE en RMS? Recuerda que para que funcione la VPN es necesario en primer lugar que el equipo de Teltonika tenga acceso a Internet y en segundo lugar que disponga de un crédito RMS válido para estar activo en la plataforma.
  2. Que hayas creado la ruta hacia el dispositivo con el quieres conectar. Recuerda que aparte de los clientes VPN del HUB que son los dispositivos Teltonika y tu ordenador (como RMS_user o custom_user) debes crear una ruta hacia cada uno de los dispositivos detrás del router a los que quieras conectarte.
  3. Recuerda configurar el gateway de todos los dispositivos a los que quieras acceder remotamente apuntando a la dirección LAN del router Teltonika (192.168.1.1 por defecto)
  4. Finalmente recuerda que tras crear una ruta es necesario hacer un Restart de la VPN para que el servidor haga un ‘push’ de esta nueva ruta hacia todos los clientes VPN.
Rutas creadas para los dispositivos LAN a alcanzar en la VPN

Conexión de los clientes VPN

Verifica que los dispositivos están efectivamente conectados a la VPN como clientes. Tienes la información en la parte superior derecha en la ventana con los detalles del HUB.

En caso de no aparecer algún equipo conectado puedes volver a cargar la configuración en los dispositivos en la pestaña CLIENTS (pinchando sobre el icono en amarillo). En todo caso recuerda que la conexión de los clientes puede tardar hasta 1 minuto o más.

Recarga de la configuración y certificados en los routers cliente

Si todos los clientes están bien configurados y activados te aparecerán como conectados al HUB.

Clientes VPN ya conectados

Rutas manuales o automáticas

La plataforma RMS te permite hacer un escaneado de los dispositivos conectados tanto en la interfaz LAN como WAN de los dispositivos Teltonika y seleccionarlos creando una ruta de forma automática únicamente a la dirección IP de este dispositivo.

Para activar el escaneado automático debemos habilitar el forwarding en las interfaces LAN y/o WAN (ver siguiente figura). Si habilitamos la conexión a dispositivos WAN podremos crear un túnel VPN incluso a dispositivos presentes en la instalación en la misma red que nuestro router (por ejemplo, el router de fibra de la instalación). Debemos utilizar esta opción con cautela por motivos de seguridad.

Habilitar el escaneado en las interfaces LAN y/o WAN

El escaneado automático tiene dos ventajas:

  • te permite estar seguro que el router tiene conectividad IP con el dispositivo que vas a añadir porque lo ha ‘descubierto’
  • te crea una máscara 255.255.255.255 únicamente para la IP del dispositivo pudiendo usar otras direcciones del mismo rango /24 para otros dispositivos conectados a otros cliente VPN en el mismo HUB

Si por el contrario quieres añadir varios dispositivos en una única regla y estas seguro de no reutilizar el mismo rango de direcciones para otro cliente VPN en el mismo HUB puedes usar el método manual y escoger una máscara más amplia (por ejemplo /24 o 255.255.25..0).

Múltiples LAN en nuestro router

Los routers Teltonika permiten definir diferentes rangos de direcciones en la interfaz LAN creando nuevas interfaces (por ejemplo, LAN2)

Múltiples rangos LAN

El mecanismo de escaneado automático permite descubrir los dispositivos conectados en todas las interfaces LAN de forma que pueden ser añadidos como rutas y ser accedidos a través de la VPN.

Sin embargo, es necesario añadir manualmente en el router estas LAN adicionales a la zona del firewall LAN principal para que el router permita el tráfico entre el túnel VPN y dichas interfaces. Pare ello editaremos la interfaz LAN adicional y seleccionaremos la pestaña FIREWALL SETTINGS en la parte izquierda. A continuación añadiremos las interfaces lan y LAN2 a la misma zona del firewall para que todas la reglas que aplican a la interfaz lan apliquen también a la interfaz adicional LAN2.

¿Cómo identificar los túneles activos en mi router y mi ordenador?

RMS te permite crear múltiples conexiones VPN que se denominan HUBS. Incluso podemos asignar varios HUBS a un mismo router conectándolo a múltiples redes VPN de forma simultánea. En ocasiones podemos no saber exactamente qué túnel está utilizando el router o qué fichero ovpn debemos cargar en nuestro ordenador para conectarnos a la VPN.

RMS identifica cada hub VPN con un identificador del túnel único. A continuación te explicamos cómo obtener este identificador tanto en los routers como en los ficheros ovpn descargados.

Si entramos en la configuración del router en el apartado OpenVPN veremos el cliente descargado a partir de nuestro HUB. Podemos ver que está conectado pero no podemos identificar el túnel al que corresponde. El nombre de túnel se corresponde con la descripción genérica de nuestro hub (DEMO2) pero podríamos llegar a borrarlo y crear otro hub con el mismo nombre que tendría un identificar de túnel diferente.

Listado de clientes OpenVPN

Para identificar el túnel iremos al apartado Status – Routes y en la tabla de rutas podremos ver unas con el nombre tunxxxxx (donde xxxxx es el identificador del túnel, 06da9b en nuestro ejemplo) .

En el caso de ficheros ovpn para descargar en nuestro ordenador y conectarnos como cliente a la VPN podemos abrir dicho fichero con cualquier editor de textos y en las primeras línea encontraremos tanto el identificador de túnel (tund06da9b) como el puerto udp de conexión (32853) que debe coincidir con el mostrado en el listado de instancias openvpn. De esta forma podemos asegurarnos de usar el fichero correcto para cada hub VPN.

client
nobind
dev tund06da9b
remote-cert-tls server

remote 3.69.106.81 32853 udp
remote 3.65.167.143 32853 udp

Y por último, NO olvides deshabilitar tu HUB VPN si no vas a conectarte a la VPN. De esta manera no gastarás créditos en el tráfico de keep-alive de los routers cliente

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (Ninguna valoración todavía)
Cargando...
Verificado independientemente
190 reseñas